logo-fischerycia_white
Protección y tratamiento de los datos personales y creación de Agencia de Protección de Datos Personales  
diciembre 13, 2024

Hoy, 13 de diciembre de 2024, se publicó la Ley N°21.719 que regula la protección y crea la Agencia de Protección de Datos Personales. Con ello, luego de un largo proceso legislativo que comenzó en 2017, la norma moderniza la legislación y eleva el actual estándar.  

Entre los aspectos más relevantes, destaca:

  • Creación de nueva institucionalidad para la protección de datos personales, mediante la Agencia de Protección de Datos Personales. Su objetivo es fiscalizar el cumplimiento de la nueva normativa y aplicar las sanciones necesarias según el caso.

  • Ampliación del ámbito de aplicación de la normativa sobre datos personales, de modo que su cumplimiento no solo corresponde a los responsables del tratamiento de datos establecidos en el territorio nacional, sino también a aquellos que, independientemente de su lugar de establecimiento o constitución, lo realicen en nombre de un responsable constituido en Chile, o que tengan operaciones de tratamiento dirigidas a ofrecer bienes o servicios a titulares que se encuentren en el país.

  • Además del consentimiento como fuente de licitud para el tratamiento de datos, se incorporan otras habilitantes que lo permiten, aún sin el consentimiento del titular, en casos en que: 

    – El tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial;  
    – Sea necesario para la ejecución o el cumplimiento de una obligación legal, un contrato o lo disponga la ley;  
    – Sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero; y  
    – Sean necesarios para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.

Por otra parte, respecto de los datos sensibles, la regla general es que su tratamiento sólo podrá realizarse con consentimiento del titular, existiendo habilitantes legales limitadas a casos muy especiales, que la propia ley determina. 

  • Ampliación del catálogo de derechos de los titulares de los datos, como los derechos de: acceso, rectificación, supresión, oposición, a la portabilidad y de bloqueo. Además, se establece el procedimiento y los medios que tendrán los titulares de estos derechos para hacer valer estas garantías en contra de aquéllos que manejan los datos personales.
  • Establecimiento de obligaciones genéricas y específicas del responsable de datos. Por ejemplo, es deber del responsable de los datos informar y poner a disposición del titular los antecedentes que acrediten la licitud del tratamiento de datos que realiza. La nueva Ley establece un contenido mínimo (bastante extenso) de la información a entregar al titular. Además, se debe asegurar que los datos utilizados en cada operación sean siempre los estrictamente necesarios, adecuados y pertinentes en relación con los fines respectivos; entre otras obligaciones aplicables.
     
  • Establecimiento de un marco específico para la transferencia internacional de datos personales, definiendo las condiciones bajo las cuales estas transferencias son permitidas. La ley introduce un listado cerrado de casos en los que se puede transferir datos desde Chile y determina qué países se consideran adecuados para recibir dichos datos. Asimismo, la ley confiere a la Agencia el rol de fiscalizar las operaciones de transferencia internacional de datos, pudiendo formular recomendaciones, adoptar medidas conservativas y en casos calificados, suspender temporalmente el envío de los datos.
      
  • Establecimiento de un catálogo de conductas e infracciones -entre leves, graves y gravísimas- que se sancionarán con multas de hasta 5.000 UTM, 10.000 UTM y 20.000 UTM respectivamente. Para la determinación de las multas o sanciones, se contempla un listado de circunstancias atenuantes (p.ej., la colaboración o la autodenuncia) y agravantes (p.ej., la reincidencia o el carácter continuado de la infracción). En caso de reincidencia (dos o más sanciones en 30 meses), la Agencia podrá multiplicar hasta por tres la multa o disponer la suspensión parcial o total de las operaciones y actividades de tratamiento de datos del responsable infractor hasta por 30 días salvo que se afecten los derechos de los titulares. Por otra parte, al imponer una sanción, la Agencia indicará las medidas que se deberán adoptar para subsanar las causales que la motivaron y, en caso de incumplir dicha obligación, la multa podrá ser recargada en un 50%.
     
  • Establece que los responsables de datos, sean personas naturales o jurídicas, públicas o privadas, deberán adoptar acciones destinadas a prevenir la comisión de las infracciones. Al mismo tiempo, propone un modelo voluntario (el Programa de Cumplimiento) que puede ser certificado por la Agencia. Entre los elementos de este programa, se destaca la figura del Delegado, como un punto de contacto con la Agencia, quien deberá ser designado por la máxima autoridad directiva o administrativa y contar con autonomía para efectos de asesorar al responsable de datos, a los encargados y a los dependientes del responsable, sobre las disposiciones de protección de datos.
     

La norma entrará en vigencia el día primero del mes vigésimo cuarto posterior a la publicación de esta ley en el Diario Oficial, es decir, en diciembre de 2026. Sin perjuicio de ello, los reglamentos referidos en la ley deberán dictarse dentro de los seis meses siguientes a su publicación en el Diario Oficial. 

Recibe nuestro newsletter mensual


logo-fischerycia_white

comunicaciones@fycom.cl
+562 3210 4500 | Av. Andrés Bello 2687, piso 21, 7550611, Las Condes, Santiago

Social media & sharing icons powered by UltimatelySocial
LinkedIn