Nuestro equipo az Tech respondió las preguntas que se generaron durante el webinar “Cómo Implementar la Nueva Ley de Protección de Datos Personales en tu Empresa”.
El pasado 13 de diciembre de 2024 se publicó la Ley de Protección de Datos Personales y que tendrá un periodo de 24 meses de vacancia para su entrada en vigencia a partir del 1 de diciembre de 2026.
En ese contexto, desde az realizamos un webinar “Cómo Implementar la Nueva Ley de Protección de Datos Personales en tu Empresa”.
La instancia contó con la participación de nuestra directora az Tech, Ivonne Bueno, como moderadora y como panelistas estuvo nuestra asociada senior del Grupo IP, Tech and Data, Antonia Nudman, junto a Gabriela Eileen Lis, External Partner – Equipo Data Privacy de Mercado Libre y Leocadio Marrero Trujillo, CEO en GRCx3- Gobierno, Riesgo y Cumplimiento.
El espacio tuvo como foco los aspectos clave que las organizaciones deben considerar para adaptarse a la nueva regulación y terminado el webinar, se realizaron varias preguntas, las cuales resolveremos en esta publicación.
Principales preguntas respecto a la Ley de Protección de Datos Personales:
Aspectos Principales
La nueva ley, en su artículo 13, dispone que es lícito el tratamiento de datos personales, sin el consentimiento del titular, cuando el mismo esté referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y se realice de conformidad con las normas del Título III de la ley, incluidos los datos referidos a la situación socioeconómica del titular.
En este caso, es la ley quien autoriza tratar este tipo de datos, sin necesidad de que concurran otras fuentes de licitud, como el consentimiento del titular.
2. ¿Hay alguna disposición acerca del tratamiento de datos de personas jurídicas?
No. La Ley N°21.719 dispone que los datos personales se refieren a cualquier información vinculada o referida a personas naturales identificadas o identificables.
3. ¿Cuál es el proceso de implementación?
La ley no establece un proceso de implementación de la ley, eso dependerá de cada organización, sus recursos, disposición y estado de madurez.
Sin embargo, se puede señalar que todo proceso debiera contemplar al menos un diagnóstico del estado de cumplimiento de la ley por parte de la organización, que incluya la identificación de las actividades de tratamiento de datos y la construcción de matriz de riesgos.
Posteriormente, podría considerar un programa de prevención de infracciones, que disponga las medidas concretas que debe adoptar la entidad para cumplir la ley, las que pueden referirse tanto a procesos como a ajustes documentales.
Como los programas de compliance son dinámicos, será necesario establecer, además, los controles y auditorías necesarias para verificar que el modelo se está ejecutando correctamente o no.
4. ¿Define la ley qué se considera “interés legítimo del responsable”? ¿Podrían dar algún ejemplo?
No, no lo define, solo lo establece como base de licitud para tratar datos personales en el artículo 13 letra d).
Un ejemplo podría ser cuando una empresa implementa medidas de seguridad que monitorean el tráfico de red para detectar y prevenir ataques cibernéticos. El tratamiento se justificaría por cuanto asegurar la integridad y disponibilidad de los sistemas de información es fundamental para el funcionamiento continuo del negocio.
Otro ejemplo sería el análisis de las transacciones de sus clientes que hace un banco para identificar patrones sospechosos que puedan indicar actividades fraudulentas.
5. ¿Es suficiente con el ok en la app de antes de la ley para tener autorización de uso de datos?
No. La ley establece normas más estrictas relativa al consentimiento del titular de los datos, es decir, del usuario de la app. En efecto, el consentimiento del titular debe ser libre, informado y específico en cuanto a su finalidad o finalidades.
Además, debe manifestarse, en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.
Cumpliéndose estos requerimientos, se podrán tratar los datos personales del usuario, pero solo para los fines para los cuales se solicitó su aprobación.
Autoridad fiscalizadora y otras entidades relevantes
De acuerdo a las disposiciones transitorias de la ley, se entiende que la Agencia de Protección de Datos Personales comenzará a funcionar una vez que entre en vigencia la ley, esto es, el 1° de diciembre de 2026. Sus estatutos deberán ser propuestos dentro de los 90 días siguientes a esta fecha.
