InicioInformación InstitucionalPolíticas y reglamentos – v1Nueva Regulación de Datos PersonalesPreguntas Frecuentes

Preguntas Frecuentes

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

La Ley establece un nuevo paradigma sobre el tratamiento de datos personales, pasando desde un sistema de libre circulación de los datos a uno donde el foco está en la protección de persona natural (el titular). Por ende, se establecen los siguientes derechos en favor de los titulares de datos personales:

  • Derecho de Acceso, que permite al titular acudir ante el Responsable para confirmar si es que sus datos están siendo tratados por él.
  • Derecho de Rectificación, que permite acudir ante el Responsable para corregir los datos que están siendo tratados por él.
  • Derecho de Supresión, permite que el titular solicite la eliminación de sus datos personales bajo distintos supuestos, por ejemplo, ante la revocación del consentimiento.
  • Derecho de Oposición, permite oponerse a que se realice un tratamiento específico o determinado de datos personales.
  • Derecho de Oposición a decisiones individuales automatizadas, busca la intervención humana cuando existe un tratamiento efectuado por sistemas automatizados.
  • Derecho de Bloqueo, permite que, junto con el derecho de rectificación, supresión u oposición, se suspenda temporalmente el tratamiento, mientras no se resuelva la solicitud relativa al ejercicio de esos derechos.
  • Derecho de Portabilidad, permite solicitar y recibir copia de los datos personales tratados por un Responsable en un formato genérico y de uso común para poder transferirlos a otro Responsable de datos.

La Ley de Protección de Datos Personales establece distintas atenuantes de responsabilidad, siendo una de ellas contar con un Modelo de Prevención de Infracciones certificado por la Agencia de Protección de Datos Personales.

De acuerdo con la Ley, los Modelos de Prevención deben tener un contenido mínimo compuesto por:

  • La designación de un Delegado de Protección de Datos, así como la definición de medios y facultades del Delegado.
  • La identificación del tipo de información que trata el Responsable, el ámbito territorial en que opera, el tipo de datos o bases de datos que administra, y la caracterización de los titulares de datos.
  • La identificación de las actividades o procesos del Responsable, habituales o esporádicos, donde se incremente el riesgo de que se comentan infracciones a la ley.
  • El establecimiento de protocolos, reglas y procedimientos específicos que prevenga la comisión de infracciones.
  • La implementación de mecanismos de reporte interno sobre el cumplimiento de la Ley.
  • La existencia de sanciones internas, así como procedimientos de denuncia y castigo a las personas que incumplan el Modelo de Prevención.

Asimismo, la Ley exige que la regulación interna que conlleva el Modelo de Prevención, sea incorporada expresamente como una obligación en los respectivos contratos de trabajo o de prestación de servicios, así como en los contratos con los terceros encargados del tratamiento de datos, o bien como obligación en el respectivo Reglamento Interno de Orden, Higiene y Seguridad.

Finalmente, es necesario destacar que la certificación otorgada por la Agencia a los Modelos de Prevención tendrá una duración de 3 años, sin perjuicio de las causales que dejan sin efecto la certificación como la revocación efectuada por la Agencia, por el fallecimiento del Responsable en caso de ser persona natural, por la disolución de la persona jurídica, por resolución judicial ejecutoriada o por cese voluntario de la actividad del responsable de datos.

La Ley de Protección de Datos Personales consagra distintos principios, siendo uno de ellos el de licitud y lealtad. En este sentido, los datos personales sólo pueden ser tratados de forma lícita cuando procede una base de licitud que justifique el tratamiento de datos personales. Estas bases de licitud o legitimidad son supuestos que establece la ley y que autorizan a tratar datos personales.

Las bases de licitud que consagra la Ley son:

  • Consentimiento, el cual debe ser libre (sin coacción, debe haber una libre elección del titular sin perjuicio alguno), informado (que el titular sepa claramente para qué van a tratar sus datos personales y la identidad del Responsable), específico (en cuanto a las finalidades del tratamiento) e inequívoco (que dé cuenta con claridad de la voluntad del titular), pudiendo ser expreso o tácito por regla general. Sin embargo, en materia de datos personales sensibles, el consentimiento debe ser expreso.
  • Cuando el tratamiento se refiere a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, lo cual tiene como finalidad darle transparencia al mercado respecto de las obligaciones económicas asumidas por las personas. (Ejemplo: No necesito pedir el consentimiento para tener datos de alguien que me adeuda dinero)
  • Cuando el tratamiento es necesario para la ejecución o cumplimiento de una obligación legal o lo disponga la ley, pudiendo referirse a obligaciones de carácter penal, tributario, laboral, medioambiental, sanitario, etc. (Ejemplo: Registro de Pensiones de Alimentos).
  • Cuando el tratamiento es necesario para la celebración o ejecución de un contrato o medidas precontractuales entre el titular y el responsable. (Ejemplo: Contrato laboral).
  • Cuando el tratamiento es necesario para la satisfacción de intereses legítimos del responsable o de un tercero, lo cual exige una ponderación con los derechos y libertades de los titulares de datos personales. (Debe ser un interés concreto, real y actual)
  • Y, cuando el tratamiento de datos es necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos, buscando velar por el derecho a la tutela judicial efectiva. (Ejemplo: Tratar datos como prueba en el curso de un juicio, como tener un registro de grabaciones de cámaras)

