Lo que necesitas saber de la Protección de Datos Personales en Chile, en 1 minuto
La protección de datos personales es un asunto de creciente importancia para las empresas: estas por esencia tratan datos, los cuales deben seguir ciertas pautas. En los siguientes puntos explicaremos en términos simples y breves de qué se trata este asunto.
5 de diciembre 2025
1. ¿Qué es la “protección de datos personales”?
Este concepto alude a un conjunto de principios, derechos y obligaciones que regulan y determinan la forma en que las empresas, gobierno y las demás personas, en general, pueden usar los “datos personales”. De dicha manera, se persigue como objetivo proteger el derecho de las personas a controlar sus propios datos personales, e indirectamente proteger otros derechos, como la vida privada, honra, entre otros.
2. ¿Qué son los “datos personales”?
Son cualquier información vinculada o referida a una persona natural identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante uno o más identificadores, como el nombre, número de cédula de identidad, datos de contacto, edad, imágenes, vídeos, o el análisis de elementos propios de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.
Dentro de esos datos, hay algunos considerados como "datos sensibles", tales como aquellos que revelan el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, orientación sexual e identidad de género. Estos gozan de protección especial pues su conocimiento por terceros podría exponer a sus titulares a discriminaciones arbitrarias.
3. ¿Qué es el “tratamiento de datos”?
Es la forma en que se usan tus datos personales en un sentido amplio. El tratamiento puede incluir varios tipos de acciones técnicas, automatizadas o no, que permiten recopilar, guardar, grabar, organizar, procesar, seleccionar, extraer, comparar, conectar, disociar, comunicar, transferir o eliminar información personal, o usarla de cualquier otra manera.
4. ¿Cómo se regula la protección de datos personales en Chile?
En Chile, la protección de datos se encuentra reconocida como un derecho fundamental en nuestra Constitución Política (Art. 19 Nº 4) y está regulada en la Ley N° 19.628, actualmente denominada sobre Protección de los Datos Personales, tras su profunda modificación por la Ley N° 21.719, publicada el 13 de diciembre de 2024 y que entrará en vigencia el 1° de diciembre de 2026.
Además, existen normas sectoriales respecto de determinadas actividades u organismos encargados del tratamiento (por ejemplo, Transparencia, Fintech, Derecho del Consumidor, Salud, etc.).
5. ¿Qué nos dice la legislación hoy?
La Ley N° 19.628 establece una serie de principios, derechos y obligaciones que rigen el tratamiento de datos personales. Estos principios incluyen la licitud y lealtad en el tratamiento de datos, la finalidad, la proporcionalidad, la calidad, la responsabilidad, la seguridad, la transparencia e información, y la confidencialidad.
Bajo ellos, la regla general es que el tratamiento de datos personales requiere el consentimiento del titular, el cual debe ser libre, informado, específico e inequívoco. No obstante, la ley también permite el tratamiento sin consentimiento en casos como el cumplimiento de una obligación legal, la ejecución de un contrato, la satisfacción de intereses legítimos del responsable, o la formulación, ejercicio o defensa de un derecho, entre otros.
La información de tales datos debe ser exacta, actualizada y transparente, y el responsable del tratamiento de los datos debe cuidarlos con diligencia, garantizando su confidencialidad y seguridad.
5.1. Derechos de los titulares de datos
La ley reconoce a los titulares de datos personales los siguientes derechos:
- Acceso (saber qué información tienen de ti, su procedencia, destinatario, el propósito de su uso, etc);
- Rectificación (modificar los datos si ellos son erróneos, inexactos, equívocos o incompletos);
- Supresión (la eliminación de los datos en los casos previstos en la ley);
- Oposición (negarse a que los datos sean tratados en los casos y condiciones que establece la ley);
- Portabilidad (obtener una copia de los datos en formato electrónico estructurado y transferirlos a otro responsable), y;
- Bloqueo (solicitar la suspensión temporal del tratamiento mientras se resuelve una solicitud de rectificación, supresión u oposición).
Estos derechos son personales, intransferibles e irrenunciables y no pueden ser limitados por ningún acto o convención.
5.2. Ente fiscalizador y sanciones
Para el ejercicio de los derechos, el titular debe dirigirse primero al responsable de datos. Si éste deniega o no responde la solicitud, el titular puede reclamar ante la futura Agencia de Protección de Datos Personales, creada por la Ley N° 21.719, la que podrá imponer multas de hasta 20.000 UTM, pudiendo incluso alcanzar el 2% o 4% de los ingresos anuales de la empresa en casos de reincidencia.
