Comentarios al Proyecto de Ley que Regula la Protección y el Tratamiento de los Datos Personales y Crea la Agencia de Protección de Datos Personales

  • Chile
  • 04/10/2017
  • Carey

El lunes 13 de marzo de 2017, la Presidenta de la República de Chile envió al Senado un proyecto de ley (el “Proyecto”) que, tras su discusión en el Congreso y en el evento de ser aprobado, modificará significativamente la Ley N° 19.628 sobre Protección de la Vida Privada.

El Proyecto busca, entre otras cosas, elevar la protección de la privacidad para cumplir con los estándares internacionales en materia de tratamiento de datos personales y con las directrices de la Organización para la Cooperación y el Desarrollo Económico (OCDE), adaptar y modernizar la legislación nacional a los desafíos que presenta la economía digital, y equilibrar el resguardo de la privacidad de las personas con la libre circulación de la información.

El Proyecto, en el evento de ser aprobado en el Congreso, entraría en vigencia trece meses después de su publicación, pero se establece un plazo de cuatro años desde la entrada en vigencia para la adecuación a la ley de las bases de datos constituidas con anterioridad.

I. ALCANCE DEL PROYECTO
El Proyecto regula el tratamiento de datos personales que efectúen las personas naturales y jurídicas, públicas o privadas, que no se encuentren regidos por una ley especial.

Se excluye de la aplicación de la ley el tratamiento de datos que realicen los medios de comunicación social al ejercer las libertades de emitir opinión e informar, y el tratamiento que efectúan las personas naturales en relación con sus actividades personales.

II. NOVEDADES
Establece nuevos principios que regulan el uso de los datos personales y nuevos derechos de los titulares de los datos.

Acota el alcance del concepto de dato personal. Hoy, un dato es personal cuando es relativo a una información concerniente a una persona natural, identificada o identificable. El Proyecto califica esta “identificabilidad” a medios que demanden un esfuerzo razonable.

Regula en mayor detalle el concepto y requisitos del consentimiento, definiéndolo como una manifestación libre, específica, inequívoca e informada; que debe otorgarse en forma previa y ser específico en cuanto a su finalidad. La manifestación inequívoca debe involucrar “un acto afirmativo que dé cuenta con claridad de la voluntad del titular”; superando el requisito de “escrito” de la actual ley.

Establece un nuevo estatuto de excepciones al consentimiento.

Hace una diferencia conceptual entre la comunicación o transmisión de datos (donde los datos son dados a conocer a un tercero pero sin llegar a cederlos), por un lado; con la cesión o transferencia, que requiere el cumplimiento de requisitos adicionales y transforma al cesionario en responsable de los datos.

Perfecciona el concepto de Fuentes de Acceso Público, especificando que serán aquellas cuyo acceso o consulta puede ser efectuado en forma lícita por cualquier persona, sin existir restricciones o impedimentos legales para su acceso o utilización. Además, establece la fuente de acceso público como una excepción autónoma.

Regula en mayor detalle los datos sensibles (estableciendo nuevos datos como datos biométricos y datos relativos al perfil biológico humano); y establece una nueva categorías de “datos especiales”, para datos de niños; datos que se utilizan con fines históricos, estadísticos, científicos y otros; y datos de geolocalización.

Restringe el tratamiento automatizado de datos, otorgando un derecho al titular de datos de solicitar que ninguna decisión que le afecte de manera significativa se adopte exclusivamente basada en el tratamiento automatizado de sus datos, salvo ciertas excepciones.

Crea una Agencia de Protección de Datos Personales con la capacidad de fiscalizar y sancionar los incumplimientos de la ley mediante la aplicación de multas de hasta 5.000 UTM (Ch$231.840.000 a la fecha de ingreso del Proyecto).
Crea un Registro Nacional de Cumplimiento y Sanciones.
Establece nuevos procedimientos para perseguir responsabilidades.

Regula la transferencia internacional de datos.
Regula el deber de adoptar medidas de seguridad, y obligaciones de reporte de violación de medidas de seguridad.

