I. Agencia de Protección de Datos Personales
El Proyecto de Ley contempla la creación de una nueva autoridad que tendrá por objetivo velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales. Si bien en algún momento de la discusión se propuso que fuera el Consejo para la Transparencia, la propuesta actual contempla la creación de una autoridad nueva denominada “Agencia de Protección de Datos Personales”.
Como consecuencia de lo anterior, la carga de velar por el respeto de los datos personales ya no recaerá exclusivamente en los titulares de esos datos, aumentando la exposición legal en caso de infracción.
II. Multas
A diferencia de la ley vigente, el Proyecto de Ley impone sanciones y multas que serán aplicables a los responsables que incurran en infracciones a la ley.
Conforme a ciertas Indicaciones, las infracciones:
- Leves, serán sancionadas con multas de hasta 100 unidades tributarias mensuales, eliminándose el mínimo de 1 unidad tributaria mensual del Proyecto de Ley original.
- Graves, serán sancionadas con multa de 101 a hasta 5.000 unidades tributarias mensuales o, en el caso de las empresas, multa de hasta la suma equivalente al 2% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 10.000 unidades tributarias mensuales.
- Gravísimas, serán sancionadas con multa de 5.001 a hasta 10.000 unidades tributarias mensuales o, en el caso de las empresas, multa de hasta la suma equivalente al 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 20.000 unidades tributarias mensuales.
III. Nuevas fuentes de legitimidad
El Proyecto de Ley incorpora nuevas fuentes de legitimidad que permitan el tratamiento de datos personales, en adición al consentimiento del titular (que hoy solo puede otorgarse expresamente y por escrito), la ley y cuando los datos se hubieren obtenido de fuentes de acceso público.
En este contexto, el Proyecto de Ley adiciona las siguientes:
- Cuando los datos han sido recolectados de una fuente de acceso público.
- Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y se realice de conformidad con las normas de Título III del Proyecto de Ley.
- Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley.
- Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.
- Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular.
- Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.
En cuanto a las fuentes de acceso público, de acuerdo con las indicaciones, dejarían de ser una excepción al principio de finalidad en el tratamiento de datos personales; en términos tales que los datos obtenidos de dichas fuentes, deberán procesarse teniendo en consideración la finalidad existente al momento de su incorporación en las fuentes de acceso público respectivas.
IV. Consentimiento
El Proyecto de Ley también innova respecto de las características del consentimiento para el tratamiento de datos personales.
Mientras la ley vigente establece que el consentimiento debe darse de manera expresa y por escrito (o por medios electrónicos equivalentes), el Proyecto de Ley señala que el consentimiento del titular debe ser libre, informado y específico en cuanto a su finalidad o finalidades.
Además, el consentimiento deberá manifestarse de manera inequívoca, mediante una declaración verbal, escrita o a través de medios electrónicos equivalentes, o bien mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.
V. Derechos ARCOP
El Proyecto de Ley reconoce al titular de datos los derechos de acceso, rectificación, cancelación y oposición que actualmente la ley vigente comprende.
Si bien el derecho de cancelación ahora pasaría a llamarse de supresión, el Proyecto de Ley también incorpora el derecho de portabilidad, en virtud del cual, el titular de datos tiene derecho a solicitar y recibir una copia de los datos personales que le conciernen, que haya facilitado al responsable, en un formato electrónico, estructurado, genérico y de uso común, que permita ser operado por distintos sistemas y, a comunicarlos o transferirlos a otro responsable de datos, siempre que se cumplan ciertos requisitos.
Por otra parte, el titular, en ejercicio de su derecho de portabilidad, tendría la facultad de requerir que sus datos personales se transmitan directamente de responsable a responsable de datos cuando sea técnicamente posible. De esta forma, el titular de datos no tendría la carga de llevar sus datos personales de una empresa a otra.
VI. Catálogo de deberes para los responsables de datos
El Proyecto de Ley además contempla una serie de obligaciones con las que deben cumplir los responsables de datos, entre las que se encuentran:
- Informar y poner a disposición del titular los antecedentes que acrediten la licitud del tratamiento de datos que realiza.