A partir de la entrada en vigencia de la Ley N° 21.719, la Agencia de Protección de Datos Personales será la autoridad principal en materia de fiscalización del cumplimiento de la normativa de datos personales. Sin perjuicio de ello, otros organismos conservan facultades de fiscalización en sus ámbitos sectoriales, como la Comisión para el Mercado Financiero y el Consejo para la Transparencia.
6. ¿Quieres saber más de esta ley?
Si necesitas saber más de este tema, puedes consultar el libro “La Protección de los datos personales en Chile” que escribieron los abogados de DPOLegal Lorena Donoso y Carlos Reusser.
¿Necesitas ayuda?
Si necesitas asesoría en materia de protección de datos personales, hablemos. Nos puedes contactar a través de nuestros diversos canales de comunicación.
Todo lo que necesitas saber sobre los Modelos de Prevención de Infracciones en Protección de Datos Personales
La nueva Ley de Protección de Datos Personales en Chile introduce cambios significativos que obligan a todas las empresas, instituciones y organizaciones a tomar medidas concretas para evitar contingencias que podrían incluso comprometer su continuidad.
13 de mayo 2025
Y cuando decimos “todas”, es porque cualquier entidad que utilice información que permita identificar a una persona, ya sea de manera directa (nombre o RUT) o indirecta (dirección o características físicas), está manejando datos personales de clientes, potenciales clientes, trabajadores, proveedores, entre otros. Por lo tanto, está sujeta a esta ley.
¿Por qué es tan importante cumplir con esta ley?
Estas son algunas de las razones clave por las que debes tomar acción:
- Multas millonarias: Las sanciones pueden llegar a 20.000 Unidades Tributarias Mensuales (UTM), lo que equivale a más de $1.300 millones de pesos chilenos (según el valor actual). En caso de reincidencia, las multas pueden triplicarse hasta 60.000 UTM o al 2%-4% de las ventas anuales brutas, en el caso de grandes empresas.
- Fiscalización activa: La ley crea la Agencia de Protección de Datos, encargada de supervisar y auditar el uso de datos personales en las organizaciones. Si detecta incumplimientos, puede aplicar las sanciones mencionadas.
- Exposición a reclamos: Basta con que un cliente, trabajador u otro tercero insatisfecho presente un reclamo para que la organización quede expuesta a sanciones legales, incluyendo reclamaciones ante la Agencia de Protección de Datos Personales, demandas civiles por daño patrimonial y extrapatrimonial, e incluso responsabilidades penales en casos específicos.
Sin embargo, no todo son malas noticias. La ley también introduce herramientas que permiten a las empresas protegerse y, al mismo tiempo, generar beneficios estratégicos. Una de estas herramientas son los Modelos de Prevención de Infracciones (los “MPI”).
¿Qué son los Modelos de Prevención de Infracciones (MPI)?
Tener un MPI es mucho más que tener una Política de Privacidad. En términos simples, los MPI son como un “sistema de alarma” diseñado para prevenir infracciones, detectar errores, corregir problemas y garantizar el cumplimiento de la ley. Este modelo incluye reglas, procedimientos y controles internos para evitar el uso indebido de datos personales dentro de la organización.
Son un tipo específico de programa de cumplimiento (compliance) enfocado en la protección de datos personales. En Chile, existen otros modelos de cumplimiento asociados a distintas leyes, como la Ley de Responsabilidad Penal de Personas Jurídicas. Si ya cuentas con uno de estos programas, no necesariamente tienes un MPI.
¿Por qué es clave implementar un MPI?
Aunque implementar un MPI requiere inversión, considerarlo un gasto innecesario es un error grave marcado por un cortoplacismo que puede ser fatal. Lejos de ello, un MPI es una inversión clave ya que suponen el primer paso para generar importantes ventajas estratégicas para las organizaciones. A continuación, explicamos sus principales beneficios:
1. Reducción del riesgo de multas
certificado constituye una circunstancia atenuante que puede reducir significativamente las sanciones en caso de infracciones. Esto protege a la empresa de sanciones económicas que podrían poner en riesgo su viabilidad.
