Carolina SotoData ProtectionData ProtectionData Protection PublicationsFeaturedRomina Garrido

Se despacha Ley de Protección de Datos Personales

By August 27, 2024 September 11th, 2024 No Comments

Luego de siete años de tramitación, este lunes 26 de agosto de 2024 el Congreso Nacional despachó y envió a control preventivo de Constitucionalidad, el proyecto de ley que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales.

La iniciativa que estaba en el Congreso desde el 2017, bajo los boletines 11092-07 y 11144-07 refundidos, se inspira firmemente en el Reglamento Europeo de Protección de Datos.

Esta nueva ley representa un cambio de paradigma para las organizaciones en cuanto a la gestión de datos. Reconoce con herramientas efectivas la titularidad de los datos personales en las personas naturales a quienes conciernen. Las organizaciones para utilizar los datos deberán implementar la ley, esto es en la práctica sistemas de gestión y protección que aborden su ciclo de vida total.

Catálogo de infracciones y sanciones
El cambio más trascendental es un robusto catálogo de infracciones y un marco asociado de sanciones que pueden llegar hasta las 20.000 UTM en las hipótesis “gravísimas” y la creación de la Agencia de Protección de Datos, un ente especializado que fiscalizará, resolverá y sancionará por la vía administrativa los incumplimientos de la ley.
¿Qué podría provocar una sanción?
Por mencionar algunos ejemplos, entre las posibles conductas se encuentran:Falta de una base de licitudEl desvió de las finalidades del tratamiento de datosInfracción a la confidencialidadInsuficientes medidas de seguridadNo cumplimiento de requisitos para tratar categorías especiales de datosTratamiento fraudulento de datosRealizar operaciones de transferencias internacionales de datos infringiendo la ley.

Los próximos desafíos:

Uno de los primeros desafíos será identificar datos, bases de datos y tratamientos asociados, ajustar consentimientos o definir bases de licitud que autorizan el tratamiento de datos, cómo y dónde se resguardan, para qué se utilizan, si se transfieren o se comparten, entre muchas otras operaciones de tratamiento.

Los responsables de datos, es decir las empresas que los poseen y utilizan, deberán ofrecer procedimientos para el ejercicio de derechos de las personas, bajo la premisa que el tratamiento de datos debe ser controlado por éstas. Las personas tendrán derecho a saber qué datos se manejan de ellas, mediante el derecho de acceso, a rectificar, suprimir, portar sus datos y oponerse a su tratamiento. Las empresas deberán evaluar la procedencia de esos derechos.

Nuevas obligaciones para categorías especiales de datos personales
Por su parte, el proyecto también distingue y establece obligaciones para distintas categorías de datos personales, regulando los datos especialmente protegidos:
Datos sensibles en general
Datos personales biométricos
Datos de salud y del perfil biológico humano
Datos de niños, niñas y adolescentes
Datos de geolocalización
Entre las obligaciones generales para los responsables respecto del tratamiento de datos destacan:
La obligación de confidencialidad, seguridad de datos y la notificación de brechas.
La privacidad por diseño que obligará a concebir los sistemas de tratamiento de datos con la protección de datos embebida.
Mecanismos de transparencia lo que se significa requisitos específicos en las políticas de privacidad.
Evaluaciones de impacto en protección de datos bajo ciertas hipótesis de tratamiento.
Asegurar la licitud de las transferencias internacionales de datos.
Regular sus tratamientos por encargos o subcontrataciones para operaciones de tratamiento de datos.

OTRAS NOVEDADES DE LA LEY:

Modelo de prevención de infracciones
Programa de cumplimiento de implementación voluntaria que dispone la realización de diversas actividades en la empresa que permiten atenuar la responsabilidad en el caso de infracciones.
Bajo este programa está la figura del delegado de protección de datos.
Registro de infracciones y cumplimiento
Incluirá a las empresas que cuenten con modelos certificados y también a aquellas empresas sancionadas.
Las anotaciones de las sanciones serán públicas y se mantendrán por 5 años en dicho registro.

El plazo de entrada en vigencia de la ley es de 24 meses a contar de su publicación en el Diario Oficial, lo que debería ocurrir luego del control preventivo de Constitucionalidad.

CONTACTO

Romina Garrido
Directora
rgarrido@prieto.cl

Carolina Soto
Asociada
csoto@prieto.cl

La información contenida en esta alerta ha sido preparada con fines informativos y no constituye asesoría legal*