Establece la posibilidad de que los responsables de datos adopten y certifiquen un modelo de prevención de infracciones, asociado a atenuantes de responsabilidad.

III. PRINCIPIOS
Principio de Licitud: sólo puede hacerse tratamiento de datos personales con el consentimiento del titular o por disposición de la ley.

Principio de Finalidad: El tratamiento de los datos personales debe limitarse al cumplimiento de los fines específicos, explícitos y lícitos para los cuales fueron recolectados.

Principio de Proporcionalidad: Los datos personales que se traten deben limitarse a aquellos que resulten necesarios en relación con los fines del tratamiento. Además, deben conservarse sólo por el tiempo que sea necesario para cumplir con los fines del tratamiento, luego de lo cual deben ser cancelados o anonimizados. Un período de tiempo mayor requiere obtener una nueva autorización legal o consentimiento del titular.

Principio de Calidad: Los datos personales deben ser exactos y, si fuera necesario, completos y actuales, en relación con los fines del tratamiento.

Principio de Responsabilidad: Quienes realicen tratamiento de datos personales serán legalmente responsables de cumplir con los principios, obligaciones y deberes que establece la ley.

Principio de Seguridad: Se deben garantizar niveles adecuados de seguridad, protegiendo los datos contra el tratamiento no autorizado, pérdida, filtración, destrucción o daño accidental y aplicando medidas técnicas u organizativas apropiadas.

Principio de Información: Las políticas sobre tratamiento de datos deben estar permanentemente accesibles y a disposición de cualquier interesado de manera precisa, clara, inequívoca y gratuita.

IV. DERECHOS DE LOS TITULARES
Derecho de acceso: derecho a obtener confirmación acerca de si sus datos están siendo tratados, de acceder a ellos y información como su origen, finalidad del tratamiento, destinatarios y tiempo durante el cual serán tratados.
Derecho de rectificación: derecho a solicitarla cuando los datos sean inexactos, desactualizados o incompletos.
Derecho de cancelación: derecho a solicitarla, entre otros escenarios, cuando los datos no resulten necesarios en relación con los fines del tratamiento; cuando se haya retirado el consentimiento; o se trate de datos caducos. El Proyecto contempla ciertas excepciones a este derecho.
Derecho de oposición: derecho del titular a oponerse al tratamiento de sus datos personales, cuando éste carece de legitimidad, cuando se refiere a un dato caduco, cuando es utilizado con fines de publicidad o marketing, cuando causa un perjuicio arbitrario o ilícito al titular, cuando es un tratamiento automatizado y se adoptan decisiones que impliquen una valoración de comportamiento realizada sólo en base a ese tipo tratamiento, o cuando el titular de datos ha fallecido.
Derecho de portabilidad: derecho a obtener una copia de los datos personales del titular en un formato electrónico estructurado, genérico y de uso habitual, para comunicarlos o transferirlos a otro responsable de datos, cuando el titular haya entregado sus datos directamente al responsable, cuando se trate de un volumen relevante de datos y éstos sean tratados de forma automatizada, o cuando el titular haya dado su consentimiento para el tratamiento o éstos se requieran para la ejecución o el cumplimiento de un contrato.

Para proteger el ejercicio efectivo de estos derechos, el Proyecto les otorga el carácter de personales, intransferibles e irrenunciables. Además, podrán ser ejercidos por los herederos del titular luego de su muerte.

El plazo para pronunciarse sobre la solicitud es de 10 días hábiles siguientes a la fecha de ingreso.

V. TRATAMIENTO DE DATOS PERSONALES
Regla general: Consentimiento
Como regla general, se establece la licitud del tratamiento de los datos, en tanto el titular otorgue su consentimiento o lo autorice la ley.

El consentimiento debe ser una manifestación libre, específica, inequívoca e informada; debe otorgarse en forma previa al tratamiento y ser específico en cuanto a su finalidad. Esta manifestación inequívoca del consentimiento debe hacerse mediante una declaración verbal, escrita o realizada a través de un medio electrónico equivalente o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.