2. Requisito implícito del mercado
Aunque los MPI son técnicamente voluntarios, se convertirán rápidamente en un estándar implícito para hacer negocios, especialmente con grandes empresas, mercados internacionales y entidades públicas. Si no cuentas con uno, es probable que pierdas oportunidades comerciales frente a competidores que sí lo tengan.
3. Ventaja competitiva
Tener un MPI puede ser un factor diferenciador en el mercado. Para los consumidores, demuestra compromiso con la protección de datos. Para los socios comerciales, refleja un manejo profesional de la información, lo que puede abrir puertas a nuevos negocios.
4. Acceso a mercados internacionales regulados
Un MPI permite a las empresas cumplir con normativas internacionales como el Reglamento General de Protección de Datos (GDPR) de Europa. Esto facilita operar con empresas europeas y de otros países con regulaciones avanzadas, como Estados Unidos y Japón, así como en mercados latinoamericanos como México, Brasil, Colombia, Perú o Argentina.
5. Optimización interna y transformación digital
Implementar un MPI trae ciertas externalidades positivas y beneficios clave que, bien aprovechados, apalancan en la mejora operacional de la empresa. Este modelo permite analizar cómo se gestiona la información, detectar ineficiencias y optimizar procesos internos, fortaleciendo las operaciones.
6. Implementación de inteligencia artificial (IA)
Contar con un MPI es clave para establecer una buena gobernanza de datos, un paso esencial para usar inteligencia artificial (IA) de manera efectiva en una empresa. En efecto, un MPI sienta las bases para desarrollar una estrategia de IA que pueda transformar radical y exponencialmente las operaciones, reducir costos y abrir nuevas oportunidades de negocio. Esto puede generar valor estratégico clave y posicionar a la empresa de forma competitiva en el mercado definido por la disrupción tecnológica y cambios vertiginosos.
7. Mejora de la ciberseguridad de la organización
Tener un MPI también es un primer paso para fortalecer la ciberseguridad de la empresa al identificar y corregir vulnerabilidades en la gestión de datos. Este modelo obliga a analizar cómo se protege la información y mejora los sistemas y procesos internos. Bien implementado, permitirá avanzar hacia un sistema de seguridad más robusto que reduzca el riesgo de ciberataques y fugas de información, protegiendo la confianza de clientes, la reputación y la continuidad operativa de la empresa.
Conclusión
Tener un MPI no es meramente un “costo legal”: es una inversión estratégica. No solo reducen significativamente el riesgo de multas millonarias, sino que también genera ventajas comerciales, como acceso a nuevos mercados y diferenciación competitiva. Además, supone el primer paso para introducir mejoras operativas importantes apalancadas por la IA y proteger la continuidad operacional.
Y esto no tiene por qué ser traumático. Se puede avanzar aplicando nuestra recomendación de partir por lo básico, cerrar brechas y, luego, saltar al MPI.
Ahora a usted le compete tomar la decisión de invertir en su futuro.
¿Necesitas ayuda?
Si necesitas orientación o apoyo, te invitamos a que nos contactes en www.dpolegal.cl/contacto.
Navegando el cambio: cómo adaptarse a la nueva Ley de Protección de Datos en 4 pasos
La Ley N° 21.719, publicada el 13 de diciembre de 2024, reforma integralmente la regulación de protección de datos personales en Chile y entrará en vigencia el 1° de diciembre de 2026. ¿Cómo prepararse? Aquí te lo explicamos.
Actualizado el 21 de enero 2025
Sobre esta nueva ley se ha escrito bastante, pero no se ha dicho prácticamente nada acerca de cómo debemos adaptarnos, sobre todo considerando que la mayor parte de las organizaciones aún tienen déficits en materia de gestión y protección de datos personales, y que el plazo para adecuarse vence el 1° de diciembre de 2026.
En este sentido, pretender que los cambios no llegarán o hacerse cargo de ellos a última hora no es una opción viable. Los cambios vienen a pasos acelerados, y el no tomar medidas se traducirá en contingencias económicas que podrían poner en riesgo la viabilidad económica de la empresa, ya sea por las multas que ésta podría sufrir o por la pérdida de clientela que cada vez más exigirá a los proveedores tecnológicos estar al día en esta clase de materias.
Entonces, qué debemos hacer. Esta columna precisamente trata de eso.
