A pocos días de iniciar el nuevo gobierno del presidente Gabriel Boric, el ministro Secretario General de la Presidencia, Giorgio Jackson, confirmó el compromiso del poder ejecutivo para tramitar con celeridad el proyecto de ley que busca reemplazar la Ley 19.628 sobre Protección a la Vida Privada ( “Proyecto de Ley”).
Por lo tanto, se espera que la tramitación del Proyecto de Ley -ya aprobado en el Senado y actualmente en discusión en la Cámara de Diputados- pueda avanzar exitosamente durante el presente año 2022.
En este contexto, ¿está preparada tu organización para enfrentar
los desafíos que impondrá la nueva regulación?
A continuación te presentamos un resumen de las principales novedades del Proyecto de Ley, que tiene por objetivo elevar los estándares de protección de la ley vigente a niveles similares a la regulación europea contenida en el Reglamento General de Protecciónde Datos (comúnmente conocido como GDPR).
Principales novedades:
i. Creación de agencia de protección de datos personales
("Agencia")
El Proyecto de Ley crea una nueva autoridad que tendrá por objetivo velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales. Como consecuencia de lo anterior, la carga de velar por el respeto de los datos personales ya no recaerá exclusivamente en los titulares de esos datos aumentando la exposición legal en caso de infracción.
Algunas de las principales atribuciones que tendrá la Agencia son:
a. Fiscalizar el cumplimiento de la ley, instrucciones y reglamentos sobre esta materia. Para ello podrá requerir a los responsables de datos la entrega de cualquier documento o antecedente necesario para el cumplimiento de esta función.
b. Determinar las infracciones e incumplimientos incurridos por responsables de datos. Para ello podrá, fundadamente, citar declarar a toda persona que haya tenido participación o conocimiento de algún hecho relevante para resolver un procedimiento sancionatorio.
c. Ejercer la potestad sancionadora sobre los responsables de datos que incurran en infracciones a la ley, instrucciones, reglamentos y normas generales.
ii. Nuevas fuentes de legitimidad
El Proyecto de Ley agrega nuevas fuentes de legitimidad que habilitan el tratamiento de datos personales, además del consentimiento del titular (que hoy solo puede otorgarse expresamente y por escrito), la ley y cuando los datos se hubieren obtenido de fuentes de acceso público.
El Proyecto de Ley introduce como nuevas fuentes de legitimidad la ejecución de obligaciones contractuales, el interés legítimo del responsable o de un tercero y el ejercicio o defensa de un derecho ante tribunales, entre otros.
iii. Consentimiento
El Proyecto de Ley también innova respecto de las características del consentimiento para el tratamiento de datos personales.
Mientras la ley vigente establece que el consentimiento debe darse de manera expresa y por escrito (o por medios electrónicos equivalentes), el Proyecto de Ley señala que el consentimiento del titular debe ser libre, informado y específico en cuanto a su finalidad o finalidades. Además, el consentimiento deberá manifestarse de manera inequívoca, mediante una declaración verbal, escrita o a través de medios
electrónicos equivalentes, o bien mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.
iv. Multas
A diferencia de la ley vigente, el Proyecto de Ley impone sanciones y multas que serán aplicables a los responsables que incurran en infracciones a la ley. Las multas podrían llegar hasta las 10.000 Unidades Tributarias Mensuales.
Adicionalmente, en caso de infracciones gravísimas reiteradas, la Agencia también podrá disponer la suspensión de las actividades de tratamiento de datos del responsable de datos, hasta por 30 días.
v. Derechos ARCOP
El Proyecto de Ley reconoce al titular de datos los derechos
de acceso, rectificación, cancelación y oposición que actualmente la ley vigente comprende.
Sin embargo, el Proyecto de Ley también incorpora el derecho de portabilidad, en virtud del cual, cuando el tratamiento se realice de forma automatizada y esté basado en el consentimiento del titular, dicho titular tiene derecho a solicitar y recibir una copia de sus datos personales que haya facilitado al responsable, y a comunicarlos o transferirlos a otro responsable de datos. Esta copia debe entregarse
en un formato estructurado, genérico y de uso común, que permita ser operado por distintos sistemas.
