Hoy se publicó en el Diario Oficial la Ley N°21.719 (en adelante, “Ley”), cuyo objeto es modernizar nuestra normativa en materia de datos personales, para lo cual modifica la Ley N°19.628, sobre protección de la vida privada, estableciendo importantes condiciones regulatorias destinadas a resguardar la observancia de estándares de calidad, transparencia y seguridad.

De esta manera, tal como se expondrá a continuación, los principales aspectos regulatorios que contempla la Ley plantean importantes desafíos para las entidades que realizan operaciones de tratamiento de datos personales, ya sea que estas formen parte o no de su actividad principal, ya sea que su ejecución sea realizada directamente por ellas o a través de terceros.

• OBLIGACIONES Y DEBERES

La Ley contempla obligaciones y deberes para los responsables de los datos personales, entre los cuales podemos destacar los siguientes:

1. Identificar adecuadamente la licitud de las operaciones de tratamiento de datos personales que se llevan a cabo.
2. Contemplar información sobre las operaciones de tratamiento de datos que se desarrollan y facilitar el acceso permanente a esta información.
3. Establecer mecanismos que permitan el adecuado y oportuno ejercicio de los derechos reconocidos a los titulares de los datos personales.
4. Adoptar medidas de seguridad necesarias para la protección de los datos personales, destinadas a evitar su alteración, pérdida, filtración, destrucción o tratamiento no autorizado.
5. Contemplar medidas de reporte oportuno ante las eventuales vulneraciones a las medidas de seguridad previstas.

• CREACIÓN DE UN ORGANISMO DE CONTROL CON POTESTAD SANCIONADORA

Otro de los aspectos relevantes de la Ley es la creación de la Agencia de Protección de Datos Personales, la cual estará encargada de fiscalizar el cumplimiento de la normativa, determinar las infracciones e incumplimientos en que incurran los responsables de los datos personales, así como aplicar las sanciones correspondientes.

En relación con ello, cabe advertir que la Ley también innova al establecer tres categorías de infracciones con las siguientes sanciones:

–      Infracciones leves: amonestación escrita o multa de hasta 5.000 UTM.

–      Infracciones graves: multa de hasta 10.000 UTM.

–      Infracciones gravísimas: multa de hasta 20.000 UTM.

Lo anterior, sin perjuicio de las reglas especiales para la determinación de la multa aplicable dependiendo de las circunstancias que concurran, así como de la clase de empresa a la que corresponda según su tamaño; las sanciones accesorias que sean procedentes; y las demás responsabilidades legales, civiles o penales.

• ADOPCIÓN DE UN MODELO DE PREVENCIÓN DE INFRACCIONES

La Ley permite a los responsables de datos la adopción de un modelo de prevención de infracciones consistente en un programa de cumplimiento, el cual contempla la figura del delegado de protección de datos personales, y cuya certificación le corresponde a la Agencia de Protección de Datos Personales.

Este aspecto es de suma relevancia, ya que, si el responsable de los datos personales cuenta con un modelo certificado por la Agencia, ello podría constituir una circunstancia que permita atenuar su responsabilidad en el evento de cometer alguna infracción.

• ENTRADA EN VIGENCIA

Finalmente, se debe hacer presente que la Ley entrará en vigencia a partir del día primero del mes vigésimo cuarto posterior a la fecha de su publicación en el Diario Oficial.

En caso de requerir información adicional sobre esta materia, puede contactar a Javier Naranjo Solano (jnaranjo@jdf.cl), Macarena Naranjo Opazo (mnaranjo@jdf.cl) y a Javiera Rodríguez Oyarce (jrodriguez@jdf.cl).