/ (562) 2787 60 00
Noticias

/ Autoevaluación: ¿Cuán preparada está tu empresa para la Ley de protección de datos personales?

13 de Diciembre, 2024

La nueva Ley de Datos personales (21.719) fue publicada el 13 de diciembre de 2024 y entra en vigencia el 1 de diciembre de 2026. Revisa a continuación cuán preparada está tu empresa para enfrentar los desafíos que esta ley trae.

¿Has identificado las bases de datos personales y sensibles que trata tu empresa?

El dato personal es cualquier información vinculada o referida a una persona natural identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Para determinar si una persona es identificable deberán considerarse todos los medios y factores objetivos que razonablemente se podrían usar para dicha identificación en el momento del tratamiento.

El dato personal sensible es aquel que se refiere a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revele origen étnico o racial, afiliación política, sindical o gremial, situación socioeconómica, convicciones ideológicas o filosóficas, creencias religiosas, datos relativos a la salud, al perfil biológico humano, datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.

¿Cuentas con políticas que permitan clasificar los datos personales, sensibles y las categorías especiales de datos?

La ley 21.719 distingue entre los datos personales, sensibles y en las categorías especiales de datos los de menores de edad, de geolocalización y los estados con fines históricos, estadísticos, científicos y de estudios o investigaciones.

¿Tienes implementada una política de privacidad?

La ley 21.719 establece el deber de información y transparencia, es decir, el responsable de datos debe facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información:

  1. La política de tratamiento de datos personales que haya adoptado, la fecha y versión de esta.
  2. La individualización del responsable de datos y su representante legal y la identificación del encargado de prevención, si existiere.
  3. El domicilio postal, la dirección de correo electrónico, el formulario de contacto.
  4. Las categorías, clases o tipos de datos que trata; la descripción genérica del universo de personas que comprenden sus bases de datos; los destinatarios a los que se prevé comunicar o ceder los datos; las finalidades de los tratamientos que realiza;
  5. La base de legitimidad del tratamiento; y en caso de tratamientos que se basan en la satisfacción de intereses legítimos, cuáles serían estos.
  6. La política y las medidas de seguridad adoptadas para proteger las bases de datos personales que administra.
  7. Derecho que le asiste al titular para solicitar ante el responsable el ejercicio de los derechos Arco.
  8. Derecho de recurrir ante la Agencia.
  9. En su caso, la transferencia internacional de datos personales.
  10. Periodo de conservación.
  11. Fuente de la cual provienen los datos personales y, en su caso, si proceden de fuentes de acceso público.
  12. Cuando el tratamiento está basado en el consentimiento del titular, la existencia del derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
  13. La existencia de decisiones automatizadas, incluida la elaboración de perfiles.

¿Tu empresa captura consentimientos válidos?

Para saber si cuentas con este tipo de consentimiento te recomendamos lo siguiente:

  • Revisa tus bases de datos actuales, distinguiendo cuales de ellas se tratan en virtud de la ley y en el consentimiento.
  • Verifica que los consentimientos cumplan con el estándar actual.
  • Revisa qué es lo que será necesario adecuar conforme a la nueva regulación. Por ejemplo, aplicar granularidad basado en el consentimiento libre.
  • Contar con un sistema que permita gestionar los consentimientos de acuerdo con las preferencias de los titulares de datos (consentimiento granular).

¿Has implementado un proceso que permita satisfacer en tiempo (2 días hábiles en la ley actual y 30 en la nueva ley) y forma los derechos ARCO?

En virtud de la ley vigente los titulares de datos tienen los derechos de acceso, rectificación, cancelación y oposición, a los cuales la nueva regulación agrega, el de portabilidad y el derecho a oponerse a decisiones automatizadas.

¿Realizas transferencias internacionales de datos personales?

La ley 21.719 establece que un país tiene niveles adecuados de protección de datos cuando cumple con estándares similares o superiores a los fijados en aquella. Uno de esos estándares es la existencia de garantías adecuadas como instrumentos, mecanismos, cláusulas con similares o mayores principios, derechos y garantías a las que ofrece la ley y que otorguen derechos exigibles y acciones legales efectivas a los titulares de los datos. Lo recomendable es comenzar identificando que flujos internacionales existen, jurisdicciones y medidas adicionales que se puedan implementar con el fin de proteger los datos personales.

