Compañía
Quiénes somosSeguridad y confianzaEmpleoLicencias académicasContacto
Partners
Conviértete en partnerLocalizador de partner
Recursos
BlogCentro de recursosPrograma de certificacionesEn los mediosComunidados de prensa
ES
logo_FEDER español
gss-logo-header
DEMO
Protección de Datos

Claves de la Ley Orgánica de Protección de Datos Personales de Chile

Ignacio Díaz
🕑 9 minutos de lectura

Tabla de contenidos

Ley Orgánica de Protección de Datos Personales de Chile: Actualizaciones y Aplicabilidad

La Ley Orgánica de Protección de Datos Personales de Chile marca un antes y un después en la protección de la privacidad y el tratamiento de datos personales en el país. Su aprobación por el Senado el 25 de enero de 2022 actualiza la anterior ley N°19.628 de 1999, alineando a Chile con los estándares internacionales y reforzando los derechos de los ciudadanos en la era digital.

Avances Claves en la Legislación de Protección de Datos Personales de Chile (Abril 2024)

El 3 de abril de 2024, Chile marcó un hito en la protección de datos personales, con la Comisión Mixta validando cambios importantes en el proyecto de ley, entre ellos:

    • Definiciones claras para términos clave como datos personales y datos personales sensibles.
    • Principios fundamentales para el tratamiento de datos, incluyendo la licitud y seguridad del tratamiento.
    • Establecimiento de derechos detallados para los titulares de datos.
    • Normas específicas para el consentimiento, asegurando que sea libre, informado y específico.
    • Regulaciones para la transferencia internacional de datos, diferenciando entre países con niveles adecuados de protección y aquellos que no los tienen.
    • Ajustes en la tutela de derechos, infracciones leves y gravísimas, y multas por incumplimiento.

Estos avances representan pasos significativos hacia la finalización del texto definitivo de la ley. Estaremos atentos a los nuevos avances.

Ámbito de aplicación. ¿A quién afecta?

La ley tiene por objeto regular la forma y condiciones en la cual se efectúa el tratamiento y protección de los datos personales de las personas naturales, en conformidad al artículo 19 N° 4 de la Constitución Política.

Cabe destacar que todo tratamiento de datos personales que realice una persona física o jurídica, incluidos los órganos públicos, quedará sujeto a las disposiciones de esta ley.

El régimen de tratamiento y protección de datos establecido no se aplicará al tratamiento de datos que se realice en el ejercicio de las libertades de emitir opinión y de informar, reguladas por las leyes a las que se refiere el artículo 19, N° 12, de la Constitución Política. Los medios de comunicación quedarán sujetos a las disposiciones de esta ley, en lo relativo al tratamiento de datos que efectúen con una finalidad distinta a la de opinar e informar.

Asimismo, tampoco serán aplicable al tratamiento de datos que efectúen las personas físicas en relación con sus actividades personales.

La nueva legislación permitirá a Chile estar en consonancia con los compromisos internacionales adquiridos con la incorporación del país a la OCDE. Asimismo, supondrá contar con niveles adecuados de protección y seguridad en el tratamiento de datos, fomentando el desarrollo digital y facilitando la expansión del mercado de los servicios globales.

¿Qué Cambia con la Nueva Ley?

Los cambios introducidos buscan fortalecer la privacidad y la protección de datos de los chilenos, destacando:

  • Refuerzo de los Derechos ARCO: Acceso, rectificación, cancelación y oposición, con la adición de nuevos derechos como la portabilidad de datos.
  • Regulación de Transferencias Internacionales: Se establecen criterios más estrictos para el intercambio de datos personales fuera de las fronteras nacionales.
  • Protección de Datos Especiales: Se presta especial atención a datos sensibles como la salud, información sobre menores y geolocalización.
  • Creación de la Agencia de Protección de Datos Personales: Un organismo técnico y autónomo encargado de supervisar y asegurar el cumplimiento de la ley.

Principios generales para el tratamiento

El proyecto de Ley establece diferentes principios por los que debe regirse la protección de datos personales, como son:

  • Principio de licitud del tratamiento. Los datos personales sólo pueden tratarse con el consentimiento (libre, informado y específico) de su titular o por disposición de la ley.
  • Principio de finalidad. Los datos personales deben ser recolectados con fines específicos, explícitos y lícitos. El tratamiento de los datos personales debe limitarse al cumplimiento de estos fines. En aplicación de este principio, no se pueden tratar los datos personales con fines distintos a los informados al momento de la recolección, salvo que el titular otorgue nuevamente su consentimiento, los datos provengan de fuentes de acceso público o así lo disponga la ley.
  • Principio de proporcionalidad. Los datos personales que se traten deben limitarse a aquellos que resulten necesarios en relación con los fines del tratamiento. Los datos personales deben ser conservados sólo por el período de tiempo que sea necesario para cumplir con los fines del tratamiento, luego de lo cual deben ser cancelados o anonimizados. Un período de tiempo mayor requiere autorización legal o consentimiento del titular.
  • Principio de calidad. Los datos personales deben ser exactos y, si fuera necesario, completos y actuales, en relación con los fines del tratamiento.
  • Principio de responsabilidad. Quienes realicen tratamiento de los datos personales serán legalmente responsables del cumplimiento de los principios, obligaciones y deberes de conformidad a esta ley.
  • Principio de seguridad. En el tratamiento de los datos personales se deben garantizar niveles adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado, pérdida, filtración, destrucción o daño accidental y aplicando medidas técnicas u organizativas apropiadas, para garantizar una adecuada protección y confidencialidad de los datos objeto de tratamiento.
  • Principio de información. La información, prácticas y políticas sobre el tratamiento de los datos personales deben estar permanentemente accesibles y a disposición de cualquier interesado de manera precisa, clara, inequívoca y gratuita.

