Protección de datos personales: estos son los principales cambios del proyecto respecto a la normativa actual

El pasado 8 de mayo de este año, la Sala de la Cámara de Diputadas y Diputados despachó a tercer trámite al Senado el proyecto que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales. La iniciativa fue enviada a la Comisión de Constitución de la Cámara Alta, donde iniciaron su tramitación hace sólo un par de meses con sucesivas interrupciones que podrían dificultar el anhelo de los senadores de despachar el proyecto durante el actual periodo legislativo.

Por lo pronto, la iniciativa –que está con suma urgencia- está nuevamente en tabla para hoy martes 12 y a la sesión están invitados la subsecretaria de la Segpres, Macarena Lobos; y el fiscal nacional Ángel Valencia. Y como uno de los principales objetivos de esta iniciativa es que Chile sea declarado “país adecuado” por la Unión Europea para la transferencia de datos, es esencial que se acelere su tramitación que se acerca al final, pero que deberá pasar por una Comisión Mixta.

Aunque no existe plena coincidencia con lo realizado por la Cámara, uno de los temas que más dudas provoca en algunos sectores es lo que tiene que ver con las sanciones a los eventuales incumplimientos; más específicamente, las multas que se proponen para las empresas de gran tamaño, ya que por ejemplo ante una infracción gravísima la multa ascendería al 4% de los ingresos del año anterior de la empresa, con “un tope” de 20.000 UTM. Ahora, en caso de infracciones gravísimas reiteradas, incluso se podrá suspender temporalmente el tratamiento de datos. 

El problema, desde el punto de vista de algunos parlamentarios y críticos, es el “tope”, pues estiman que para algunas grandes empresas no es suficientemente drástico. 

Un estudio realizado por Gestión Social, Consultora de Sostenibilidad sobre el avance del proyecto y también de las principales diferencias con la Ley N° 19.628 sobre Protección a la Vida Privada, que es lo que tenemos actualmente. 

De hecho, las principales diferencias de la norma en trámite respecto de la que ya existe y que quedó atrasada en materia de protección de datos son, para iniciar, los principios en que se basa el proyecto de protección de datos personales, pues se debe cumplir con ciertos principios, obligaciones y deberes para el tratamiento de datos personales y, en este sentido, la iniciativa establece un conjunto de reglas vinculantes para las organizaciones -cualquiera sea su naturaleza- cuya finalidad es fijar la forma como debe realizarse el tratamiento de los datos personales conforme a la ley.

En este sentido, se debe respetar una serie de principios como el de licitud y lealtad; finalidad, proporcionalidad, calidad, responsabilidad, seguridad;  el principio y deber de transparencia e información y el principio y deber de confidencialidad.

Agencia: velar por la protección

En la misma línea, tiene el deber de protección desde el diseño y, por defecto,  el deber de adoptar medidas de seguridad para proteger la información; deber de reportar eventuales  vulneraciones a dichas medidas de seguridad; deber de realizar evaluaciones de impacto en protección de datos personales, cuando corresponda. 

Asimismo, desde el punto de vista de las fuentes que facultan el tratamiento de los datos personales, se amplía el catálogo de fuentes de licitud; el consentimiento del titular del dato personal se contempla como la regla general, pero también se incorporan otras bases de licitud (lícito) que en algunos casos permiten el tratamiento del dato de manera más flexible para las organizaciones, sin que sea necesario contar con el consentimiento del titular.

También se refuerzan los derechos de Acceso, Rectificación, Supresión, Oposición, Portabilidad y Bloqueo (conocidos como ARCO), que se ejercen por el titular del dato personal ante el o los responsables que están tratando sus datos. Se detallan sanciones ante el incumplimiento de estos derechos ARCO, que van en una escala dependiendo de su gravedad.

Se establecen tres categorías de datos personales: sensibles(datos de salud, perfil biológico y biométricos, entre otros); especialmente protegidos (niños, niñas y adolescentes; fines históricos, estadísticos, científicos y de estudios o investigaciones; geolocalización, datos de carácter económicos, financiero, bancario o comercial) y datos personales (aquellos que no sean calificados como sensibles o especialmente protegidos).

Pero una de las cosas más relevantes de esta iniciativa es que crea la “Agencia de Protección de Datos Personales”, cuyo objetivo será velar por la protección de los derechos y libertades de los titulares de datos, y tendrá la facultad de fiscalizar el cumplimiento de las disposiciones de la ley,determinar las infracciones e incumplimientos, imponer sanciones a personas jurídicas o naturales responsables de tratamiento de datos que comentan infracciones a la ley.

Por otra parte, el proyecto promueve la adopción de medidas para evitar la comisión de infracciones,proponiendo como mecanismo de prevención la implementación voluntaria de un Modelo de Prevención de Infracciones o la designación de un delegado de Protección de Datos Personales.

Evidentemente, el proyecto aumenta la exigencia efectiva de las obligaciones legales, ya que incorpora un catálogo de infracciones clasificadas en leves, graves y gravísimas, en caso de estas últimas y retiradas es posible aplicar sanciones accesorias;  establece amonestaciones escritas hasta un máximo de 20.000 UTM y la agencia contará con distintos criterios para determinar el monto de la sanción, léase multa; y, se establecen agravantes y atenuantes de responsabilidad.

El proyecto regula expresamente el ámbito de aplicación territorial y, por último, las transferencias internacionales se regulan específicamente, considerándolas lícitas en determinados casos para los cuales un país debe estar habilitado y se establecen directrices para determinar la calidad de “país adecuado” para transferir datos desde Chile hacia el exterior.