La protección de los datos personales en la era digital es un tema de creciente relevancia en todo el mundo, y Chile no es la excepción. En un contexto donde la información personal se ha convertido en un activo de gran valor y donde las amenazas a la privacidad son cada vez más frecuentes, la necesidad de actualizar y fortalecer las leyes de datos personales se ha vuelto imperante.
En este contexto, Chile emprendió un nuevo proyecto de ley que introduce tanto conceptos novedosos como cambios que requerirán un tiempo de adaptación por parte de las organizaciones privadas que operan en el país.
Este reemplazo de la antigua Ley 19628, de 1999, busca poner al día la legislación chilena en materia de protección de datos y alinearse con estándares internacionales para brindar a los ciudadanos una mayor garantía de que sus datos personales serán tratados de manera adecuada y segura.
El proyecto fue confeccionado en el año 2017 y, actualmente, se encuentra en el tercer trámite Constitucional chileno: devuelto a su cámara de origen, el Senado, para realizar modificaciones o adiciones.
¿Qué dice la ley de protección de datos actual?
La ley de protección de datos chilena vigente al momento de esta publicación establece varios puntos. En primer lugar, define distintos tipos de datos pertinentes a un individuo como lo son:
- Dato estadístico: En su origen o como consecuencia de su tratamiento, no puede ser asociado a un titular identificado o identificable.
- Datos de carácter personal, o datos personales: Información relacionada con personas naturales, ya sean identificadas o identificables.
- Datos sensibles: Datos personales que se refieren a características físicas o morales de las personas, como hábitos personales, origen racial, ideologías y opiniones políticas, creencias religiosas, estados de salud físicos o psíquicos, y vida sexual.
Luego, establece distintos puntos en cuanto al tratamiento de estos:
En primer lugar, en la recopilación de datos personales a través de encuestas u otros instrumentos similares, se debe informar a las personas sobre si las respuestas son obligatorias o voluntarias y el propósito de la información. Los titulares pueden oponerse al uso de sus datos personales para publicidad, investigaciones de mercado o encuestas de opinión.
Quienes trabajan con datos personales deben mantener la confidencialidad de estos, especialmente si provienen de fuentes no accesibles al público (como, por ejemplo, la base de datos de clientes de una organización). También se le entrega el poder de establecer procedimientos de transmisión autorizados a quienes sean los responsables del registro de estos datos, siempre que protejan los derechos de los titulares y estén relacionados con las tareas y objetivos de los organismos involucrados.
Los datos sensibles solo pueden tratarse si la ley lo autoriza (con algún tipo de excepción contemplada por otro apartado legal), si hay consentimiento expreso del titular o si son necesarios para beneficios de salud.
En un apartado dedicado a los organismos públicos, encontramos dos delimitaciones. Primero, que cuando un organismo público en Chile maneja datos personales, solo puede hacerlo en asuntos que estén dentro de su competencia y debe seguir las reglas de la ley sin necesidad de obtener el consentimiento del titular de los datos. Y luego, los organismos públicos que manejan datos relacionados con condenas por delitos, infracciones administrativas o faltas disciplinarias no pueden compartir esos datos una vez que hayan prescrito las sanciones o penas. Hay excepciones, como cuando los tribunales de justicia u otros organismos públicos dentro de su competencia los solicitan, pero deben mantener la confidencialidad y aplicar ciertas reglas específicas de la ley.
Finalmente, se encuentran las consecuencias ante un incumplimiento de la ley. Cualquier persona natural o jurídica, privada, o un organismo público, que cause daño patrimonial o moral debido a un manejo indebido de los datos personales, debe indemnizar a la persona afectada. Además, debe eliminar, modificar o bloquear los datos según lo requerido por el titular de los datos o lo ordenado por un tribunal. La persona afectada puede presentar una acción legal para buscar compensación y corregir la situación
Cambios que propone la nueva ley
El proyecto de ley propuesto introduce cambios significativos, agregando nuevos conceptos y también explicitando otros. Estos son:
- Principio de seguridad, confidencialidad y transparencia: Como novedad, los responsables del manejo de cualquier dato personal tienen la obligación de garantizar la seguridad de los mismos y evitar su uso no autorizado o ilícito (destrucción, filtración, pérdida, alteración o accesos no autorizados), así como también guardar secreto de los mismos y aplicar controles de acceso indebido.
