Publicaciones y temas de interés

Temas legales

1 de Septiembre, 2017
Comentarios   0

Proyecto de ley que regula la protección y el tratamiento de datos personales y crea una nueva institucionalidad para su control y fiscalización

Proyecto de Ley que modifica la Ley N° 19.628, sobre Protección a la Vida Privada.

Numerosos son los servicios que a diario solicitan nuestros datos personales. Un sin número de bases de datos contienen antecedentes sobre nuestra información bancaria, de salud, previsional, laboral, entre otros, sin embargo, no es posible determinar con certeza si la información aportada está siendo utilizada para los fines consentidos, quiénes son los responsables del tratamiento de los datos y si la información sensible está lo suficientemente protegida ante posibles fugas o fallos informáticos.

El 13 de Marzo de 2017, el Ejecutivo envió al Senado el proyecto que modifica la Ley N° 19.628, sobre Protección de la Vida Privada, documento que busca perfeccionar los preceptos legales actuales, adecuándola a la normativa internacional vigente y respondiendo a los estándares exigidos por la Organización para la Cooperación y el Desarrollo Económico (OCDE).

Las principales modificaciones contenidas en el proyecto de ley en actual discusión, son las siguientes:

  1. Define con mayor precisión el concepto de “consentimiento” del titular de la información.

Actualmente, el artículo 4° de la Ley N° 19.628 legitima el tratamiento de datos personales de terceros cuando la misma norma u otras disposiciones legales lo autoricen, o el titular consienta expresamente en ello por escrito.

El proyecto de ley en actual discusión innova en tal sentido y exige que el consentimiento se manifieste de forma inequívoca, permitiendo con ello que pueda expresarse por cualquier otro medio idóneo, incluidos aquéllos tecnológicos, sin la necesidad de que conste por escrito.

Adicionalmente, la propuesta normativa modifica el estatuto de “excepciones al consentimiento”, reconociendo dichos casos cuando la información ha sido recolectada de una fuente de acceso público; cuando sean datos relativos a obligaciones de carácter económico, financiero, bancario o comercial; o cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o de un contrato en que es parte el titular.

  1. Perfecciona las disposiciones relativas a datos sensibles y especiales.

El proyecto en estudio eleva el estándar para el tratamiento de datos sensibles, el que sólo podría realizarse si el titular consienta libre e informadamente en forma expresa.

Adicionalmente, se introducen normas especiales para el tratamiento de datos personales relativos a la salud, a datos biométricos y a datos del perfil biológico humano; el tratamiento de datos personales con fines históricos, estadísticos, científicos y para estudios o investigaciones que atiendan a fines de interés público; y el tratamiento de datos personales de geolocalización o de movilidad del titular.

En la misma lógica, se establece como regla basal que el tratamiento de los datos personales que conciernen a los niños, sólo pueda realizarse atendiendo al interés superior de éstos y al respeto de su autonomía progresiva. Asimismo, se regulan en forma diferenciada las autorizaciones que se requieren para tratamiento de información de niños y adolescentes.

  1. Se complementa el concepto de “fuentes de acceso público”.

Actualmente la normativa define “fuentes accesibles al público” como “los registros o recopilaciones de datos personales, públicos o privados, de acceso no restringido o reservado a los solicitantes”, definición ampliamente criticada por estimarse que todo aquello que no sea reservado o confidencial pasa a ser una fuente de acceso público, surgiendo casos prácticos complejos de difícil solución. Respondiendo a las críticas, el actual proyecto en discusión busca ampliar el concepto en los siguientes términos: “fuentes accesibles al público” son “todas aquellas bases de datos personales, públicas o privadas, cuyo acceso o consulta puede ser efectuado en forma lícita por cualquier persona, sin existir restricciones o impedimentos legales para su acceso o utilización.”

  1. Crea la Agencia de Protección de Datos Personales, con facultades sancionatorias y regulatorias.

El proyecto de Ley crea una institución especializada y de carácter técnico, denominada “Agencia de Protección de Datos Personales”, encargada de velar y fiscalizar el cumplimiento de la normativa contenida en la Ley 19.628, organismo que dependería del Ministerio de Hacienda y se encontraría afecto al Sistema de Alta Dirección Pública.

  1. Nuevo catálogo de infracciones y sanciones.

Actualmente, con relación al aspecto sancionatorio, la normativa ha sido ampliamente criticada por la falta de un catálogo de infracciones y por la poca severidad de sus sanciones. Así, frente a fallas de seguridad en ciertos bancos, que han resultado en fugas de datos, no ha existido sanción, y de existir, las multas asociadas son de muy poca cuantía.

