Por Oscar Pérez García.
Abogado chileno en España. Fundador de Litis Company.
El 26 de agosto pasado, la Cámara de Diputados aprobó el Proyecto de Ley que regula la protección de datos personales y establece la creación de la Agencia de Protección de Datos Personales, marcando un hito significativo tras siete años de discusión en el Congreso. El proyecto avanza hacia su promulgación, sujeto a la revisión del Tribunal Constitucional y su posterior publicación en el Diario Oficial.
Esta nueva Ley de Protección de Datos Personales introduce un cambio trascendental para las organizaciones en Chile, estableciendo un marco normativo más riguroso, alineado con estándares internacionales como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Los directorios empresariales, deberán asumir un rol proactivo en la adaptación a esta normativa, liderando la implementación de medidas que aseguren el cumplimiento de principios fundamentales como la licitud, transparencia y seguridad en el tratamiento de datos personales.
La designación de un Responsable de Protección de Datos (DPO), la revisión de políticas internas, la adecuación de contratos con terceros, y la adopción de medidas técnicas y organizativas serán aspectos cruciales para cumplir con las nuevas obligaciones legales. Asimismo, la capacitación continua del personal y la gestión efectiva de incidentes de seguridad serán esenciales para proteger los derechos de los titulares de datos y mantener la confianza del público.
Ante esta inminente realidad, es vital que las organizaciones comiencen a prepararse. La Ley N°19.628 sobre Protección de Datos de Carácter Personal no solo actualizará y elevará los estándares en protección de datos, sino que también establecerá una agencia especializada con la autoridad para dictar normas obligatorias, interpretar y aplicar la ley, supervisar su cumplimiento y, significativamente, imponer sanciones. Es esencial anticiparse a estos cambios y ajustar las prácticas internas para cumplir con la nueva legislación.
– Régimen Sancionatorio y Supervisión: La nueva ley introduce un régimen sancionatorio, robusto y detallado. La Agencia de Protección de Datos tendrá la facultad de imponer multas significativas por infracciones, clasificadas en leves, graves y gravísimas. Por ejemplo, las infracciones leves podrán ser sancionadas con una amonestación escrita o una multa de hasta 5.000 unidades tributarias mensuales, mientras que las infracciones graves y gravísimas podrán conllevar multas de hasta 10.000 y 20.000 unidades tributarias mensuales, respectivamente.
Además, la Agencia podrá imponer sanciones accesorias, como la suspensión de operaciones y actividades de tratamiento de datos por hasta treinta días en casos de infracciones gravísimas reiteradas. Esta medida, busca garantizar que las entidades infractoras adopten las medidas necesarias para cumplir con la normativa y proteger adecuadamente los datos personales bajo su gestión.
Para reforzar la supervisión, se creará el Registro Nacional de Sanciones y Cumplimiento, que será administrado por la Agencia y de acceso público y gratuito. Este registro consignará a los responsables de datos que hayan sido sancionados, incluyendo la gravedad de la infracción, las circunstancias atenuantes y agravantes, y la sanción impuesta.
– Principios Fundamentales del Tratamiento de Datos: La Ley N°19.628 también incorpora principios fundamentales que deben guiar el tratamiento de datos personales. Entre ellos destacan el principio de licitud y lealtad, que exige que los datos personales sean tratados de manera justa y legal; el principio de finalidad, que limita el tratamiento de datos a los fines específicos para los cuales fueron recolectados; y el principio de proporcionalidad, que requiere que solo se traten los datos necesarios para el cumplimiento de dichos fines. Otros principios importantes incluyen la calidad de los datos, la responsabilidad del responsable del tratamiento, la seguridad de los datos, la transparencia en la información y la confidencialidad de los datos tratados.
– Obligaciones de las Organizaciones: Las organizaciones deberán revisar y adaptar sus políticas y procedimientos de manejo de datos personales para cumplir con la nueva ley, evitando así sanciones que podrían ser no solo económicas, sino también perjudiciales para su operación y reputación. Entre las medidas que deben adoptar se incluyen la implementación de mecanismos y herramientas tecnológicas que permitan que el titular ejerza sus derechos de manera expedita, ágil y eficaz. Asimismo, deberán asegurarse de que los datos personales recolectados sean exactos, completos y actualizados, y que se obtengan de fuentes lícitas con fines específicos y explícitos.
– Derechos de los Titulares de Datos: La ley, también refuerza los derechos de los titulares de datos personales, quienes tendrán derecho de acceso, rectificación, supresión, oposición, portabilidad y bloqueo de sus datos. Estos derechos son personales, intransferibles e irrenunciables, y no pueden ser limitados por ningún acto o convención. Las organizaciones deberán establecer procedimientos claros y accesibles para que los titulares puedan ejercer estos derechos de manera efectiva y sin costo.
– Impacto y Beneficios de la Nueva Ley: La entrada en vigor de la nueva Ley de Protección de Datos representa un cambio significativo en el panorama legal y operativo para las organizaciones. Prepararse adecuadamente no solo es una cuestión de cumplimiento legal, sino también una oportunidad para fortalecer la confianza de los clientes y usuarios en la gestión de sus datos personales. La proactividad en la implementación de modelos de prevención de infracciones y el cumplimiento riguroso de las disposiciones legales serán claves para operar conforme a la nueva legislación y garantizar la protección adecuada de los datos personales.
En conclusión, la Ley N°19.628 sobre Protección de Datos de Carácter Personal no viene únicamente a actualizar el marco normativo en Chile, además, desde ya plantea nuevos desafíos y oportunidades para las organizaciones. Adaptarse a estas nuevas exigencias permitirá a las empresas evitar sanciones y mejorar sus prácticas de gestión de datos, lo cual es esencial en un mundo cada vez más digital y centrado en la información. La confianza y seguridad en el manejo de los datos personales son fundamentales para el éxito y la sostenibilidad a largo plazo de cualquier organización en la era