A continuación, una breve explicación de estos puntos:
I. Ámbito de Aplicación Territorial
El Senado rechazó la propuesta de la Cámara que pretendía darle cierta aplicación extraterritorial a las disposiciones de este proyecto de ley, como sí lo hace el Reglamento General de Protección de Datos de la Unión Europea.
De aprobarse el rechazo, las disposiciones del proyecto de ley solo aplicarían al procesamiento de datos personales realizado en nuestro país.
II. Definición de Datos Personales y Dato Personal Sensible
Tanto la definición de datos personales como la definición de dato personal sensible deberá ser discutida por la Comisión, luego de que el Senado:
- Rechazara excluir de la definición de “dato personal” aquellos casos en que la identificación de la persona requiriera de un esfuerzo desproporcionado, y
- No estuviera de acuerdo con incorporar en la definición de “dato personal sensible” información sobre la situación socioeconómica de una persona, entre otros ajustes.
II. Principio de Finalidad y Fuentes de Acceso Público
El Senado rechazó la emienda de la Cámara que eliminaba a las “fuentes de acceso público” como base de licitud para el tratamiento de datos personales.
El rechazo de esta enmienda reabrirá la discusión si será una habilitante legal el hecho de que el dato provenga de una fuente de acceso al público, como sí se reconoce bajo la actual Ley N° 19.628 de Datos Personales.
IV. Derechos de los Titulares de Datos Personales
Entre otros temas relacionados con la extensión de los derechos de los titulares de datos personales, el Senado:
- Rechazó la incorporación de la definición de “derecho de bloqueo”, esto es, el derecho a solicitar la suspensión temporal de cualquier operación de tratamiento cuando su exactitud no pueda ser establecida o cuya vigencia sea dudosa.
- Rechazó la obligación de empresas no constituidas en Chile de designar a un representante domiciliado en el país para los efectos de que el titular pueda ejercer sus derechos y se practiquen notificaciones.
Adicionalmente, se buscará hacer modificaciones en los artículos que regulan la forma y medios para ejercer los derechos del titular de datos, y el procedimiento para ejercer sus derechos ante el responsable del tratamiento de datos personales.
V. Deber de reportar
Por otra parte, el Senado rechazó la propuesta de que los encargados, mandatarios o procesadores de datos, estuvieran exceptuados del deber de reportar incidentes de seguridad que involucren datos personales.
De mantenerse el rechazo, tanto los responsables de datos como mandatarios deberán reportar a la Agencia de Datos Personales y a los propios titulares, en los casos que corresponda, los incidentes de seguridad que afecten datos personales.
VI. Transferencia Internacional de Datos Personales
Existieron diferencias de parte del Senado en relación con las propuestas de las facultades y herramientas de la futura Agencia de Protección de Datos para autorizar las transferencias internacionales de datos personales, en los casos en que no se verifiquen ninguna de las causales de habilitación contempladas en el proyecto de ley (tales como cláusulas contractuales, consentimiento, cumplimiento de obligaciones contractuales, entre otros).
Por otra parte, se rechazó el deber de la Agencia de Datos Personales de publicar una nómina de países considerados con un nivel adecuado de protección de datos personales.
Se trata aspectos relevantes de la regulación propuesta, entendiendo que la transferencia internacional de datos tendrá una regulación mucho más estricta que la contemplada en la actual Ley N°19.628 de Datos Personales.
VII. Infracciones y Sanciones
La Comisión, entre otras cosas, deberá revisar la calificación de la infracción de la omisión de la realización de una evaluación de impacto de privacidad en aquellos casos que deba realizarse por mandato legal, que la Cámara había propuesto como infracción gravísima.
Por otra parte, el Senado rechazó la propuesta de la Cámara para eliminar los montos mínimos de multa por tipo de sanción, así como la fijación, para el caso de empresas, de montos máximos del 2% de los ingresos anuales con un tope de 10.000 UTM en el caso de las infracciones graves y 4% de los ingresos anuales con un tope de 20.000 UTM en el caso de infracciones gravísimas.
VIII. Regímenes especiales
Otro de los puntos que deberá ser definido por la Comisión, será la propuesta de la Cámara de que tanto el Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral, sí puedan ser fiscalizados por la futura Agencia de Datos Personales.
El texto propuesto originalmente por el Senado disponía que ninguna de estas instituciones quedaría sujeta a la regulación o supervigilancia de la futura agencia.
El proyecto de ley supone un cambio transcendental para el ecosistema que hoy existe en Chile en materia de procesamiento de datos personales, por lo que es importante monitorear la discusión que seguirá la Comisión en cuanto a las modificaciones antes mencionadas.
¿Te has hecho la pregunta de si tu organización está preparada para enfrentar los desafíos que impondrá la nueva regulación de datos personales?