En respuesta a las críticas, el proyecto contempla un catálogo específico de infracciones a los principios y obligaciones establecidos en la ley, los que se califican en leves, graves y gravísimas, estableciendo sanciones correlativas a la gravedad de la infracción que van desde la amonestación escrita, a multas que oscilan entre 1 y 5.000 UTM. En casos excepcionales se contempla el cierre o clausura de las operaciones de tratamiento de datos.

Asimismo, el proyecto en estudio propone que la determinación de las infracciones y la aplicación de la sanción respectiva correspondan a la Agencia de Protección de Datos Personales.

  1. Establece nuevos procedimientos para perseguir responsabilidades

El procedimiento actual sólo permite la judicialización de los casos, inhibiendo a muchos a exigir las responsabilidades pertinentes por vulneración de sus derechos, puesto que el costo asociado a un juicio es muy  alto. En razón de lo anterior, el proyecto en estudio propone un nuevo procedimiento para perseguir responsabilidades en tres instancias: ante el responsable, ante la autoridad de protección de datos, y ante sede judicial en caso de inconformidad con lo resuelto por ésta última, modelo que resulta más accesible, y de menor costo para quienes quieran hacer valer las disposiciones contenidas en la Ley.

  1. Exige la adopción de medidas de seguridad para quienes manejan información personal de terceros y regula la adopción y certificación de un modelo de prevención de infracciones.

El proyecto en discusión establece la obligación de implementar medidas de seguridad a los responsables en el tratamiento de la información de terceros, y de notificar al organismo fiscalizador de todo actuar que transgreda o vulnere dichas medidas de seguridad. Asimismo, como una forma de incentivar y promover el cumplimiento de la ley, el proyecto regula la adopción por parte del sector privado y del sector público de modelos de prevención de infracciones, fijando para ello los estándares y requisitos mínimos con los que se deberá cumplir.

La certificación y supervisión de estos programas estaría a cargo de la Agencia de Protección de Datos Personales.

  1. Crea un Registro Nacional de Cumplimiento y Sanciones.

Se busca crear un registro nacional de carácter público administrado por la Agencia de Protección de Datos Personales, que consignaría las sanciones impuestas a los responsables de datos por infracción a la ley, los modelos de prevención de infracciones que implementen los responsables y los programas de cumplimiento debidamente certificados.

  1. Restringe el tratamiento automatizado de datos

Una de las principales innovaciones de esta nueva normativa es la regulación del tratamiento automatizado de grandes volúmenes de datos, o “Big Data”, protegiendo la facultad de control del titular sobre su propia información, pero reconociendo también la licitud del acceso y uso de la información por parte de terceros y particularmente, de las empresas.

El titular de datos tiene derecho a oponerse ante el responsable a que se realice un tratamiento específico o determinado de los datos personales que le conciernan, en los casos dispuestos por la norma:

  • Cuando se realice tratamiento automatizado de sus datos personales y se adopten decisiones que impliquen una valoración, evaluación o predicción de su comportamiento realizada únicamente en base a este tipo de tratamiento, salvo las excepciones previstas en la ley.
  • El titular de datos tiene derecho a solicitar al responsable que ninguna decisión que le afecte de manera significativa se adopte exclusivamente basada en el tratamiento automatizado de sus datos, salvo que sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, exista consentimiento previo y explícito del titular o lo disponga la ley.

La importancia del presente análisis radica en que en caso de aprobarse el proyecto de ley en actual discusión, todos quienes manejen información de terceros de carácter personal deberá ajustar su funcionamiento interno y operatividad a las nuevas exigencias normativas, debiendo establecer protocolos de seguridad en el tratamiento de la información, capacitando a quienes tienen acceso a ella y proveyendo a los trabajadores de la asistencia necesaria que evite incurrir en incumplimientos sancionados por la autoridad administrativa que se creará para dicho efecto, entidad que exigirá la autorregulación como mecanismo para salvaguardar el buen uso de la información.

Gabriela Salazar Pinto

Gabriela Salazar Pinto

Más artículos de Gabriela

Comentar este artículo

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Su navegador es obsoleto

Lamentablemente su navegador web es muy atiguo. Lo invitamos a actualizar a la última versión de Internet Explorer para navegar seguro. O bien, puede utilizar otro navegador como Google Chrome o Mozilla Firefox.