¿De qué depende su creación?
Su creación está establecida en una ley de la República, por lo que necesariamente se debe cumplir, salvo que otra ley establezca lo contrario.
¿De qué ministerio dependerá?
La ley dispone que la Agencia será una corporación autónoma de derecho público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio, que se relacionará con el Presidente de la República a través del Ministerio de Economía, Fomento y Turismo.
2. ¿En Chile se aplicaría que la primera acción de la Agencia consistente en capacitar y concientizar al público?
Entre las facultades de la Agencia de Protección de Datos Personales está la de desarrollar programas, proyectos y acciones de difusión, promoción e información a la ciudadanía, en relación al respeto a la protección de sus datos personales. La forma de ejercicio de esta atribución y las demás otorgadas por la ley dependerá del criterio que decida adoptar la dirección de la Agencia. Es decir, en principio podría decidir ejercer un rol educativo o uno más inquisitivo a través de sanciones, o ambos.
3. En la implementación de la nueva ley: ¿Cuál es el rol de un abogado y de otros profesionales? (Auditores de Riesgo, Ing. Informáticos, etc.)
En la implementación de una nueva ley, especialmente en el ámbito de la protección de datos personales, es fundamental la colaboración multidisciplinaria. Cada profesional aporta conocimientos específicos que, en conjunto, aseguran un cumplimiento efectivo e integral de la normativa.
Los abogados, por ejemplo, desempeñan un papel clave en la implementación de la nueva ley, ayudando a las empresas a entender sus obligaciones legales, interpretando la regulación y realizando auditorías de cumplimiento para identificar áreas de no conformidad. También elaboran y revisan documentos legales fundamentales como políticas de privacidad y términos de uso, diseñan mecanismos para obtener el consentimiento de los usuarios y gestionan las solicitudes de acceso, rectificación, supresión, oposición y portabilidad de datos.
Por su parte, los auditores serán necesarios para, por ejemplo, identificar los riesgos en el manejo de datos personales y evaluar el impacto de los tratamientos, especialmente en proyectos que puedan representar altos riesgos para los derechos de los individuos.
A su vez, los profesionales de TI contribuyen a implementar medidas técnicas de ciberseguridad para proteger los datos personales, como cifrado, autenticación robusta y controles de acceso. Asimismo, monitorearán en forma continua la seguridad de la información para detectar y responder a incidentes de este tipo, entre otras funciones.
4. En el ámbito de la subcontratación, ¿Qué acciones debiera tomar una empresa mandante para garantizar la protección de los datos y documentación que deben presentar los colaboradoras/es de empresas contratistas para acreditarse y habilitarse para trabajar en sus respectivas especialidades? Como dato adicional, el examen médico ocupacional es uno de los requisitos exigidos.
Se recomienda en el futuro contratar a empresas que tengan certificaciones ISO en materia de protección de datos y/o cuenten con modelos de prevención de infracciones certificados por la futura Agencia de Protección de Datos Personales, a fin de asegurarse que la información que maneja dicha entidad cumple con lo establecido en la nueva normativa.
En el intertanto, mientras entra en vigencia la nueva ley, se aconseja reforzar el contrato que la empresa mandante mantiene con la mandataria, mediante la incorporación de cláusulas que eleven las exigencias en materia de protección de la información personal que trata la empresa contratista.
Entidades reguladas
En gran medida sí.
La nueva ley define la comunicación de datos personales como el “dar a conocer por el responsable de datos, de cualquier forma, datos personales a personas distintas del titular a quien conciernen los datos, sin llegar a cederlos o transferirlos”.
Como no hay otras normas específicas que regulen esta actividad, se deben aplicar las normas generales.
Por su parte, la ley también define la cesión de datos personales. Al respecto señala que es la “transferencia de datos personales por parte del responsable de datos a otro responsable de datos.” En este caso, los datos podrán ser cedidos con el consentimiento del titular y para el cumplimiento de los fines del tratamiento. Además, se podrán ceder cuando la cesión sea necesaria para el cumplimiento y la ejecución de un contrato en que es parte el titular, cuando exista un interés legítimo del cedente o del cesionario y cuando lo disponga la ley.
