En el Senado actualmente se tramita un proyecto de ley que modifica sustancialmente la Ley de Protección de Datos N° 19,628.

La Comisión de Constitución del Senado refundió en un solo texto dos proyectos de ley de modificación a la Ley de Protección de datos: la Moción de los Senadores Harboe, Araya, De Urresti, Espina y Larraín, con el Mensaje de la ex Presidenta, cuyo contenido comentamos profundamente hace un año.

El martes 3 de abril el Senado aprobó en general el texto del proyecto refundido, por 42 votos a favor y una abstención. Para que se transforme en ley falta aún la discusión en particular en el Senado, y su discusión en la Cámara de Diputados.

El siguiente es un resumen de los aspectos principales de la actual versión del proyecto de ley.

1.- Novedades del Proyecto

  • Establece expresamente principios que regulan e informan el uso de los datos personales y nuevos derechos de los titulares de los datos.
  • Modifica el alcance de dato personal: "cualquier información vinculada o referida a una persona natural, identificada o identificable", calificando esa identificabilidad cuando la identidad de la persona pueda determinarse mediante información combinada con otros datos, en particular mediante un identificador; excluyendo aquellos casos en que el esfuerzo de identificación sea desproporcionado.
  • Regula en mayor detalle los requisitos del consentimiento, definiéndolo como una manifestación de voluntad libre, específica, inequívoca e informada; y eliminando el requisito de consentimiento escrito.
  • Establece nuevas fuentes de licitud para el tratamiento, distintas del tratamiento binario "autorización legal o consentimiento" de la ley actual. Es decir, se establecen escenarios donde el tratamiento es autorizado aun sin requerir el consentimiento del titular.
  • Diferencia conceptualmente la cesión de la comunicación (o transmisión) de datos personales. La cesión es el traspaso de responsable a responsable y exige el cumplimiento de requisitos especiales. La comunicación, en cambio, involucra el dar a conocer los datos "sin llegar a cederlos".
  • Establece categorías especiales de datos personales sujetos a regulación especial: Los de niños y adolescentes; los que se utilizan con fines históricos, estadísticos o científicos; y datos de geolocalización.
  • Establece y regula en forma clara los derechos de los titulares de datos: Acceso, rectificación, cancelación, oposición y portabilidad.
  • Establece un nuevo derecho de oposición a valoraciones personales automatizadas del titular de datos a oponerse a que el responsable adopte decisiones que le afecten significativamente en forma negativa o le produzcan efectos jurídicos adversos, basadas únicamente en el tratamiento automatizado de sus datos personales, incluida la elaboración de perfiles.
  • Crea una Agencia de Protección de Datos Personales con la capacidad de fiscalizar y sancionar los incumplimientos de la ley mediante la aplicación de multas de hasta 5.000 UTM (CLP 236.500.000, a abril de 2018).
  • Crea un Registro Nacional de Cumplimiento y Sanciones.
  • Establece nuevos procedimientos para perseguir responsabilidades.
  • Regula por primera vez la transferencia internacional de datos personales.
  • Establece por primera vez deberes asociados a la seguridad de los datos: El deber de adoptar medidas de seguridad, y obligaciones de reporte de violación de medidas de seguridad.
  • Establece la posibilidad de adopción de modelos de prevención de infracciones, asociado a atenuantes de responsabilidad, los que deben ser certificados por la autoridad.

2.- Alcance

El proyecto regula el tratamiento de datos personales que efectúen personas naturales y jurídicas, públicas o privadas, que no se encuentren regidos por una ley especial.

La ley no se aplica al tratamiento que se realicen los medios de comunicación social en el ejercicio de las libertades de emitir opinión e informar, y al tratamiento que efectúan las personas naturales en relación con sus actividades personales.

3.- Principios

  • Principio de licitud: Sólo puede hacerse tratamiento de datos personales con sujeción a la ley.
  • Principio de finalidad: los datos se deben recolectar con fines específicos, explícitos y lícitos; y el tratamiento debe limitarse al cumplimiento de esos fines. Ciertas excepciones permiten tratar los datos con fines distintos a los informados, como la existencia de una relación contractual que lo justifique, o la proveniencia de los datos de una fuente de acceso público.
  • Principio de proporcionalidad: Los datos que se traten deben limitarse a los necesarios en relación con los fines del tratamiento, y deben conservarse sólo por el tiempo que sea necesario para cumplir con esos fines. Un período de tiempo mayor requiere obtener una nueva autorización legal o consentimiento del titular.
  • Principio de calidad: los datos personales deben ser exactos, completos y actuales, en relación con los fines del tratamiento.
  • Principio de responsabilidad:quienes realicen tratamiento de datos personales serán legalmente responsables de cumplir con los principios y obligaciones legales.
  • Principio de seguridad: se deben garantizar estándares adecuados de seguridad, protegiendo los datos contra el tratamiento no autorizado, pérdida, filtración, daño o destrucción, aplicando medidas técnicas u organizativas apropiadas.
  • "Principio de transparencia e información: Las políticas de tratamiento de datos deben estar permanentemente accesibles, de manera precisa, clara, inequívoca y gratuita.
  • Principio de confidencialidad: El responsable y quienes tengan acceso a los datos deben guardar secreto acerca de aquellos. El responsable debe establecer controles adecuados para preservar el secreto. Este deber subsiste aún después de concluida la relación con el titular.

4.- Derechos de los Titulares, los "Derechos ARCOP"

Derechos personales, intransferibles e irrenunciables, pero transmisibles: Pueden ser ejercidos por los herederos del titular.

  • Derecho de acceso: Solicitar y obtener confirmación acerca de si sus datos personales están siendo tratados, accediendo a: (i) los datos tratados y su origen; (ii) la finalidad del tratamiento; (iii) los destinatarios a quienes se han comunicado o cedido o se prevé comunicar o ceder y (iv) el periodo de tiempo durante el cual serán tratados. El proyecto contempla ciertas excepciones a este derecho.
  • Derecho de rectificación: Derecho a solicitarla cuando los datos son inexactos, desactualizados o incompletos.
  • Derecho de cancelación: Derecho a pedir la destrucción de los datos, en escenarios tales como (i) cuando no son necesarios en relación con los fines para el cual fueron recogidos; (ii) cuando se haya revocado el consentimiento; (iii) cuando hayan sido obtenidos o tratadas ilícitamente por el responsable; entre otros.
  • Derecho de oposición: Derecho solicitar que no se lleve a cabo un tratamiento determinado, si (i) afecta sus derechos y libertades fundamentales; (ii) se realiza exclusivamente con fines de marketing directo, salvo que exista un contrato entre titular y el responsable; (iii) el titular de datos ha fallecido; o (iv) se realiza respecto de datos obtenidos de una fuente de acceso público.
  • Derecho de portabilidad: Derecho a obtener una copia de los datos personales de manera estructurada, en un formato genérico y de uso común, que permita ser operado por distintos sistemas y comunicarlos a otro responsable, cuando (i) el titular haya entregado sus datos directamente al responsable; (ii) sea un volumen relevante de datos, tratados de forma automatizada; y (iii) la base el titular haya dado su consentimiento para el tratamiento o se requiera para la ejecución o el cumplimiento de un contrato.

Plazo para pronunciarse: El responsable debe pronunciarse en quince días hábiles desde la fecha de ingreso de la solicitud.

To view the full article, please click here

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.