Por Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.
La protección de los datos personales es un aspecto de creciente relevancia, particularmente en un contexto en el que la información se ha convertido en un activo de gran valor. Hoy con amenazas más frecuentes a la privacidad, la necesidad de crear, actualizar y fortalecer marcos regulatorios que normen su recopilación y administración es imperante. Ante este escenario, Chile ya se encuentra modernizando la actualización de esta ley.
El país emprendió en 2017 un nuevo proyecto de ley, en reemplazo de la Ley 19628 de 1999, que introduce tanto conceptos novedosos como cambios que requerirán un tiempo de adaptación por parte de las organizaciones privadas.
Con esta iniciativa, actualmente en el tercer trámite constitucional, Chile proyecta poner al día su legislación en materia de protección de datos y alinearse a estándares internacionales para brindar a los ciudadanos una mayor garantía y seguridad en el tratamiento de sus datos personales.
Pero, ¿qué dice la normativa actual? La ley de protección de datos vigente, a septiembre de 2023, define los distintos tipos de datos pertinentes a un individuo, como: el dato estadístico, aquel que en su origen o como consecuencia de su tratamiento no puede ser asociado a un titular identificado o identificable; los datos personales, información relacionada a personas naturales, ya sean identificadas o identificables; y los datos sensibles, que se refieren a características físicas o morales de las personas, como hábitos, origen racial, ideologías, opiniones políticas, creencias religiosas, estados de salud físicos o psíquicos, y vida sexual.
Asimismo, establece distintos puntos en cuanto al tratamiento de esta información. En primer lugar, en la recopilación de datos a través de encuestas u otros instrumentos similares, se debe informar a las personas sobre si las respuestas son obligatorias o voluntarias y el propósito de la información. Los titulares pueden oponerse al uso de sus datos personales para publicidad, investigaciones de mercado o encuestas de opinión.
Quienes trabajan con estos datos personales deben mantener la confidencialidad de estos, especialmente si provienen de fuentes no accesibles al público (por ejemplo, una base de datos de clientes). También se le entrega el poder de establecer procedimientos de transmisión autorizados a quienes sean los responsables del registro de estos datos, siempre que protejan los derechos de los titulares y estén relacionados con las tareas y objetivos de los organismos involucrados.
Los datos sensibles sólo pueden tratarse si la ley lo autoriza (con algún tipo de excepción contemplada por otro apartado legal), si hay consentimiento expreso del titular o si son necesarios para beneficios de salud.
Además, existe un apartado con dos delimitaciones dedicado a los organismos públicos que manejan datos personales en Chile. El primero indica que un organismo solo puede manejar esta información en asuntos que estén dentro de su competencia y debe seguir la ley sin necesidad de obtener el consentimiento del titular. Mientras que el segundo señala que aquellos organismos que manejan datos relacionados a condenas por delitos, infracciones administrativas o faltas disciplinarias no pueden compartir dicha información aunque hayan prescrito las sanciones o penas. Si bien hay excepciones, como mandatos de tribunales de justicia u otros organismos dentro de su competencia, deben mantener la confidencialidad y aplicar ciertas reglas específicas de la ley.
Por último, presenta las consecuencias por incumplimiento de la ley. Cualquier persona natural o jurídica, privada u organismo público, que cause daño patrimonial o moral debido al manejo indebido de los datos personales debe indemnizar al afectado, quien puede presentar una acción legal para buscar compensación y corregir la situación. Además, debe eliminar, modificar o bloquear los datos según lo requerido por el titular de los mismos o lo ordenado por un tribunal.
Cambios que propone la nueva ley
El proyecto introduce nuevos conceptos y cambios significativos:
- Principio de seguridad, confidencialidad y transparencia. Como novedad, los responsables del manejo de cualquier dato personal tienen la obligación de garantizar la seguridad de los mismos, evitar su uso no autorizado o ilícito (filtración, pérdida, alteración o accesos no autorizados), guardar secreto de los mismos y aplicar controles de acceso indebido.
- Además, deben darle al titular toda la información necesaria para ejercer sus derechos. El fin del almacenamiento de los datos, la sensibilidad de estos, la seguridad con la cual se los protege, entre otros. En caso de verse vulnerado alguno de estos principios, el responsable tiene la obligación de reportarlo a las autoridades pertinentes.
- Fuentes de licitud. Se modifican las fuentes en donde es lícito obtener datos personales. Además de contar con el consentimiento explícito del titular, se suman aquellos relativos a obligaciones económicas o financieras necesarios para el cumplimiento de una obligación legal, por ejecución de un contrato, para defensa de un derecho ante la justicia u otros.
- Consentimiento. Se amplían los medios para que el titular consienta, sumando declaraciones verbales y expresiones mediante medios electrónicos tan válidos como el consentimiento escrito. Además, se agrega una excepción de consentimiento no libre, para cuando los datos son solicitados por una prestación o contrato de forma obligatoria pero no necesaria.
- Autoridad de control. Se crea la Agencia de Protección de Datos Personales, una autoridad de control que instruirá, fiscalizará, recibirá denuncias y velará por el cumplimiento de esta ley.
- Derechos del titular. Se agrega el derecho de portabilidad de los datos y se modifica el plazo admisible de respuesta ante una solicitud de, por ejemplo, eliminación de datos a 15 días hábiles. Además, para reclamar por una solicitud rechazada o no respondida, se habilita la opción de recurrir a la Agencia de Protección de Datos Personales.
- Aplicación territorial. El proyecto de ley aplica si el responsable del registro o dueño de los datos se encuentra en el país, si se realizan en nombre de responsables chilenos o si es en virtud de un contrato o derecho internacional.
- Evaluación de impacto. Se introduce la posibilidad de hacer una evaluación de riesgos e impacto que puede suponer un proyecto que contenga registro de datos personales. Es obligatorio solamente en ciertos casos como cuando sea de alto riesgo por alguna razón (como la tecnología utilizada), contengan datos sensibles, impliquen monitoreo sistemático de zonas de acceso público, o los registros almacenados sean de gran escala.
Modernizando y fortaleciendo con estándares internacionales
De implementarse, la ley de datos personales en Chile marca un hito significativo en el panorama de la protección de la privacidad en América Latina, junto al antecedente de Brasil, que en 2021 promulgó la Ley General de Protección de Datos (siguiendo los lineamientos del GDRP europeo –General Data Protection Regulation-).
Si bien la introducción de nuevos conceptos y principios novedosos es un paso importante, también es esencial reconocer que la implementación de estos cambios llevará tiempo. La creación de una nueva agencia de fiscalización para supervisar el tratamiento de datos personales es un elemento crucial en esta transformación, ya que dotará al sistema de una autoridad independiente y especializada que velará por el cumplimiento de las normativas.
Para las organizaciones privadas que actúan como responsables de la recolección de datos personales, este cambio representará un desafío, ya que deberán adaptar sus prácticas y políticas internas para cumplir con las nuevas regulaciones.
Esta nueva ley no sólo establecerá un estándar más alto para el tratamiento de datos personales en Chile, sino que también servirá como un ejemplo positivo para otros países de la región que buscan fortalecer sus marcos legales de protección de datos. La privacidad y la seguridad de la información personal se están convirtiendo en una preocupación global y la adaptación de estas leyes es un paso crucial en la dirección correcta para abordar estos desafíos en la era digital.
Revisa nuestra sección Visiones aquí