El consentimiento es revocable sin expresión de causa, pero sin efectos retroactivos

Excepciones al Consentimiento
No será necesario obtener consentimiento del titular para los siguientes tratamientos:

Si los datos han sido recolectados de una fuente de acceso público;

Si el tratamiento se refiere a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y se realice en conformidad con las normas del título III de la ley (que regula el uso de tales datos);

Si el tratamiento es necesario para la ejecución o el cumplimiento de una obligación legal, o de un contrato en que es parte el titular.

CESIÓN O TRANSFERENCIA DE BASES DE DATOS. Se permite la cesión de todo o parte de las bases de datos personales cuando la cesión sea necesaria para cumplir con los fines del tratamiento o las funciones del cedente o del cesionario. Para ello, se requiere el consentimiento previo del titular, informando la finalidad de los datos y el tipo de actividades que realiza el cesionario. El contrato de cesión debe cumplir ciertos requisitos. El cesionario adquiere la calidad de responsable respecto de las bases de datos que fueron objeto de la cesión; y el cedente la mantiene respecto de las operaciones que continúe realizando.

TRATAMIENTO POR PARTE DE UN MANDATARIO. El responsable puede efectuar el tratamiento a través de un mandatario, quien solo puede hacer tratamiento conforme al encargo y a las instrucciones que le imparta el responsable. Si el mandatario se extralimita en el tratamiento, se le considerará como responsable de datos para todos los efectos legales, debiendo responder solidariamente por las infracciones y perjuicios.

VI. OBLIGACIONES DEL RESPONSABLE DE DATOS
Entre las obligaciones del responsable de los datos, destacamos:

Deber de confidencialidad respecto de los datos personales, salvo que provengan de acceso público o que el titular los haya hecho manifiestamente públicos; y adoptar medidas para que sus dependientes bajo su responsabilidad cumplan el mismo deber.

Deber de información y transparencia, manteniendo a disposición del público su política de tratamiento de datos; la individualización del responsable; la identificación del medio a través del cual se le notifican las solicitudes; los tipos de bases de datos que administra y sus características; y las medidas de seguridad para proteger los datos.

Deber de adoptar medidas de seguridad necesarias, considerando variables como el estado de la técnica y costos de aplicación, y otras variables concretas referidas a los datos tratados, como naturaleza y fines del tratamiento, probabilidad de los riesgos y gravedad de sus efectos.

Deber de reportar las vulneraciones a las medidas de seguridad a la Agencia de Protección de Datos Personales, y en algunos casos, a los titulares de los datos.

VII. DATOS SENSIBLES Y CATEGORÍAS ESPECIALES DE DATOS DATOS SENSIBLES El Proyecto mantiene la definición estructural de datos sensibles, pero amplía sus ejemplos, para ahora incluir la identidad de género e identidad genética y biomédica. Los datos sensibles sólo podrán tratarse si lo autoriza la ley o si se cuenta con el consentimiento libre, informado, expreso, previo y específico de su titular, a través de una declaración escrita, verbal o por un medio tecnológico equivalente.

Excepciones al consentimiento en el tratamiento de datos sensibles:

Si los datos sensibles han sido hechos manifiestamente públicos por el titular;

Si el tratamiento es realizado por una entidad sin fines de lucro con finalidad política, filosófica, religiosa, cultural, deportiva, sindical o gremial, respecto de sus miembros o afiliados, tenga por objeto cumplir sus finalidades específicas; que la entidad otorgue garantías para evitar un uso no autorizado; y que los datos no se comuniquen o cedan a terceros.

Si el tratamiento es indispensable para resguardar la vida, salud o integridad del titular.

