Crea la Agencia de Protección de datos personales.
Tras años de tramitación en el Congreso Nacional, el 13 de diciembre se publicó en el Diario Oficial la Ley N° 21.719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales, la cual representa un avance significativo en la regulación de la protección de datos personales en Chile, alineándose con estándares internacionales como el Reglamento General de Protección de Datos de la Unión Europea.
La ley tiene por objeto regular la forma y condiciones en la cual se efectúa el tratamiento y protección de los datos personales de las personas naturales, en conformidad al artículo 19, N° 4, de la Constitución Política de la República.
La nueva ley trae nuevas definiciones tales como: datos personales sensibles, fuentes de acceso al público, responsable de datos, tratamiento de datos, consentimiento, entre otros.
Además, la ley regula los derechos de los titulares de datos, los cuales son el: acceso, rectificación, supresión, oposición, bloqueo, portabilidad de datos personales.
El tratamiento de datos personales se regirá por los siguientes principios:
- Principios de licitud y lealtad
- Principio de finalidad.
- Principio de proporcionalidad
- Principio de calidad.
- Principio de responsabilidad
- Principio de seguridad
- Principio de transparencia e información.
- Principio de confidencialidad.
En cuanto a las fuentes de licitud para el tratamiento de datos, se establece:
- Consentimiento del titular de datos.
- Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial.
- Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley.
- Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.
- Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular.
Por otro lado, crea la Agencia de Protección de Datos personales, quien será una corporación autónoma de derecho público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio, que se relacionará con el Presidente de la República a través del Ministerio de Economía, Fomento y Turismo. Dicha agencia tendrá por objeto velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales, de conformidad a lo establecido en la presente ley, y fiscalizar el cumplimiento de sus disposiciones.
Además, la nueva ley establece un catálogo e infracciones, las cuales se clasifican en leves, graves y gravísimas, cuyas multas pueden llegar hasta las 20.000 UTM.
Asimismo, con la nueva ley, se dispone que los responsables de datos podrán voluntariamente adoptar un modelo de prevención de infracciones consistente en un programa de cumplimiento. Los elementos de ese programa se encuentran establecido en la ley. Ahora bien, la regulación interna a que dé lugar la implementación del programa, en su caso, deberá ser incorporada expresamente como una obligación en los contratos de trabajo o de prestación de servicios de todos los trabajadores, empleados y prestadores de servicios de las entidades que actúen como responsables de datos o los terceros que efectúen el tratamiento, incluidos los máximos ejecutivos de ellas, o bien, como una obligación del reglamento interno.
La ley entrará en vigencia el 01 de enero del año 2027, otorgando un período de transición para que las organizaciones adopten las medidas necesarias.