1. Manténgalo simple
Comience primero, con generar conciencia interna en las organizaciones acerca de cómo gestionar los activos inmateriales y tratar los datos personales. Enséñele a su equipo qué es la “protección de datos”, cuáles son las obligaciones de la empresa y las contingencias económicas a que ésta se enfrenta en caso de hacer un mal tratamiento de datos.
Aproveche, además, de ilustrar cuáles son las consecuencias que le puede acarrear al responsable de los datos un mal tratamiento, las medidas básicas de seguridad que debe adoptar y por qué es importante avanzar hacia una cultura de cumplimiento en estas áreas.
Junto con la generación de conciencia, avance de la forma que describimos a continuación.
2. Avance de forma progresiva
Es insensato –y costoso– pretender que una organización cambie de un día para otro todos sus procesos y su cultura. Por lo mismo, no malgaste sumas ingentes de dinero en un presupuesto para sacar un programa de cumplimiento de inmediato. Hacerlo implicará obtener una consultoría que- documentos más, documentos menos- quedarían archivados en el disco duro o drive de algún ejecutivo, sin que nada realmente sustancial suceda, ya que la organización, al carecer de una cultura de cumplimiento, no la aplicará. En cambio, una forma más efectiva y económica de avanzar es la que sigue:
Primero, parta por lo básico, revisando y modificando sus contratos con proveedores, clientes y trabajadores, además de sus reglamentos internos de higiene y seguridad, protocolos internos, políticas de privacidad, términos y condiciones de contratación de su sitio web, etc.
Habiendo avanzado con el proceso de concientización y con la resolución de los aspectos elementales, comience a cerrar brechas, lo que importará levantar y cerrar los asuntos pendientes mediante el empleo de los mejores estándares internacionales. En la práctica, esto implicará una consultoría que implique, por ejemplo:
- Conocer y comprender la realidad de la organización, a través de entrevistas y del levantamiento de un mapa de las bases de datos, reglas y procesos existentes.
- Realizar un diagnóstico de la situación de la institución, identificando las brechas existentes.
- Elaborar un plan de cierre de brechas y un esquema de gobernanza de datos que permita dar cumplimiento a la normativa y satisfacer los objetivos institucionales.
- Identificar y capacitar al delegado de protección de datos de la organización.
- Hacer ajustes menores y finales a las políticas y procedimientos preparados anteriormente para efectos de que reflejen fielmente cada aspecto de la organización.
Sólo después de lo anterior, se debiera avanzar en la preparación de un programa de cumplimiento. Si bien la Ley N° 21.719 ya define los elementos mínimos que éste debe contener, aún queda pendiente la dictación del reglamento que regulará su implementación, certificación y supervisión. La Agencia de Protección de Datos Personales, creada por la ley, será la encargada de certificar estos programas una vez que entre en vigencia la normativa, el 1° de diciembre de 2026. La buena noticia, es que con la asesoría de cierre de brechas, su organización habrá avanzado en un 90%, por lo que el último esfuerzo será bastante menor.
3. Sea constante
El programa que se preparará siempre será perfectible y deberá ser modificado en base a las directrices que irá dando la Agencia de Protección de Datos. Por lo mismo, es importante que en todo este proceso se siga una lógica de mejora continua con una mirada integral a los varios cambios que ya han sucedido, y entendiendo siempre que lo perfecto es enemigo de lo bueno.
4. Evite a toda costa caer en el error del copy+paste
Es fácil caer en la tentación de copiar los términos o políticas de la competencia para “ahorrarse” una consultoría o tomar por cierto algo “porque siempre se ha hecho así” en su industria. Si opera de esa forma, usted se está comprando un problema, porque los documentos que usted está copiando son posiblemente información propietaria, reflejan una realidad distinta a la suya y/o fueron redactados por personas que no tienen las competencias necesarias para ver los diversos riesgos legales asociados a estas materias. En suma, lo único que está haciendo con el copy+paste es una apariencia de seguridad que en realidad no es más que una bomba de tiempo. No lo haga.
Conclusiones
Los cambios ya están aquí, pero no tienen porqué ser dolorosos. Si se adelanta, e implementa los estándares de la nueva legislación de forma simple, escalonada y constante, podrá usted generar una conciencia interna de protección de sus activos inmateriales, obtendrá una ventaja competitiva que lo distinguirá en su industria y se evitará todos los inconvenientes económicos de hacer esto a última hora o cuando ya sea demasiado tarde. El llamado es a abrazar el cambio, pues éste entraña claros beneficios a quienes se adapten de la forma sugerida.
