Ley de Protección de Datos Personales en Chile, ¿cómo afecta a tu empresa?

La nueva Ley de Protección de Datos Personales en Chile fue aprobada recientemente, lo cual plantea varios cambios y desafíos a las empresas que operan en el país, en relación con los requisitos y las obligaciones vinculadas a este tipo de información.

Esta nueva normativa que se encuentra a la espera de la aprobación del Tribunal Constitucional y su posterior promulgación por el Presidente de la República, impactará significativamente en la cultura de las organizaciones y en la forma cómo se manejan datos de terceros en las empresas, ya sean públicas o privadas.

Ante el nuevo panorama, la única forma cómo las organizaciones pueden prepararse para no tener problemas, es informándose y anticipándose a los cambios que la nueva Ley demanda.

Aquí te mostramos en qué consiste esta nueva ley y cómo puede afectar a tu compañía.

¿En qué consiste la nueva Ley de Protección de Datos Personales de Chile?

El objetivo de la nueva legislación es la de regular la forma y condiciones en las que se realiza el tratamiento de datos personales y mejorar la protección de los derechos de sus titulares. 

De esta manera, Chile se pone a la par con la Unión Europea y su reglamento General de Protección de Datos (GDPR), así como también le da mayor relevancia a la protección de los derechos de las personas y sus datos personales, actualizando la Ley 19.628 sobre Protección de la Vida Privada en Chile. 

Es así como esta Ley establece, a grandes rasgos, los derechos de los titulares:

• Derecho de los titulares a acceder a sus propios datos.
• Derecho a rectificación o modificación de datos que estén incorrectos o inexactos.
• Derecho a supresión de datos sin fundamento legal.
• Derecho a oposición de un titular sobre el tratamiento o uso que se le den a sus datos.
• Derecho a portabilidad, es decir, el titular puede exigir copia de sus datos.
• Derecho a bloqueo o suspensión temporal de cualquier operación de tratamiento de sus datos.

Con relación a cuándo se actualizó esta Ley de Protección de Datos, sucedió el pasado agosto cuando fue aprobada por el Congreso Nacional de Chile y, como ya comentamos, luego de que sea promulgada por el Presidente de la República, entrará en vigencia después de veinticuatro meses contados desde su publicación en el Diario Oficial.

¿Cómo es la normativa todavía vigente sobre protección de datos en Chile?

Cómo indicamos anteriormente, la Ley Orgánica de Protección de Datos vigente en Chile, hasta que no se promulgue la nueva Ley, está regulada por la Ley 19.628 sobre Protección de la Vida Privada, que impera en el país desde 1999 y que fue el principal marco de protección de datos personales en las últimas décadas. 

Esta normativa se enfoca en la recopilación y tratamiento de datos personales y seguridad de la información personal por parte de entidades públicas y privadas, aunque su aplicación en el ámbito privado es más limitada en comparación con la nueva ley.

Igualmente, los titulares de los datos tienen derechos básicos como el acceso, rectificación y cancelación de sus datos; sin embargo, estos derechos son más limitados en comparación con los establecidos en la nueva ley.

Además, establece la obligación de registrar las bases de datos ante la Comisión de Protección de la Vida Privada, aunque esta Comisión cuenta con una capacidad limitada para supervisar y hacer cumplir la ley.

Sumado a esto, la normativa vigente hasta ahora, incluye disposiciones generales sobre la seguridad de los datos, pero no especifica en detalle los requisitos técnicos y organizativos para la protección de los datos personales como la recién aprobada, que también fija sanciones mucho más severas y definidas para los que la incumplan.

¿Qué novedad trae la nueva Ley de Protección de Datos Personales?

La nueva normativa plantea un avance significativo en la protección de los derechos de privacidad en Chile, adoptando estándares internacionales y garantizando que las empresas y organizaciones sean responsables del manejo adecuado de los datos personales de colaboradores y terceros, actualizando la regulación en el manejo de esta información de esta manera:

• Creación de una autoridad de control independiente: órgano autónomo que supervisa, fiscaliza y sanciona el cumplimiento de la ley. Esta agencia de protección de datos personales velará por los derechos de los ciudadanos y gestionará las reclamaciones.

• Consentimiento informado y explícito: será obligatorio el consentimiento explícito para que los datos sean procesados. No se permitirá el uso de consentimientos tácitos o ambiguos.

• Derecho al olvido: se podrá solicitar que los datos personales sean eliminados de las bases de datos cuando ya no sean útiles.