¿Tu empresa ha capacitado a sus trabajadores respecto de la protección de datos personales, de manera que puedan advertir el riesgo?

Te recomendamos capacitar a todos los trabajadores de la empresa, es parte de la debida diligencia en la prevención de infracciones.

¿Al determinar la idoneidad de proveedores, tu empresa considera la protección de datos personales?

Las empresas deben analizar el riesgo que implica un proveedor que ejecuta todo o parte del tratamiento de datos por cuenta del responsable. Ello permitirá medir y mitigar los riesgos.

¿Has identificado las brechas y las multas a las cuales te expones?

Tipo infracciónMulta
Levesamonestación escrita o multa de hasta 5.000 UTM
Gravesmulta de hasta 10.000 UTM
Gravísimasmulta de hasta 20.000 UTM

 

  • En caso de reincidencia, la Agencia podrá aplicar una multa de hasta tres veces el monto asignado a la infracción cometida. Si la reincidencia se refiere a infracciones graves o gravísimas de empresa de gran tamaño, existirá alternativamente la posibilidad de ser sancionado con el 2% o 4% de los ingresos anuales por ventas y servicios.
  • Durante el primer año de vigencia de la ley las pymes no estarán afectas a multas, solo a amonestaciones.
  • Los titulares afectados podrán demandar la indemnización de los perjuicios sufridos. En relación con ello, el Sernac y las asociaciones de consumidores pueden ejercer acciones colectivas fundado en el daño moral difuso.
  • Finalmente, y no por ello menos importante es el daño reputacional que puede sufrir una empresa al ser fiscalizado y condenado.

¿Cuentas con medidas de seguridad para la protección de los datos personales que trata dentro de su organización?

Para ello le recomendamos lo siguiente:

  • Adoptar medidas técnicas y organizativas adecuadas, tales como accesos y controles, con el objeto de limitar el acceso a la información de acuerdo con el rol de cada trabajador, contar con medidas tecnológicas tales como firewalls y antivirus, suscribir acuerdos de tratamiento de datos, seudo anonimizar, siempre que sea posible, de acuerdo con el tratamiento de datos que se realiza, entre otras.
  • Determinar la idoneidad de los proveedores.
  • Determinar controles y realizar auditorías con el objeto de velar por el cumplimiento de estos y en su caso implementar mejoras.

¿Cuentas con una estructura que permita garantizar el cumplimiento de la regulación?

Te recomendamos:

  • Determinar el nivel de cumplimiento de la empresa respecto de la nueva legislación, así como el nivel de exposición a riesgos normativos.
  • Identificar bases de datos y depurarlas conforme al principio de proporcionalidad.
  • Identificar bajo qué bases de licitud la empresa puede tratar los datos personales que actualmente procesa.
  • Revisar y actualizar políticas de privacidad.
  • Analizar los proveedores que intervengan en el tratamiento de datos que realiza la empresa. Ellos son encargados del tratamiento de datos y deben cumplir el estándar definido por la empresa.
  • No olvidar el tratamiento de datos personales que el empleador hace de sus trabajadores y el asociado a cumplimiento, estos también requieren adecuación.
  • Fomentar una cultura de protección de datos mediante la creación de un programa de privacidad y la confección de un modelo de prevención.
  • Actualizar matriz de riesgo, jorpolíticas y procedimientos relacionados con el tratamiento de datos personales, con foco en la determinación de riesgos y el establecimiento de medidas para mitigarlos, de manera que se adecuen a la realidad de la empresa. Los modelos de prevención son instrumentos vivos.
  • Mantenerse informadas sobre la nueva ley, como también de las normas específicas que pueda dictar la Agencia y la futura jurisprudencia administrativa.

/ Artículos relacionados

Aprobada ley de datos personales: claves para su implementación en las empresas

Aproximaciones a la protección de datos personales desde la autorregulación

Alessandri Talks 1: Sernac y datos personales

¿Cómo trata los datos de sus empleados?

Ciberseguridad y protección de datos personales

Clientes de Alessandri participaron en desayuno sobre Protección de Datos Personales: aprobado el proyecto de ley

/ Áreas relacionadas

Tecnología, ciberseguridad y protección de datos
Abrir chat
Gracias por comunicarte con Alessandri Abogados. Por favor, cuéntanos cómo podemos ayudarte.