Noticias

/ Proyecto de ley sobre protección de datos se despacha al Senado

23 de Mayo, 2023

El proyecto de ley que regula la protección de datos personales pasó a tercer trámite constitucional. Les detallamos los principales cambios que sufrió el boletín 11.144-07.

Jaime Urzúa
Asociado
Alessandri Abogados

A continuación, se expone un resumen de los principales aspectos que cambiaron desde el ingreso del proyecto de ley refundido que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (boletín 11.144-07) a la Cámara de Diputados hasta su despacho al Senado a su tercer trámite constitucional:

1. Ámbito territorial del proyecto de Ley:

El proyecto ahora considera que “las disposiciones de la presente ley se aplicarán al tratamiento de datos personales que se realice bajo cualquiera de las siguientes circunstancias:

a) Cuando el responsable o mandatario esté establecido o constituido en territorio nacional.

b) Cuando el mandatario, con independencia de su lugar de establecimiento o constitución, realice las operaciones de tratamiento de datos personales a nombre de un responsable establecido o constituido en territorio nacional.

c) Cuando el responsable o mandatario no se encuentren establecidos en el territorio nacional pero sus operaciones de tratamiento de datos personales estén destinadas a ofrecer bienes o servicios a titulares que se encuentren en Chile, independientemente de si a estos se les requiere un pago, o a monitorear el comportamiento de titulares que se encuentran en territorio nacional, incluyendo su análisis, rastreo, perfilamiento o predicción de comportamiento.

La presente ley también se aplicará al tratamiento de datos personales que sea realizado por un responsable que, no estando establecido en territorio nacional, le resulte aplicable la legislación nacional a causa de un contrato o del derecho internacional”.

2. Se eliminan los conceptos de “dato caduco”, “dato estadístico”, “bloqueo de datos”, “eliminación o cancelación de datos” (que ahora pasa a llamarse “derecho de supresión”), “banco de datos” (que ahora pasa a llamarse “base de datos”) y “motores de búsqueda”.

3. Respecto de la definición de dato personal sensible, se elimina el concepto de “hábitos personales” como tipo de dato sensible, pero se agrega la “situación socioeconómica” del titular de datos y estaría quedando como sigue: “tendrán esta condición aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como aquellos que revelen el origen étnico o racial, la afiliación política, sindical o gremial, situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural”.

4. El derecho de acceso incluye el derecho a acceder a información significativa sobre la lógica aplicada en el caso de que el responsable realice decisiones individuales automatizadas, incluida la elaboración de perfiles.

5. En el caso de las personas jurídicas no constituidas en Chile, los responsables deberán designar por escrito, ante la Agencia, un representante domiciliado en el país, para los efectos de que el titular pueda ejercer sus derechos consagrados en la presente ley y se le practiquen las comunicaciones y notificaciones judiciales o administrativas a que haya lugar.

6. Se elimina el concepto de “desequilibrio ostensible” en lo que se refiere a la obtención del consentimiento por parte del responsable.

7. Se explicitan casos de ejemplo para la regulación del deber de adoptar medidas de seguridad.

8. Se establece la obligación de hacer un (Privacy Impact Assessment) cuando sea probable que un tipo de tratamiento, por su naturaleza, alcance, contexto, tecnología utilizada o fines, se pueda producir un alto riesgo para los derechos de las personas titulares.

9. Se precisan cuáles garantías se consideran adecuadas para realizar transferencia internacional de datos.

10. La designación del Presidente de la Agencia será realizado por el Consejo Directivo de dicha institución y no por el Presidente de la República.

11. Se agrega como infracción a la ley el entregar información incompleta en el proceso de registro o certificación del modelo de prevención de infracciones.

12. Las infracciones leves serán sancionadas con amonestación escrita o multa de hasta 100 unidades tributarias mensuales. Las infracciones graves serán sancionadas con multa de hasta 5 mil unidades tributarias mensuales o, en el caso de empresas, multa de hasta la suma equivalente al 2% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 10 mil unidades tributarias mensuales. Las infracciones gravísimas serán sancionadas con multa de hasta 10 mil unidades tributarias mensuales o, en el caso de empresas, multa de hasta la suma equivalente al 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 20 mil unidades tributarias mensuales.

13. Cambia la forma de adopción de un modelo de prevención de infracciones. Ahora el modelo debe consistir en un programa de cumplimiento, el cual debe contener, al menos, la designación de un DPO y la identificación del tipo de información que el responsable trata, entre otros.

14. Respecto de la ley 19.496, y específicamente el artículo 15 bis se eliminan las facultades fiscalizadoras del Sernac respecto del tratamiento de datos en una relación de consumo. Sin perjuicio de lo anterior, quedan a salvo las acciones colectivas de la LPDC respecto de los datos personales de los consumidores, en el marco de las relaciones de consumo (artículos 2° bis y 58 bis de la LPDC).

15. Las modificaciones a LPVP, a la ley N°20.285, sobre acceso a la información pública, y LPDC, entrarán en vigor el día primero del mes vigésimo cuarto posterior a la publicación del Proyecto de Ley en el Diario Oficial.

16. El Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral, y los demás tribunales especiales creados por ley no estarán sujetos a las potestades de control ni a las potestades sancionatorias de la Agencia que puedan afectar su autonomía constitucional.

/ Artículos relacionados

La concientización al consumidor como defensa ante fraudes

Ciberseguridad en el metaverso: desafíos reales en un mundo virtual

Entrevista Radio Bío-Bío: Jaime Urzúa comenta sobre uso de imagen de Chayanne

Inclusión digital y democratización de las TI: desafío pendiente para los ecommerce

Avances en el proyecto de ley sobre protección de datos personales

/ Áreas relacionadas

Tecnología, ciberseguridad y protección de datos

Litigios y arbitrajes

Mercado de valores y seguros

Tecnología, ciberseguridad y protección de datos

Propiedad intelectual

Banca y finanzas

Marcas comerciales, regulación publicitaria y competencia desleal

Fusiones y adquisiciones

Libre competencia

Cumplimiento

Derecho de autor, entretenimiento y deporte

Derecho administrativo, regulatorio y contratación pública

Innovación y patentamiento

Laboral, previsional e inmigración

Derecho tributario

Asesoría corporativa

Insolvencia, liquidación y reemprendimiento

Aviación

Derecho inmobiliario

Recursos naturales y medioambiente, energía, minería y aguas

/ Proyecto de ley sobre protección de datos se despacha al Senado

El proyecto de ley que regula la protección de datos personales pasó a tercer trámite constitucional. Les detallamos los principales cambios que sufrió el boletín 11.144-07.

/ Artículos relacionados

/ Áreas relacionadas