Si se requiere hacer transferencia internacional de datos personales entre empresas ubicadas en diferentes países, se deberá cumplir con lo establecido en el artículo 27 y siguientes, que regulan, entre otros, los requisitos de estas.
2. ¿Cómo debería abordar esta nueva ley una PYME que no tiene personal calificado como un abogado, un prevencionista, etc.?
Dado que aún no se ha instalado la Agencia de Protección de Datos Personales, no existen guías oficiales que ayuden a las PYMES a implementar la ley. Por lo tanto, se aconseja contratar servicios legales que las puedan acompañar en el proceso de adecuación de sus operaciones a los estándares de la ley.
Sin perjuicio de lo anterior, destacamos que la nueva ley contempla pequeñas consideraciones a las empresas de menor tamaño. Por ejemplo, dispone que las tareas del delegado de protección de datos personales podrán ser asumidas personalmente por el dueño o sus máximas autoridades, cuando se trate de micro, pequeñas y medianas empresas.
Asimismo, establece que en el periodo que va del 1 de diciembre de 2026 al 1 de diciembre de 2027, en los casos en que proceda alguna sanción para empresas calificadas como de menor tamaño (Ley N° 20.416), la Agencia podrá aplicar como sanción una amonestación por escrito, señalando a los responsables de datos la gravedad de la infracción, la conducta infractora, y las circunstancias atenuantes y agravantes de responsabilidad, si proceden.
Cabe señalar que, sin perjuicio de lo anterior, igualmente estas sanciones deberán ser inscritas en el Registro Nacional de Sanciones y Cumplimiento dispuesto en la ley.
3. ¿Quién va a revisar el modelo de prevención, según entiendo es la “Agencia”? ¿Cómo tener una revisión?
Efectivamente, la Agencia de Protección de Datos Personales será la encargada de certificar que un modelo de prevención de infracciones cumple con la ley. En cuanto al procedimiento de certificación, éste será definido mediante un reglamento que dictará la entidad.
Sanciones
La ley contempla sanciones de amonestación por escrito y multa en caso de infracciones. El inciso segundo del artículo 34 de la ley dispone que las responsabilidades en que incurra una persona natural o jurídica por las infracciones establecidas en la ley se entienden sin perjuicio de las demás responsabilidades legales, civiles o penales, que pudieran corresponderle.
En cuanto a la responsabilidad civil, el artículo 47 de la ley establece que el responsable de datos deberá indemnizar el daño patrimonial y extrapatrimonial que cause al o los titulares, cuando en sus operaciones de tratamiento de datos infrinja los principios establecidos en el artículo 3°, los derechos y obligaciones establecidos en esta ley y les cause perjuicio.
La norma agrega que la acción indemnizatoria podrá interponerse una vez ejecutoriada la resolución que resolvió favorablemente el reclamo interpuesto ante la agencia o la sentencia se encuentre firme y ejecutoriada, en caso de haber presentado un reclamo de ilegalidad, y se tramitará de conformidad a las normas del procedimiento sumario establecidas en los artículos 680 y siguientes del Código de Procedimiento Civil.
2. ¿Será buena opción partir con el mapeo de los datos y parametrizar los sistemas y perfiles de acceso a la información, más que esperar levantar todos los procesos que puede tomar más tiempo? (sin perjuicio que se haga en el mediano y largo plazo)
Es una alternativa viable, pero se aconseja comenzar el levantamiento de procesos a la brevedad, pues podría tomar tiempo identificarlos. Esta información sirve para construir un diagnóstico del estado de cumplimiento de la organización, el que les permitirá comenzar a tomar las medidas necesarias para quedar en cumplimiento antes que comience a regir la nueva ley (1° de diciembre de 2026).
A modo de conclusión, como se recalcó durante el webinar, será sumamente importante aprovechar el plazo de 24 meses previo a la entrada en vigencia el 1 de diciembre de 2026, para que así las empresas y diferentes organizaciones puedan adaptarse y prepararse ante la nueva ley.
Sé parte de nuestra plataforma multimedia y podrás recibir las últimas novedades legales, eventos, podcazt y webinars.