• Protección de datos sensibles y biométricos: se amplía las categorías de datos sensibles, incluyendo información biométrica y genética. 

• Notificación obligatoria de brechas de seguridad: las empresas e instituciones deberán notificar a la Agencia de Protección de Datos y a los afectados cualquier brecha de seguridad o vulneración de datos personales 

• Transferencia internacional de datos: más restricciones en la transferencia de datos personales fuera del país, asegurando que se cumplan estándares de protección similares en los países destinatarios.

• Principio de responsabilidad proactiva (accountability): las organizaciones ahora deben adoptar un enfoque de responsabilidad proactiva en el manejo de datos personales. 

• Multas y sanciones más severas: se establecen multas significativas, las sanciones para empresas estarán basadas en sus ingresos, similares a las impuestas por el General Data Protection Regulation (GDPR) de Europa.

• Derecho a la portabilidad de los datos: esto permite solicitar que los datos personales sean transferidos de una empresa o proveedor a otro.

• Enfoque basado en el riesgo: las organizaciones deben evaluar los riesgos potenciales relacionados con la protección de datos y adaptar sus medidas de seguridad de acuerdo con el nivel de riesgo, implementando controles más estrictos donde sea necesario.

¿Cuáles acciones son consideradas violaciones de la ley?

Las más graves, que implicarían mayores sanciones, serían:

• Recolección de datos sin consentimiento expreso: esto viola uno de los principios fundamentales de la ley e incluye situaciones en las que los usuarios no son adecuadamente informados sobre el uso que se hará de sus datos.
• Falta de medidas de seguridad adecuadas: lo que puede generar accesos no autorizados o filtraciones de datos.
• Transferencia internacional de datos sin garantías adecuadas: enviar datos a países que no garantizan una protección adecuada, sin los debidos mecanismos de protección, es una infracción con multas y sanciones muy elevadas.
• Uso indebido o distinto del declarado: emplear los datos para fines comerciales no previstos, es una infracción grave.
• Negarse a rectificar, borrar o actualizar los datos: cualquier negativa o retraso en este proceso constituye una violación.

¿Qué sanciones podría recibir una empresa por infringir esta Ley?

Las sanciones o demandas por privacidad de datos violentada pueden ser muy severas y acarrear consecuencias graves para una empresa, algunas pueden ser:

• Multas: que pueden varíar según la gravedad de la infracción, se pueden clasificar de la siguiente forma:
• Infracciones leves: multa de hasta 5.000 UTM;
• Infracciones graves: multa hasta 10.000 UTM;
• Infracciones gravísimas: multa hasta 20.000 UTM.
• Daños reputacionales: pueden resultar en la pérdida de confianza de los clientes y usuarios.
• Acciones legales: que pueden venir desde los usuarios afectados y acarrear prohibiciones en el tratamiento de datos, órdenes para corregir datos y hasta auditorías.

Si la infracción de la ley se produce en un contexto internacional, las multas pueden alcanzar hasta los 20 millones de euros o el 4% de los ingresos anuales globales de la empresa, lo que establece un marco de sanciones severas que muchos países están comenzando a adoptar.

¿Cómo implementar la nueva Ley de protección de Datos Personales en tu empresa?

Además de otras certificaciones de seguridad ya estipuladas como la ISO 27001, las empresas deberán seguir algunos pasos claves para implementar la nueva Ley, como los siguientes:

• Hacer auditorías: para identificar cómo se gestionan y clasifican los datos personales en la empresa.
• Desarrollar políticas de privacidad:  para explicar cómo se recolectan, utilizan y almacenan los datos personales, previo a la autorización de los titulares de los datos.
• Implementar medidas de seguridad: con tecnologías como el cifrado de datos, controles de acceso y auditorías periódicas para garantizar la seguridad de la información.
• Capacitar al personal: hay que formar a los empleados sobre la ley y la importancia del manejo adecuado de los datos personales para evitar incumplimientos.
• Designar un DPO: nombra un Delegado de Protección de Datos (DPO) que supervise y gestione el cumplimiento de la ley en la empresa.
• Hacer revisión continua: con un sistema de monitoreo y actualización periódica para cerciorarse de que las políticas y procedimientos siguen alineados con los requisitos de la ley.

Si estás buscando una plataforma segura que garantice la integridad de la información de tus colaboradores, en Rankmi te ofrecemos el acompañamiento y la tecnología que necesitas para cada uno de tus procesos de gestión de personas.