¿Necesitas ayuda?
Si necesitas asesoría en materia de protección de datos personales, hablemos. Nos puedes contactar a través de nuestros diversos canales de comunicación.
—
(*) Nota: Este artículo inicialmente fue publicado en el sitio web de Chiletec.
¿Qué es y para qué sirve una autoridad de protección de datos?
Chile cuenta desde el año 1999 con una ley de protección de datos con principios y derechos similares a la normativa europea. Es más, con la reforma introducida por la Ley N° 21.719, se establece que cualquier ciudadano que se sienta vulnerado en sus derechos por un tratamiento abusivo de sus datos puede reclamar ante la nueva Agencia de Protección de Datos Personales.
20 de diciembre de 2024
1. El problema
La cuestión central de que los datos personales circulen libremente es que alguien (no sabemos quién) cree saber algo de una persona (no sabemos qué) y toma una decisión, usualmente arbitraria, a su respecto. Y así, el banco le niega a tal o cual persona un crédito que necesitaba, o no le arriendan un lugar para vivir, o los hijos de esa persona son rechazados en la postulación a un colegio y, en general, a esa persona le ocurren muchos sinsabores que afectan su proyecto de vida personal y familiar, sin tener herramientas con las cuales protegerse ni saber qué es lo que realmente está pasando.
Para evitar esta clase de situaciones, no basta con dictar leyes que contengan principios y derechos sobre la materia, sino que también se debe establecer una institucionalidad que se haga cargo de que dichos principios y derechos sean efectivamente respetados. Esa institución son las autoridades de protección de datos las que reciben distintos nombres, dependiendo del país en que se encuentren: Garante para la Protección de Datos Personales en Italia, Agencia Española de Protección de Datos o Unidad Reguladora y de Control de Datos Personales, en Uruguay, Agencia de Protección de Datos Personales en Chile.
Y aunque las denominaciones sean diferentes, tienen en común que son organismos públicos autónomos respecto de la autoridad política de turno, sobre todo considerando que en un país el mayor tenedor de datos personales casi siempre es el Estado. Pero no es lo único que tienen en común, sino también sus roles o funciones.
2. Roles o funciones
2.1. Formación de ciudadanos
La primera de sus funciones es la formación de los ciudadanos en materia de derechos. La gente tiene que saber que son titulares de sus propios datos y que tienen la facultad de, por ejemplo, negarse a entregar su número de RUT cuando hacen compras o exigir que les expliquen para qué van a ser usados sus datos. O que tienen derecho a que sus datos sean eliminados de registros públicos y privados cuando no existan fundamentos que justifiquen su existencia.
2.2. Difusión de reglas
El segundo rol de una autoridad de protección de datos es difundir entre los actores del mercado, como son el comercio, la industria, las asociaciones y, en general, las empresas, las reglas que deben respetar para poder tratar datos personales. O, dicho de otra forma, en una sociedad como la nuestra es perfectamente posible y necesario tratar libremente datos personales de interés económico (o de otro tipo), pero como paso previo, se deben cumplir con ciertos estándares básicos para su tratamiento: por ejemplo, no se les puede mentir a las personas sobre el para qué van a usar sus datos, o de dónde los obtuvieron o a quién se los van a entregar.
De hecho, las autoridades de protección de datos son un asesor de la empresa privada, a la cual siempre les van indicando el camino para alcanzar sus objetivos, señalando maneras de regularizar el tratamiento de datos, informándoles sobre el rol de un buen oficial de protección de datos, generando modelos del tipo complete-la-línea-punteada para que no se aparten de la legalidad e, incluso, otorgando premios e incentivos que contribuyen al prestigio de aquellos que lo hacen bien.
2.3. Investigación y fiscalización
Un tercer rol que cumplen las autoridades de protección de datos es el de investigar y fiscalizar el cumplimiento de la normativa, tanto por organismos públicos como empresas y entidades privadas; para ello cuentan con cuerpos profesionales y técnicos muy calificados a la hora de revisar que, efectivamente, el tratamiento de datos se está haciendo conforme a la ley.
2.4. Facultad de sancionar
Por último, una autoridad de protección de datos, después de haber formado a la ciudadanía respecto de sus derechos, orientado a las entidades públicas y empresas privadas en lo que son las mejores prácticas en la materia y haber investigado el efectivo cumplimiento de la normativa, también tiene la facultad de sancionar y, siendo los datos personales una materia tan sensible para los proyectos de vida de las personas, aplicar castigos duros que van desde elevadas multas hasta la suspensión temporal de las operaciones de tratamiento de datos, lo que en los hechos podría significar graves consecuencias para la empresa en casos de reincidencia por abusos graves.