La Ley se estructura en base a distintos principios, que tienen gran importancia, ya que ellos se concretan en diversos deberes para los Responsables del tratamiento de datos personales y derechos para los titulares de los datos. Estos principios son:

  • Principio de licitud y lealtad, que se refiere al hecho de que los datos personales sólo pueden ser tratados en aquellos supuestos o bases de licitud que establece la Ley.
  • Principio de finalidad, que implica que los datos sólo pueden ser recolectados con fines específicos, explícitos y lícitos. Prohibiendo tratamientos para finalidades distintas a las informadas, salvo cuando concurra alguna excepción legal.
  • Principio de proporcionalidad, que establece que los datos deben limitarse a aquellos que son estrictamente necesarios, adecuados y pertinentes en relación a los fines del tratamiento. Implicando, además, que los datos deben ser conservados por el tiempo necesario para cumplir con los fines.
  • Principio de calidad, que exige que los datos tratados por los Responsables deben ser completos, actuales y pertinentes.
  • Principio de responsabilidad, que implica un deber para los Responsables que consiste en tratar los datos personales de acuerdo con los principios, obligaciones y demás deberes que establece la Ley.
  • Principio de seguridad, impone a los Responsables el deber de garantizar estándares mínimos de seguridad que protejan los datos personales de tratamientos no autorizados o ilícitos, así como contra su pérdida, filtración, daño o destrucción.
  • Principio de transparencia e información, se refleja en el deber de los Responsables de entregar al titular, en forma precisa, clara, inequívoca y gratuita, toda la información que sea necesaria para el ejercicio de sus derechos, lo cual incluye sus políticas y prácticas relativas al tratamiento de datos personales.
  • Y, principio de confidencialidad, que se refiere al deber de los Responsables de guardar secreto o confidencialidad respecto de los datos personales que son objeto de tratamiento, deber que subsiste inclusive una vez terminada la relación con el titular.

La Ley de Protección de Datos Personales establece un catálogo de infracciones, atribuyendo distintas sanciones con montos que varían según la gravedad de la conducta. En este sentido, la Ley clasifica las infracciones en:

  • Infracciones leves. Estas se refieren a incumplimientos de menor entidad respecto a las obligaciones que contiene la Ley, las cuales se sancionan con amonestación escrita o multa de hasta 5.000 UTM, aproximadamente $343.240.000. Por ejemplo, incumplir el deber de información y transparencia, así como omitir la respuesta o responder de forma incompleta o fuera de plazo a las solicitudes efectuadas por los titulares. Ejemplo: Empresa no tiene política de privacidad o política de cookies en el sitio web.
  • Infracciones graves. Estas hacen referencia a incumplimiento centrales respecto a las bases de licitud y principio de finalidad. Se sancionan con multas de hasta 10.000 UTM, aproximadamente $686.480.000. Por ejemplo, tratar datos personales sin el consentimiento del titular o sin otra base de licitud que lo permita o una empresa usa los datos de clientes que son para cobros con otros fines: publicitarios o de RSE.
  • Infracciones gravísimas. Se refiere a aquellos incumplimientos más severos de los derechos, principios y obligaciones de la Ley. Son sanciones directas a actividades fraudulentas o maliciosas en el tratamiento de datos, así como el tratamiento de datos sensibles y de menores. Estas se sancionan con multas de hasta 20.000 UTM, aproximadamente $1.372.960.000. Por ejemplo, comunicar o ceder información no veraz, incompleta, inexacta o desactualizada, a sabiendas. (Ejemplo: compra aquí la lista con teléfonos y correos electrónicos de todos los gerentes de Chile)

Asimismo, ante infracciones gravísimas reiteradas, en un periodo de 24 meses, se pueden aplicar sanciones accesorias, tales como la suspensión de las operaciones y actividades de tratamiento de datos hasta por 30 días.

Además de aplicar multas al 2% de la facturación anual, cuando son infracciones graves reiteradas, o el 4% de la facturación anual en caso de ser infracciones gravísimas reiteradas.

Cabe destacar que las infracciones y sus respectivas sanciones se enmarcan en las facultades de la Agencia de Protección de Datos Personales, ya que la imposición de estas multas consistirá en un procedimiento administrativo. Sin embargo, el resultado de este podrá ser impugnado mediante reclamación judicial ante la Corte de Apelaciones del lugar donde se encuentre domiciliado el reclamante o ante la Corte de Apelaciones de Santiago, según se prefiera.