- Además, deben darle al titular toda la información necesaria para ejercer sus derechos: El fin del almacenamiento de los datos, la sensibilidad de estos, la seguridad con la cual se los protege, entre otros. En caso de verse vulnerado alguno de estos principios, el responsable tiene la obligación de reportarlo a las autoridades pertinentes.
- Fuentes de licitud: Se modifican las fuentes en donde las cuales es lícito obtener datos personales. Estos son, además del caso en donde se cuente con el consentimiento explícito del titular de los datos, aquellos relativos a obligaciones económicas o financieras, necesarios para el cumplimiento de una obligación legal, por ejecución de un contrato, por intereses legítimos de un tercero o para defensa de un derecho ante la justicia.
- Consentimiento: Se amplían los medios para que el titular consienta, considerando declaraciones verbales y expresiones mediante medios electrónicos tan válidos como el consentimiento escrito. Además, se agrega una excepción de consentimiento no libre, para cuando los datos son solicitados en contexto de una prestación o contrato de forma obligatoria pero no realmente necesaria.
- Autoridad de control: Se crea una autoridad de control solamente para el cumplimiento de esta ley centralizada llamada Agencia de Protección de Datos Personales. Esta instruirá, fiscalizará, recibirá denuncias y sancionará de acuerdo a la ley propuesta.
- Derechos del titular: Se agrega el derecho de portabilidad de los datos, y se modifica el plazo admisible de respuesta ante una solicitud de, por ejemplo, eliminación de datos a 15 días hábiles. Además, para reclamar por una solicitud rechazada o no respondida, se habilita la opción de recurrir a la Agencia de Protección de Datos Personales.
- Aplicación territorial: Similar a la GDPR (General Data Protection Regulation) europea, el proyecto de ley aplica si el responsable del registro de los datos o si el dueño de los datos se encuentra en Chile, si se realizan en nombre de responsables chilenos, o si es en virtud de un contrato o derecho internacional.
- Evaluación de impacto: Se introduce la posibilidad de hacer una evaluación de riesgos e impacto que puede suponer un proyecto que contenga registro de datos personales. Es obligatorio solamente en ciertos casos: Cuando sea de alto riesgo por alguna razón (como la tecnología utilizada), cuando contengan datos sensibles, cuando impliquen monitoreo sistemático de zonas de acceso público, o cuando los registros almacenados sean de gran escala.
Conclusiones
De implementarse, la ley de datos personales en Chile marca un hito significativo en el panorama de la protección de datos en América Latina, junto al antecedente de Brasil, que en 2021 promulgó la Ley General de Protección de Datos (siguiendo los lineamientos del GDRP). Si bien la introducción de nuevos conceptos y principios novedosos es un paso importante hacia adelante, también es esencial reconocer que la implementación completa de estos cambios llevará tiempo. La creación de una nueva agencia de control para supervisar el tratamiento de datos personales es un elemento crucial en esta transformación, ya que dotará al sistema de una autoridad independiente y especializada que velará por el cumplimiento de las normativas.
Para las organizaciones privadas que actúan como responsables de la recolección de datos personales, este cambio representa un desafío. Deberán adaptar sus prácticas y políticas internas para cumplir con las nuevas regulaciones, lo que implica una inversión de recursos y tiempo. Sin embargo, esta adaptación no solo beneficiará a los individuos cuyos datos se están protegiendo, sino que también contribuirá a fortalecer la confianza en el uso de datos personales en un mundo cada vez más digital.
Esta no solo establecerá un estándar más alto para el tratamiento de datos personales en Chile, sino que también servirá como un ejemplo positivo para otros países de la región que buscan fortalecer sus marcos legales de protección de datos. La protección de la privacidad y la seguridad de la información personal se están convirtiendo en preocupaciones globales cada vez más apremiantes, y la adaptación de estas leyes es un paso crucial en la dirección correcta para abordar estos desafíos en la era digital.