Todo lo dicho es común a las autoridades de protección de datos, y también lo es para la Agencia de Protección de Datos Personales de Chile, creada por la Ley N° 21.719 publicada el 13 de diciembre de 2024, que reforma totalmente la Ley N° 19.628, que dejará de llamarse "sobre protección de la vida privada", para denominarse "sobre protección de los datos personales". Esta reforma entrará en vigencia el 1° de diciembre de 2026.
¿Necesitas ayuda?
Si necesitas asesoría en materia de protección de datos personales, hablemos. Nos puedes contactar a través de nuestros diversos canales de comunicación.
¿Quieres saber más sobre este tema?
Puedes consultar el libro “La protección de los datos personales en Chile” escrito por los abogados de DPOLegal Lorena Donoso y Carlos Reusser, publicado por DER Ediciones.
Política de privacidad en Chile: guía completa para cumplir con la normativa
¿Alguna vez te has detenido a leer ese apartado que aparece al final de casi todas las páginas web bajo el nombre de «Política de Privacidad»? ¿Sabes realmente qué implica? Aunque suele pasar desapercibido, este documento es fundamental, tanto para los usuarios como para las empresas.
17 de noviembre 2024
En este artículo, te explicaremos en detalle qué es una política de privacidad, qué exige la Ley N° 19.628 —modificada recientemente por la Ley N° 21.719— en Chile, por qué es obligatoria y cómo puede beneficiar a tu negocio. Además, te daremos consejos prácticos para elaborar una política efectiva y alineada con la normativa.
¿Qué es una política de privacidad?
Una política de privacidad es un documento que detalla cómo una empresa recopila, utiliza, almacena y protege los datos personales de sus clientes o usuarios. En Chile, la Ley N° 19.628 —reformada integralmente por la Ley N° 21.719— regula el tratamiento de los datos personales y establece obligaciones claras para las organizaciones, para garantizar la privacidad y seguridad de la información.
¿Es obligatorio tener una política de privacidad?
Sí, en Chile es obligatorio para cualquier empresa que maneje datos personales contar con una política de privacidad. A partir del 1 de diciembre de 2026, el incumplimiento de esta obligación puede resultar en sanciones que van desde amonestaciones hasta multas de hasta 5.000 unidades tributarias mensuales (UTM). Por lo tanto, es fundamental asegurarse de que tu negocio cumpla con esta normativa para evitar posibles sanciones y mantener la confianza de tus clientes.
¿Por qué es importante para tu negocio?
Si bien es una exigencia legal, cuya omisión puede acarrear multas o fiscalización por la Agencia de Protección de Datos Personales, una política de privacidad también es una herramienta clave para generar confianza y transparencia con tus clientes. Hoy en día, los usuarios están cada vez más conscientes del valor de su información y de los riesgos asociados a su mal uso. Por lo tanto, asegurar la protección de sus datos personales se convierte en un factor diferenciador y de compromiso para tu negocio.
Consejos prácticos para elaborar e implementar una política de privacidad efectiva
Para garantizar que tu política de privacidad esté alineada con la normativa chilena y sea comprensible para tus usuarios, considera los siguientes consejos:
- Personaliza tu política de privacidad: Evita copiar y pegar políticas de otros sitios web; es crucial que refleje las prácticas específicas de tu negocio. Cuida también la legibilidad usando al menos tamaño de letra 12. Si bien este criterio ha sido aplicado por el SERNAC en materia de consumo, la Ley N° 21.719 exige que la información sobre tratamiento de datos sea precisa, clara, inequívoca y permanentemente accesible.
Sé claro y transparente: Utiliza un lenguaje sencillo y directo. Explicar de manera clara cómo se manejarán los datos personales y por qué los estás recopilando ayudará a generar confianza en tus usuarios.
- Ten claro cuál es el contenido mínimo de la política: La Ley de Protección de Datos Personales detalla qué información debe incluir.
- Actualiza regularmente tu política: Revisa y actualiza periódicamente para reflejar cualquier cambio en tus prácticas de manejo de datos o en la legislación vigente. Establece un proceso de revisión periódica para mantener tu política actualizada.