El Proyecto regula en forma separada los siguientes tipos de datos sensibles

Datos personales sensibles relativos a la salud, que sólo pueden ser objeto de tratamiento, por regla general, cuando sean necesarios para el diagnóstico de una enfermedad o para la determinación de un tratamiento médico;

datos personales biométricos, cuyo tratamiento involucra un deber especial de entrega de información al titular; y
datos relativos al perfil biológico humano (datos genéticos, proteómicos o metabólicos), cuyo tratamiento sólo puede realizarse para fines específicos.

DATOS ESPECIALES
Los datos personales relativos a niños sólo pueden tratarse atendiendo a su interés superior y respetando su autonomía progresiva, y previa autorización por quien tiene a su cargo su cuidado personal.

Los datos tratados o recolectados con fines históricos, estadísticos, científicos y de estudios o investigaciones requieren el consentimiento del titular, el que debe ser prestado en forma inequívoca, específica, previa e informada, y están sujetos a otras reglas especiales.
Los datos de geolocalización sólo podrán ser tratados cuando el titular haya dado su consentimiento previo, inequívoco e informado, indicando el tipo de datos de geolocalización o movilidad que serán tratados, de la finalidad y duración del tratamiento y si los datos se comunicarán o cederán a un tercero para la prestación de un servicio con valor añadido.

VIII. TRATAMIENTO POR ORGANISMOSBLICOS
Además de los principios generales del tratamiento de datos personales, el Proyecto señala como principios orientadores del tratamiento de datos por organismos públicos los de coordinación, eficiencia, transparencia y publicidad.

Los derechos de los titulares de los datos y las demás garantías que el Proyecto otorga a las personas también podrán ejercerse ante organismos públicos, pudiendo interponer un reclamo de ilegalidad en el caso de que el organismo vulnere la normativa.

El Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Servicio Electoral y la Junta Electoral, y los demás tribunales especiales creados por ley quedan excluidos de la regulación, fiscalización o supervigilancia de la Agencia de Protección de Datos Personales.

IX. AGENCIA DE PROTECCIÓN DE DATOS PERSONALES
Se crea una Agencia de Protección de Datos Personales (APDP), un organismo público, técnico, descentralizado, con personalidad jurídica y patrimonio propio, encargado de velar por el cumplimiento de la normativa relativa al tratamiento de datos personales y su protección, y sometido a la supervigilancia del Presidente de la República a través del Ministerio de Hacienda.

Tendrá su domicilio en la ciudad de Santiago. Su dirección y administración superior estarán a cargo de un Director Nacional, que será el jefe superior del servicio, y que será nombrado por el Presidente de la República conforme al Sistema de Alta Dirección Pública.
La APDP será un órgano con amplias facultades, incluyendo:

Dictar instrucciones generales y obligatorias.
Fiscalizar el cumplimiento de la ley de protección de datos y sus reglamentos.

Resolver los reclamos que formulen los titulares de datos.

Realizar labores de difusión, promoción e información a la ciudadanía.

Administrar el Registro Nacional de Cumplimiento y Sanciones.

Se crea un Registro Nacional de Cumplimiento y Sanciones, de carácter público y administrado por la APDP, que consignará las sanciones impuestas a los responsables de datos, los modelos de prevención de infracciones y los programas de cumplimiento debidamente certificados. Este registro se llevará y consultará en forma electrónica y su acceso será gratuito.

X. TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES
El Proyecto regula por primera vez la transferencia internacional de datos personales, estableciendo una obligación de información de la transferencia internacional a la APDP. Esta transferencia es permitida en la medida que se haga a personas o entidades sujetas al ordenamiento jurídico de un país que proporcione niveles adecuados de protección, que cumplan con estándares similares o superiores a los fijados en la ley. La APDP determinará los países que poseen niveles adecuados de protección de datos, considerando los elementos que establece la ley.