El ejercicio de estos derechos deberá realizarse ante el responsable de datos, quien deberá acusar recibo de la solicitud y pronunciarse sobre ella a más tardar dentro de 15 días hábiles desde su ingreso.
vi. Deber de reportar vulneraciones
El Proyecto de Ley incorpora nuevos deberes de reporte de vulneraciones de medidas de seguridad. En particular, el Proyecto de Ley establece que el responsable y el encargado de datos deberán reportar a la Agencia, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que
ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de datos personales que trate, o su comunicación o acceso no autorizado, cuando exista un riesgo razonable para los derechos y libertades de sus titulares.
vii. Transferencias internacionales
El Proyecto de Ley regula expresamente las transferencias internacionales de datos personales, las que actualmente no se encuentran reguladas por la ley vigente. Al respecto, el Proyecto de Ley establece una serie de hipótesis en que la transferencia
internacional de datos será lícita.
Algunas de ellas son:
a. Cuando se realice a una entidad sujeta a un ordenamiento jurídico de un país que otorgue niveles de protección adecuados de datos personales. La Agencia determinará los países que poseen niveles adecuados de protección.
b. Cuando la transferencia se regule por cláusulas contractuales o instrumentos jurídicos suscritos entre los responsables (el que realiza y el que recibe) de la transferencia, en donde seestablezcan los derechos y garantías de los titulares, las
obligaciones de los responsables y los medios de control.
c. Cuando los responsables adopten un modelo de cumplimiento o autorregulación vinculante y certificado, de acuerdo a la ley aplicable a cada uno.
d. Cuando se cuente con las siguientes fuentes de legitimidad: consentimiento expreso, autorización legal y la ejecución o celebración de un contrato.
viii. Data Protection Officer/Programas de Cumplimiento
El Proyecto de Ley finalmente contempla que los responsables de datos puedan voluntariamente adoptar un modelo de prevención de infracciones, agregando que constituyen este tipo de modelos tanto:
a. la designación de un encargado de prevención o delegado de
protección de datos personales, como
b. la adopción de un programa de cumplimiento o de prevención de infracciones donde un reglamento determinará los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los modelos de prevención de infracciones y los programas de cumplimiento. Si bien la adopción de estos modelos es “voluntario” de acuerdo con el texto propuesto del Proyecto de Ley, la importancia de su implementación es crítica teniendo presente que el certificado referido anteriormente constituye un atenuante de responsabilidad en caso de
infracción.
Diagnosticar e implementar adecuaciones desde ya
El Proyecto de Ley dispone que las bases de datos constituidas con anterioridad a la entrada en vigencia de la ley deberán adecuarse a los términos previstos en ella dentro del plazo de 18 meses, contado desde su entrada en vigor.
¿Es suficiente dicho plazo para diagnosticar el estado de cumplimiento normativo de una organización e implementar los cambios que sean necesarios? La respuesta debiera ser negativa. Lo anterior teniendo presente que, a pesar del plazo en cuestión, los titulares de datos podrán ejercer los derechos que les confiere esta ley
ante el responsable de datos a partir de la entrada en vigencia de esta ley, lo que supone estar en condiciones de cumplir con los cambios expuestos en este documento y haber adecuado procesos, sistemas, implementado tecnología y preparado documentación legal, en la práctica, desde la mismísima entrada en vigencia de la nueva ley.
En EY te asesoramos en el diagnóstico de tu empresa para adecuar procesos, sistemas y documentos legales y así cumplir con el nuevo estándar normativo en materia de datos personales. Conoce aquí nuestro enfoque, metodología y sus beneficios haciendo clic a continuación:
¿Cómo adecuar tu negocio a la nueva Ley de Datos Personales?
Nuestros profesionales están a tu disposición para brindar apoyo y
asesorarte mediante equipos multidisciplinarios con amplia experiencia,
con lo que podrás responder en forma rápida y oportuna a los desafíos
que esta nueva regulación plantea.
