Ley de protección de datos personales

Chile actualmente cuenta con una ley de protección de datos personales (ley 19.628), este cuerpo legal establece que se requiere contar con el consentimiento previo, informado y por escrito del titular para poder procesar sus datos, o estar habilitado por ley. Por tanto, cualquier servicio de teletrabajo o clases virtuales sólo podrá recolectar y utilizar aquellos datos que el titular haya consentido expresamente. Por otro lado, la ley consagra el principio de finalidad, el que se traduce en que los datos personales sólo pueden ser utilizados para el objetivo para la cual fueron recolectados. Esto significa que si la aplicación que utilizamos obtuvo datos personales en el marco del servicio que entrega, esos datos no pueden ser utilizados para un fin distinto, por ejemplo, venderlos a otra empresa para hacer marketing directo.

En este artículo solo abordaremos en resumen, dos ámbitos de la ley que de mucha importancia para las empresas que mantienen o tratan datos personales, si te interesa conocer la ley de forma más profunda puedes descargarla desde este link

La Ley 19.628 establece que los datos personales sólo pueden ser tratados para los fines para los cuales hubieran sido recolectados, salvo que provengan o se hayan recolectado de fuentes de acceso público.

La Ley 19.628 sólo reconoce como fuentes de licitud para el tratamiento de datos personales la habilitación legal y el consentimiento expreso y escrito del titular de los datos. De modo excepcional permite tratar datos personales, sin que concurran dichas habilitantes, cuando: los datos provienen de una fuente de acceso público y los datos sean de carácter económico, financiero, bancario o comercial; los datos estén contenidos en listados relativos a una categoría de personas que se limitan a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento; y los datos sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios.

La Ley 19.628 regula lo que se refiere al elemento temporal, disponiendo que los datos deben ser eliminados o cancelados cuando su almacenamiento carezca de fundamento legal o cuando hayan caducado (dato caduco es aquel que ha perdido actualidad por disposición de la ley, por el cumplimiento de la condición o la expiración del plazo señalado para su vigencia o, si no hubiese norma expresa, por el cambio de los hechos o circunstancias que consigna).

Responsabilidad

La Ley 19.628 establece una serie de obligaciones para los responsables del tratamiento, consistentes básicamente en el deber de modificar los datos cuando sean erróneos, inexactos, equívocos o incompletos, cuestión que deberá realizar sin necesidad de requerimiento del titular. Asimismo, ordena que se bloqueen los datos personales cuya exactitud no pueda ser establecida o cuya vigencia sea dudosa y respecto de los cuales no corresponda la cancelación.

Este principio se encuentra tratado de manera análoga en la Ley 19.628 y en el proyecto de ley, consistiendo, básicamente, en que quienes realicen tratamiento de los datos personales serán legalmente responsables del cumplimiento de los principios, obligaciones y deberes de conformidad a la ley.

De este modo, los responsables deben adoptar medidas activas de promoción de las condiciones bajo las cuales realizan el tratamiento de los datos, permitiendo que estas se encuentren disponibles durante todo el ciclo de vida de los datos personales tratados. Así, se deberán adoptar medidas que podrán ser diferenciadas durante la recolección de los datos, su custodia, eliminación, etc.

La Ley 19.628 establece que quien trata datos personales se encuentra obligado a guardar secreto sobre los mismos cuando provengan o hayan sido recolectados de fuentes no accesibles al público, como asimismo sobre los demás datos y antecedentes relacionados con el banco de datos, obligación que no cesa por haber terminado sus actividades en ese campo.

Sistema de infracciones y multas

Las infracciones cometidas por los responsables de datos a los principios, derechos y obligaciones establecidos en esta ley se califican, atendida su gravedad, en leves, graves y gravísimas.

  • Las infracciones leves serán sancionadas con amonestación escrita o multa de 1 a 100 unidades tributarias mensuales.
  • Las infracciones graves serán sancionadas con multa de 101 a 1.000 unidades tributarias mensuales.
  • Las infracciones gravísimas serán sancionadas con multa de 1.001 a 10.000 unidades tributarias mensuales.

Para la determinación del monto de las multas, el Consejo para la Transparencia y la Protección de Datos Personales deberá ponderar racionalmente cada una de las atenuantes y agravantes que concurran en el caso concreto para que ésta sea proporcional a la intensidad de la afectación. Asimismo, en caso de reincidencia (más de una infracción en un plazo de 24 meses), podrá aplicar una multa de hasta tres veces el monto asignado a la infracción cometida.

Finalmente, hay que tener presente que el proyecto de ley considera dos sanciones accesorias, que pueden resultar tanto o más gravosa que la multa impuesta por la infracción:

  1. Inhabilitación para tratar datos personales – En caso que se impongan multas por infracciones gravísimas reiteradas, en un período de 24 meses, el Consejo para la Transparencia y la Protección de Datos Personales podrá disponer la suspensión de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un término de 30 días. Este lapso podrá ser prorrogado indefinidamente hasta que se adopte las medidas necesarias para adecuar sus operaciones y actividades a las exigencias dispuestas en la resolución que ordenó la suspensión.
  2. Incorporación en Registro Nacional de Cumplimiento e Infracciones – En él se anotarán los responsables de datos sancionados por infringir los principios y obligaciones establecidos en la ley, la conducta infraccionada, las circunstancias atenuantes y agravantes de responsabilidad y la sanción impuesta. Las anotaciones en el registro serán de acceso público por el período de 5 años, a contar de la fecha en que se practicó la anotación.

Conclusiones

La relevancia que ha adquirido el tratamiento masivo de datos personales, en conjunto con el incremento de los incidentes de seguridad vinculados a ellos, ha generado que la necesidad de avanzar en mejor regulación en materia de obligaciones de seguridad de datos personales sea un tema relevante para la protección de los derechos fundamentales en nuestro país.

La normativa de protección de datos se traduce entonces en incentivos concretos para invertir en seguridad, y así enfrentar de mejor manera vulnerabilidades y mantener los sistemas en constante revisión. Las organizaciones deberán implementar seguridad no solo por el valor económico de los datos personales, sino además, por que estará en riesgo su reputación, la confianza con los clientes puesto que como responsable de las bases de datos, son sus custodios y los datos pertenecen a sus titulares.