- Capacita a tu equipo: Asegúrate de que todos los miembros de tu equipo comprendan la importancia de proteger los datos personales y conozcan las prácticas establecidas en la política de privacidad. Esto evitará errores que puedan comprometer la seguridad de la información.
- Obtén el consentimiento informado de tus usuarios: Antes de recopilar datos personales, verifica si necesitas el consentimiento del titular o si cuentas con otra base de licitud (como la ejecución de un contrato o el cumplimiento de una obligación legal).
- Consulta con expertos legales: Si tienes dudas sobre cómo elaborar o implementar tu política de privacidad, es recomendable buscar asesoría legal especializada para garantizar el cumplimiento de la normativa.
Conclusión
Contar con una política de privacidad adecuada y conforme a la Ley N° 19.628, modificada recientemente por la Ley N° 21.719, no es solo un requisito legal; es un compromiso con tus clientes. Al implementar una política transparente y efectiva, proteges los datos personales de tus usuarios, evitas sanciones y construyes una relación de confianza con tu audiencia. Recuerda que la protección de datos es un proceso continuo que requiere revisiones y mejoras constantes.
¿Necesitas ayuda?
Si necesitas asesoría en materia de protección de datos personales, hablemos. Nos puedes contactar a través de nuestros diversos canales de comunicación.
Nueva ley de protección de datos: cinco cuestiones que van cambiar
Como muchos sabrán, después de varios años de tramitación legislativa la Ley N° 19.628 de 1999, sobre protección de datos personales, será reformada en su totalidad y la modificación está en los últimos momentos de su tramitación legislativa.
6 de junio 2023
Aunque resulte contraintuitivo, los cambios en lo sustantivo no serán demasiados. El cambio real vendrá en lo que concierne a los aspectos institucionales, preventivos y sancionatorios:
1. Autoridad de protección de datos y régimen de sanciones
El talón de Aquiles de la actual legislación, el elemento que la sumió en la irrelevancia a efectos prácticos, fue la ausencia de un sistema de sanciones serio como castigo a la infracción y, además, la falta de una autoridad administrativa que se encargará del efectivo cumplimiento de la ley.
A partir de ahora existirá la Agencia de Protección de Datos Personales y las sanciones por la infracción de la normativa van de la amonestación por escrito (muy soft) hasta 60.000 UTM (a esta fecha, unos $3.780.000.000 aproximadamente), suficiente para quebrar a una mediana empresa y para hacerle perder el cargo de gerente al gestor de una empresa grande.
A lo anterior, se suma la obligación de indemnizar los perjuicios patrimoniales y extrapatrimoniales que se hubieren provocado e, incluso, la suspensión de operaciones de tratamiento de datos hasta por 30 días, lo que en una economía en red puede generar, perfectamente, el cierre de la empresa.
Por supuesto, el legislador establece una serie de criterios que modulan cuál es la sanción aplicable a una infracción específica, a lo que agrega todo un régimen de atenuantes y agravantes de responsabilidad, ahuyentando la posibilidad de que se cometan arbitrariedades.
2. No necesitas estar en Chile para que se te aplique la ley
Tradicionalmente en nuestro país las empresas tecnológicas de alcance global, gracias a discutibles criterios jurisprudenciales, escapan a la aplicación de la normativa, llegando los tribunales a los extremos de sentenciar que los afectados, si quieren la satisfacción de sus derechos, pueden ir a demandar a algún remoto pueblo del Estado de Delaware.
Con la nueva ley se impone un criterio que podríamos llamar más “europeo”, en el sentido que ella dice que no importa que una empresa no esté establecida en el país: si realiza operaciones de tratamiento de datos para ofrecer bienes o servicios a titulares de datos que se encuentran en Chile, entonces está sujeta a la legislación de protección de datos de nuestro país.
3. Nada de “consentimientos” genéricos o abiertos: debe ser específico y demostrable
La regla de oro en materia de protección de datos no ha cambiado nunca: quienes tratan datos personales sólo pueden hacerlo o porque la ley les habilita para ello, o porque cuentan con el consentimiento del titular de los datos (cada uno de nosotros).
Pero la ley ahora prohíbe expresamente los consentimientos genéricos, del estilo “doy mi consentimiento para todo tratamiento futuro” o para “la empresa N, sus socios, cesionarios y relacionados”, sino que ordena que debe ser específico respecto de a quién se le otorga el consentimiento y para qué efectos se le otorga.