- Asegurar que los datos personales se recojan de fuentes de acceso lícitas con fines específicos, explícitos y lícitos, y que su tratamiento se limite al cumplimiento de estos fines.
- Comunicar o ceder información exacta, completa y actual.
- Suprimir o anonimizar los datos personales del titular cuando fueron obtenidos para la ejecución de medidas precontractuales.
- Tener permanentemente accesibles y a disposición de cualquier interesado de manera precisa, clara, inequívoca y gratuita, sus políticas y las prácticas sobre el tratamiento de los datos personales.
Adicionalmente, entre muchos otros deberes, deberán aplicar las medidas técnicas y organizativas para garantizar un nivel de seguridad de los datos personales teniendo en cuenta por ejemplo estado de la técnica, los costes de aplicación, fines del tratamiento o riesgos de vulneración, tales como:
- La seudonimización y el cifrado de datos personales;
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
VII. Modelos de prevención
El Proyecto de Ley finalmente contempla que los responsables de datos puedan voluntariamente adoptar un modelo de prevención de infracciones, agregando que constituyen este tipo de modelos tanto:
- la designación de un encargado de prevención o delegado de protección de datos personales, como
- la adopción de un programa de cumplimiento o de prevención de infracciones donde un reglamento determinará los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los modelos de prevención de infracciones y los programas de cumplimiento.
Si bien la adopción de estos modelos es “voluntario” de acuerdo con el texto propuesto del Proyecto de Ley, la importancia de su implementación es crítica teniendo presente que el certificado referido anteriormente constituye un atenuante de responsabilidad en caso de infracción.
VIII. Deber de reportar vulneraciones
Si bien hoy en día solo ciertas industrias del mundo privado tienen la obligación de reportar incidentes de seguridad, el Proyecto de Ley incorpora nuevos deberes de reporte de vulneraciones de medidas de seguridad.
En particular, el Proyecto de Ley establece que se deberán reportar a la Agencia, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de datos personales que trate, o su comunicación o acceso no autorizado, cuando exista un riesgo razonable para los derechos y libertades de sus titulares.
Incluso más, se contempla que bajo ciertas circunstancias también se deba efectuar esta comunicación a los titulares de datos.
IX. Transferencias internacionales
El Proyecto de Ley regula expresamente las transferencias internacionales de datos personales, las que actualmente no se encuentran reguladas por la ley vigente. Al respecto, el Proyecto de Ley establece una serie de hipótesis en que la transferencia internacional de datos será lícita.
Algunas de ellas son:
- Cuando se realice a una entidad sujeta a un ordenamiento jurídico de un país que otorgue niveles de protección adecuados de datos personales.
- Cuando la transferencia se regule por cláusulas contractuales o instrumentos jurídicos suscritos entre los responsables (el que realiza y el que recibe) de la transferencia o quienes procesen en calidad de mandatarios, en donde se establezcan los derechos y garantías de los titulares, las obligaciones de los responsables y los medios de control.
- Cuando los responsables y terceros mandatarios que reciben datos adopten un modelo de cumplimiento o autorregulación vinculante y certificado, de acuerdo con la ley aplicable a cada uno.
- Cuando se cuente con otras fuentes de legitimidad, tales como, el consentimiento expreso, autorización legal y/o la ejecución o celebración de un contrato.
De acuerdo con ciertas Indicaciones, para transferir datos personales al extranjero, la Agencia de no solo deberá poner a disposición del público modelos tipo de cláusulas contractuales, sino que además un listado de aquellos países que tengan un adecuado nivel de protección en materia de datos personales.
El Proyecto de Ley supone un cambio transcendental para el ecosistema que hoy existe en Chile en materia de procesamiento de datos personales. ¿Te has hecho la pregunta de si tu organización está preparada para enfrentar los desafíos que impondrá la nueva regulación de datos personales?