La nueva Ley de Protección de Datos Personales en Chile tiene por objetivo fortalecer la privacidad y seguridad de los ciudadanos frente al uso de su información en plataformas digitales.
Esta nueva normativa introduce cambios significativos en cómo deben gestionarse los datos personales, estableciendo obligaciones claras para las organizaciones y ampliando los derechos de los titulares de datos.
A continuación, abordamos los mitos más comunes sobre esta ley, explicando cómo la realidad de su aplicación afecta a empresas de todos los tamaños, estableciendo un marco regulador más riguroso.
¿La nueva ley no afecta la forma en que se recopilan datos personales en sitios web o aplicaciones?
Realidad: Con el nuevo marco regulatorio, se requerirá una mayor transparencia en la recolección y tratamiento de datos personales en plataformas digitales. Los responsables deberán informar claramente sobre las finalidades del tratamiento y las bases legales que lo justifican, además de adoptar medidas técnicas y organizativas adecuadas para garantizar la protección de la privacidad desde la etapa de diseño. Los usuarios tendrán más control sobre sus datos, lo que impacta directamente en cómo se gestionan cookies, formularios y otras tecnologías de recolección de información en línea.
¿Solo las grandes empresas están obligadas a cumplir con la ley?
Realidad: La ley afecta a todas las entidades que realicen tratamiento de datos personales, independientemente de su tamaño o naturaleza. Esto incluye tanto a pequeñas como grandes empresas y personas naturales. Aunque las PYMES tendrán un “plazo de gracia” de 12 meses adicionales para adecuarse, todas, incluidas las personas naturales deberán cumplir eventualmente con las disposiciones establecidas. No cumplir con las normativas podría resultar en sanciones significativas, incluso para las pequeñas empresas y personas que manejen datos personales.
¿La transferencia internacional de datos sigue sin regulación?
Realidad: El nuevo marco regula explícitamente las transferencias internacionales de datos, estableciendo criterios claros sobre cuándo son lícitas y las obligaciones que los responsables de tratamiento deben cumplir.
¿La nueva ley no prevé sanciones graves para las infracciones?
Realidad: La nueva Ley introduce un régimen sancionatorio riguroso, con multas que varían según la gravedad de la infracción (leves, graves y gravísimas). Las infracciones gravísimas pueden acarrear multas de hasta 20.000 UTM. Además, en casos de reincidencia, la Agencia Nacional de Protección de Datos tiene la facultad de suspender las actividades de tratamiento por un plazo de hasta 30 días, lo que implica una consecuencia severa para las operaciones de cualquier organización.
¿Los responsables del tratamiento de datos están obligados a informar sobre las bases legales del tratamiento?
Realidad: El nuevo proyecto establece que el responsable del tratamiento deberá informar a los titulares sobre la base de licitud que justifica el tratamiento de sus datos. Asimismo, deberán adoptar medidas técnicas y organizativas desde el diseño hasta la ejecución del tratamiento para garantizar la confidencialidad y seguridad de los datos personales.
¿Existe una autoridad que supervise el cumplimiento de la ley?
Realidad: La creación de la Agencia Nacional de Protección de Datos es uno de los cambios más relevantes del proyecto de ley. Este órgano tendrá facultades no solo para fiscalizar el cumplimiento de la normativa, sino también para sancionar a quienes la infrinjan. Además, será responsable de emitir directrices para garantizar un tratamiento adecuado de los datos y certificar modelos de prevención implementados por las organizaciones.
¿Los derechos de los titulares de datos son renunciables o negociables?
Realidad: Los derechos de los titulares, como el acceso, rectificación, supresión, oposición y portabilidad de datos (Derechos ARCOP), son intransferibles, irrenunciables y no pueden ser limitados por ningún contrato o acuerdo. Esto asegura que los titulares mantengan siempre el control sobre sus datos personales, y cualquier acto en contrario será considerado una infracción de la ley.
¿Los responsables de datos deben adoptar un programa de cumplimiento?
Realidad: Si bien la implementación de un programa de cumplimiento puede ser beneficioso, no constituye una obligación de la Ley. Los responsables de datos pueden llevar a cabo un modelo de prevención de infracciones, el cual consiste en un programa de cumplimiento, que, siendo altamente recomendado, es voluntario. Un modelo de este tipo permite establecer para prevenir posibles infracciones en el tratamiento de datos personales.
¿La nueva Ley de Protección de Datos Personales no aplica a extranjeros que no estén establecidos en el país?
Realidad: La Ley si aplica a entidades extranjeras cuando sus operaciones y tratamiento de datos personales están destinados a ofrecer bienes o servicios en Chile, independientemente si se requiere un pago. Además, también se aplica a estas entidades en caso de que monitoreen el comportamiento de titulares que se encuentran en el territorio nacional, lo que incluye actividades como el análisis, rastreo, perfilamiento o predicción del comportamiento. Esto significa que, aunque un responsable o mandatario no esté físicamente en Chile, deberá cumplir de igual manera con las disposiciones de la Ley si sus acciones impactan a los titulares de datos de nuestro país.
¿Es necesario realizar una evaluación de impacto en protección de datos personales?
Realidad: La Ley establece que, cuando se prevea que un tipo de tratamiento puede generar un alto riesgo para los derechos de los titulares de los datos —debido a su naturaleza, alcance, contexto, tecnología utilizada o fines— el responsable del tratamiento debe realizar una evaluación de impacto en protección de datos personales. Esta evaluación debe llevarse a cabo antes de iniciar las operaciones de tratamiento de los datos, con el objetivo de identificar y mitigar riesgos.
En conclusión, la ley establece un marco moderno y acorde con las normativas internacionales, proporcionando mayores garantías a los titulares de los datos y exigiendo un alto nivel de cumplimiento a todas las organizaciones.
Entender las nuevas obligaciones y mitigar los riesgos es clave para anticiparse a las sanciones y aprovechar el período de vacancia legislativa para implementar las medidas adecuadas.
Para obtener más información sobre estos temas, pueden contactar a:
Eugenio Gormáz | Socio | egormaz@az.cl
Ivonne Bueno | Directora az Tech | ibueno@az.cl
Antonia Nudman | Asociada Senior | anudman@az.cl
Carlos Lazcano | Asociado Senior | clazcano@az.cl
Fernanda Rodríguez | Asociada | frodriguez@az.cl
Esteban Orhanovic | Asociado | eorhanovic@az.cl
Sé parte de nuestra plataforma multimedia y podrás recibir las últimas novedades legales, eventos, podcazt y webinars.