Además, el consentimiento debe ser demostrable, es decir, quienes tratan datos personales deben estar en posición de poder demostrar que cuentan con el consentimiento del titular de los datos y, adicionalmente, que el tratamiento de datos lo ha realizado en forma lícita, leal (no lo usaron para crear discriminaciones arbitrarias) y transparente.
Entonces y a partir de ahora, van a cobrar relevancia todas las plataformas y soluciones informáticas destinadas a registrar, conservar y, ¡atención!, recuperar el consentimiento específico que extendieron las personas, salvo que se pretenda afrontar la sanción económica correspondiente.
Esto también representa una gran oportunidad para las empresas que desarrollen productos y servicios destinados a gestionar y/o intermediar el consentimiento otorgado por los respectivos titulares.
4. Rediseño de metodologías y plataformas para la seguridad de los datos
La lógica de construir bases de datos y luego ver qué hacer para proteger los datos personales que se encuentren en ella para cumplir con la ley, se termina. O, al menos, no puede continuar como hasta ahora.
La nueva ley dice que si te dedicas a tratar datos personales, tienes que tomar todas las medidas técnicas y organizativas para que, desde el diseño, incluso antes de tener en tu poder cualquier dato personal, ellos se encuentren protegidos por defecto.
En este nuevo contexto, es previsible que se vayan desarrollando bases de datos en que al menos el segmento que contiene datos personales, se maneje en forma encriptada, u otras formas de protección equivalentes.
Lo interesante radica en que, frente a cualquier controversia, es el responsable del tratamiento el que debe acreditar la existencia y funcionamiento de las medidas de seguridad adecuadas.
5. Dimensiones técnicas de la protección: evaluaciones de impacto y planes de prevención de infracciones
Tal vez la diferencia más distintiva de la nueva ley con la anterior, es que esta se ocupa de algunos de los aspectos técnicos de la protección de los datos personales.
Así, por ejemplo, para los casos en que se realicen operaciones de tratamiento que pueden tener un alto impacto en los derechos de las personas, el responsable del tratamiento debe realizar previamente una evaluación del impacto del mismo.
La ley no da ejemplos, pero perfectamente puede ser el caso de una base de datos de personas infectadas con VIH o que padecen alguna forma de enfermedad degenerativa; en tales casos la autoridad de protección de datos debe informar tanto la forma de realizar la evaluación de impacto (vía reglamento), como las medidas de mitigación que el responsable debe adoptar para seguir adelante.
También se contempla la existencia de planes de prevención de infracciones, los cuales serán certificados por la Agencia de Protección de Datos Personales cuando cumplan los requisitos que se fijen para ello; serán incorporadas al nuevo Registro Nacional de Sanciones y Cumplimiento.
¿Qué ventajas te da certificarte? Básicamente, dar por acreditado que has cumplido con la obligación de adoptar acciones destinadas a prevenir la comisión de las infracciones y, consecuentemente, alejar la posibilidad de incurrir en las sanciones derivadas de las infracciones graves o gravísimas consideradas por la ley, pues la Agencia no podrá decir que no cumpliste diligentemente con tus deberes de dirección y supervisión: tienes un certificado de la propia autoridad que dice que sí fuiste diligente.
Por supuesto, nadie espera que el Directorio de una empresa o el jefe superior de un servicio público esté preocupado permanentemente de la cuestión de los datos personales, y por ello la ley formaliza la existencia de una nueva figura: el delegado de protección de datos, designado por la máxima autoridad directiva o administrativa y que se ocupa no sólo del cumplimiento normativo y de la formación de las personas al interior de la organización que se trate, sino también de cooperar con la autoridad de protección de datos.
¿Necesitas ayuda?
Si necesitas asesoría en materia de protección de datos personales, hablemos. Nos puedes contactar a través de nuestros diversos canales de comunicación.
¿Quieres saber más sobre este tema?
Puedes consultar el libro “La protección de los datos personales en Chile” escrito por los abogados de DPOLegal Lorena Donoso y Carlos Reusser, publicado por DER Ediciones.
—
(*) Nota: Esta columna fue escrita antes de la publicación de la Ley N° 21.719 (que modifica sustantivamente la Ley N° 19.628). Por lo tanto, dado que el texto se elaboró durante la discusión legislativa, es posible que parte de la información haya cambiado.