Con 65 votos a favor, 22 en contra y 36 abstenciones, la Cámara de Diputados aprobó el Proyecto de Datos Personales, iniciativa que se mantuvo en tramitación por 7 años y que tiene por objetivo regular y resguardar el tratamiento de datos de las personas en distintos ámbitos.

El Proyecto

La iniciativa inspirada en la General Data Protection Regulation (GDPR), fue presentada en 2017 por los senadores Pedro Araya y Alfonso De Urresti, y los ex senadores Alberto Espina, Felipe Harboe y Hernán Larraín, busca perfeccionar las normas relativas al tratamiento de los datos personales de las personas, de tal forma que éste se realice con el consentimiento del titular de dichos datos o en los casos que lo autorice la ley. 

Por otro lado, crea la Agencia de Protección de Datos Personales, organismo público encargado de velar por la protección de los datos personales, asegurando estándares de calidad, información, transparencia y seguridad. 

Los puntos más relevantes

La ley establece que los datos personales solo pueden ser tratados de manera lícita y leal, con fines específicos, explícitos y lícitos. Además, introduce derechos esenciales para los titulares de los datos, como el acceso, rectificación, supresión, oposición, portabilidad y bloqueo de sus datos personales. Estos derechos son intransferibles e irrenunciables, lo que otorga a los individuos un control absoluto sobre su información personal.

Asimismo, el tratamiento de datos solo será legítimo si cuenta con el consentimiento libre, informado y específico del titular, aunque la ley contempla excepciones en casos donde sea necesario para cumplir con obligaciones legales o contractuales.

Creación de la Agencia de Protección de Datos Personales

Uno de los pilares del proyecto es la creación de la Agencia de Protección de Datos Personales. Esta entidad será una corporación autónoma con personalidad jurídica y patrimonio propio, encargada de fiscalizar el cumplimiento de la normativa y proteger la privacidad de los ciudadanos. La agencia también tendrá la responsabilidad de gestionar el régimen de infracciones y sanciones que la ley establece para quienes vulneren la normativa.

Aspectos Controvertidos y Debate en la Cámara

El proceso de aprobación no estuvo exento de controversias. La principal discusión giró en torno a las sanciones que podrían aplicarse a las empresas que infrinjan la ley, con un sector de la oposición manifestando su rechazo al considerar que estas multas son desproporcionadas y podrían afectar negativamente a las pequeñas y medianas empresas (pymes). Se argumentó que estas sanciones podrían desincentivar la inversión en Chile, especialmente en el sector tecnológico.

Desde el oficialismo, se defendió que las sanciones son necesarias y se alinean con las normativas internacionales, como las de la Unión Europea y la OCDE. Además, se subrayó que las pymes quedarán fuera del alcance de las sanciones más severas y que los montos establecidos son máximos, aplicables solo en casos de infracciones graves o reincidencias.

Las sanciones a los infractores

El proyecto aprobado fijó las multas para las empresas que infrinjan la ley de la siguiente forma:

• Infracciones  leves en 5 mil UTM (330 millones).
• Infracciones graves en 10 mil UTM (660 millones).
• Infracciones gravísimas en 20 mil UTM (1.400 millones)

¿Cómo prepararnos para cumplir con la Ley?

Las empresas tendrán 24 meses tras la promulgación de la Ley para ajustar sus procesos y cumplir con las disposiciones aprobadas por el poder legislativo. Alessandri Abogados explicaron los pasos más relevantes para que las empresas se preparen:

• Realizar auditorías de los procesos que involucran tratamiento de datos.
• Determinar el nivel de cumplimiento de la empresa respecto de la nueva legislación, así como el nivel de exposición a riesgos normativos.
• Identificar bases de datos y depurarlas conforme al principio de proporcionalidad.
• Revisar y actualizar políticas de privacidad.
• Identificar bajo qué bases de licitud la empresa puede tratar los datos personales que actualmente procesa.
• Analizar los proveedores que intervienen en el tratamiento de datos que realiza la empresa. Ellos son encargados del tratamiento de datos y deben cumplir el estándar definido por la empresa.
• No olvidar el tratamiento de datos personales que el empleador hace de sus trabajadores y el asociado a cumplimiento, estos también requieren adecuación.

Hacia la Promulgación

Con la aprobación mayoritaria en la Cámara, el Proyecto de Protección de Datos Personales avanza hacia su promulgación como ley. Este marco legal no solo actualiza la normativa chilena en consonancia con los estándares internacionales, sino que también refuerza la seguridad y el control que los ciudadanos tienen sobre su información personal, respondiendo a las demandas de un entorno digital cada vez más complejo y globalizado.