Nuevos derechos para las personas

Otro aspecto fundamental de la normativa es que dota a los titulares de los datos, de una serie de derechos que tienen la facultad de ejercitar, como son:

  • Derecho de acceso del interesado: El titular de datos tiene derecho a solicitar y obtener del responsable confirmación acerca de si los datos personales que le conciernen están siendo tratados por él
  • Derecho de rectificación: El titular de datos tiene derecho a solicitar y obtener del responsable la rectificación de los datos personales que le conciernen y que están siendo tratados por él, cuando sean inexactos, desactualizados o incompletos.
  • Derecho de cancelación: El titular de datos tiene derecho a solicitar y obtener del responsable la cancelación o supresión de los datos personales que le conciernen cuando éstos no resulten necesarios en relación con los fines del tratamiento; cuando haya retirado su consentimiento para el tratamiento y éste no tenga otro fundamento legal; cuando se trate de datos caducos; cuando los datos hayan sido obtenidos o tratados ilícitamente por el responsable o cuando la cancelación deba realizarse para el cumplimiento de una obligación legal.
  • Derecho de oposición: El titular de datos tiene derecho a oponerse ante el responsable a que se realice un tratamiento específico o determinado de los datos personales que le conciernan.
  • Derecho de portabilidad: El titular de datos tiene derecho a solicitar y recibir del responsable una copia de los datos personales que le conciernen de manera estructurada, en un formato genérico y de uso común que permita ser operado por distintos sistemas, y a comunicarlos o transferirlos a otro responsable de datos.

Fortaleciendo la Seguridad: Estrategias y Obligaciones

Resulta significativo que en el proyecto de Ley no se hace una referencia específica a análisis de riesgos o evaluación de impacto, pero si se establece que se deberán adoptar medidas necesarias de seguridad, técnicas u organizativas, considerando la naturaleza, alcance, contexto y fines del tratamiento, así como la probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de datos tratados. En consecuencia, se puede inferir que se deberá realizar un proceso de análisis de riesgos y evaluación de impacto similar a lo establecido por la normativa europea.
Estas medidas, en todo caso, las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos y si las bases de datos que opera el responsable tienen distintos niveles de criticidad deberá adoptar las medidas de seguridad que correspondan al nivel más alto.

Encargado de prevención o delegado de protección de datos

Surge una nueva figura que se deberá nombrar en algunas organizaciones, como es el encargado de prevención o delegado de protección de datos personales, cuyo nombramiento servirá para la prevención de infracciones, así como para supervisar el cumplimiento de la normativa en las organizaciones. En este sentido, las organizaciones que nombren esta figura deberán disponer que el encargado de prevención cuente con los medios y facultades suficientes para el desempeño de sus funciones, debiendo otorgarle los recursos materiales necesarios para realizar adecuadamente sus labores, en consideración al tamaño y capacidad económica de la entidad.

Autoridad de protección de datos

Para velar por la protección de los derechos y libertades de las personas titulares de datos y por el adecuado cumplimiento de las normas relativas al tratamiento de los datos, se requiere contar con una autoridad de control dotada de facultades para regular, supervisar, fiscalizar y en última instancia, sancionar los incumplimientos. Esto es así ya que, sin una autoridad de control con potestades normativas y fiscalizadoras suficientes, la ley tendría escasa eficacia.
Por este motivo, se procede a crear en el proyecto de Ley la “Agencia de Protección de Datos Personales”, encargada de velar y fiscalizar el cumplimiento de la Ley.

Consecuencias de no cumplir: Sanciones

De una forma similar a lo que sucede con otras normativas sobre protección de datos, se prevé la responsabilidad por infracciones de la Ley, definiéndose casuísticas para tres niveles de infracciones: leves, graves y gravísimas, que se graduarán en función de la gravedad de la infracción, pudiendo llegar a suponer sanciones económicas significativas para las organizaciones en caso de incumplimiento.

¿Cómo cumplir con la nueva ley con un software de protección de datos?

En el contexto de la nueva Ley Orgánica de Protección de Datos Personales de Chile, desde GlobalSuite Solutions podemos ayudarte con el cumplimento de esta ley ofreciendo el software GlobalSuite® Data Protection. Este software se distingue por:

  • Automatizar procesos para una gestión eficiente de la protección de datos, resultando en un ahorro significativo de tiempo y recursos.
  • Facilitar el cumplimiento normativo, adaptándose a los cambios legislativos para evitar sanciones.
  • Mejorar la gestión de riesgos, identificando vulnerabilidades y fortaleciendo la seguridad de los datos.

GlobalSuite Solutions se posiciona como una herramienta indispensable para asegurar el cumplimiento de la legislación vigente y optimizar las operaciones relacionadas con la privacidad y seguridad de la información.

Security

Risk management

Business continuity

Compliance management

Privacy Data Protection

Audit Management

Nuestra solución todo en uno

Compartir:

Ignacio Díaz
. Consultor de protección de datos en GlobalSuite Solutions Licenciado en Derecho, cuenta con un Máster en Protección de Datos y Transparencia de la Información y posee la certificación como Delegado de Protección de Datos (DPD). Amplia experiencia, tanto en Consultoría y Auditoría de Protección de Datos y Continuidad de Negocio

Más artículos