No obstante, el Proyecto permite la transferencia internacional a países que no poseen un nivel adecuado de protección en ciertos escenarios específicos, incluyendo entre otras, cuando se cuente con el consentimiento expreso del titular; en transferencias internacionales bancarias, financieras o bursátiles específicas, transferencias entre sociedades que pertenezcan a un mismo grupo empresarial, empresas relacionadas o sujetas a un mismo controlador; o cuando se haga con el objeto de prestar o solicitar auxilio judicial internacional.
No se considera que existe transferencia internacional de datos cuando un responsable efectúa operaciones de tratamiento a través de un tercero mandatario del responsable sujeto a la legislación de otro país. El mandato deberá constar a través de un contrato escrito, y las operaciones deberán ser comunicadas a la APDP.

XI. INFRACCIONES Y SANCIONES
El Proyecto clasifica las infracciones en leves, graves y gravísimas, y contempla penas de multas que van desde 1 a 5.000 UTM (aproximadamente de Ch$46.000 a Ch$231.840.000, a la fecha de ingreso del proyecto).

Se establecen criterios para la determinación de la cuantía de la multa, dentro de los cuales se contemplan circunstancias atenuantes de responsabilidad: las acciones unilaterales, los acuerdos reparatorios convenidos entre el responsable y el titular afectado, la conducta anterior, la autodenuncia y la colaboración que preste el responsable de datos en la investigación administrativa que realice la APDP.

En caso de infracciones graves o gravísimas reiteradas, la APDP podrá ordenar la suspensión de las operaciones de tratamiento, y su adecuación a la ley.

En el caso de reincidencia, se podrá aplicar una multa de hasta tres veces el monto señalado en la ley. La reincidencia se producirá cuando existan dos o más sanciones en un período de 24 meses.

Las acciones para sancionar las infracciones descritas en el Proyecto prescriben en tres años desde la infracción.

XII. NUEVOS PROCEDIMIENTOS
El Proyecto contempla los siguientes procedimientos para perseguir las infracciones a la ley de protección de datos:

Procedimiento administrativo de tutela de derechos: Se ejerce ante la APDP, y procede cuando el responsable de los datos haya denegado al titular una solicitud para ejercer cualquiera de los derechos que le reconoce la ley.

Procedimiento administrativo infraccional: es instruido por la APDP como resultado de un proceso de fiscalización o como consecuencia de la reclamación presentada por el titular en contra del responsable de los datos, por infracción a la ley.

Procedimiento de reclamación judicial: las personas afectadas por una resolución de la APDP podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago, o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último.

XIII. MODELO DE PREVENCIÓN DE INFRACCIONES
El Proyecto establece la posibilidad de que los responsables de datos adopten un modelo de prevención de infracciones. La ADPD deberá certificar que estos modelos reúnen los requisitos establecidos en la ley y su reglamento, y deberá supervisar su cumplimiento.
Se establece una atenuante especial de responsabilidad para los responsables de datos que acrediten haber cumplido diligentemente sus deberes de dirección y supervisión para la protección de los datos personales bajo su responsabilidad.

El Proyecto ordena la dictación de un reglamento que establezca los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los modelos de prevención de infracciones y los programas de cumplimiento.

Descargar Comentarios al Proyecto de Ley que Regula la Protección y el Tratamiento de los Datos Personales y Crea la Agencia de Protección de Datos Personales

Guillermo Carey
Socio de Carey y uno de los miembros a cargo del Grupo de Propiedad Intelectual, Tecnologías de la Información y del área de Venture Capital y Private Equity. También lidera el grupo de Life Sciences. Sus áreas de práctica están enfocadas en la propiedad intelectual, litigios de propiedad intelectual, licencias, distribución y franquicias, privacidad y protección de datos, tecnologías de la información, marcas, patentes, comercio electrónico, transferencia de tecnología y protección de datos.

Paulina Silva
Directora del grupo de propiedad intelectual y Tecnologías de la Información de Carey. Sus áreas de práctica están enfocadas en la contratación de tecnologías, negociación y asesoría en procesos de licenciamiento, implementación y mantenimiento de software, contratos de desarrollo de software y páginas web, comercio electrónico, políticas de datos personales, contratos de distribución y en general asesorías relacionadas con derechos de propiedad intelectual y nuevas tecnologías.