Si eres de las personas que tiene una activa vida digital, entonces es importante que sepas qué ocurre con los datos que vas dejando en la red. Porque aunque no te des cuenta, cada interacción en línea va dejando una huella de tu información personal.
Pero nuestra exposición virtual no es solo consecuencia de las nuevas redes sociales o la irrupción de la inteligencia artificial. De hecho, ya desde el año 1999 existe en Chile la ley 19.628 que comenzó a velar por la protección de datos personales. Aunque claro, hoy el escenario virtual hace que nos cuestionemos aún más los alcances del uso de nuestra información.
Es por esto que existe un proyecto de ley, que viene gestándose desde 2017 y que busca actualizar esta normativa. Tras extensas discusiones parlamentarias y distintos gobiernos, hoy se encuentra en lo que debería ser su última etapa de tramitación.
¿Qué es la Ley 19.628 y cuál es su objetivo?
La Ley 19.628 en Chile, también conocida como Ley de Protección de la Vida Privada, tiene como finalidad proteger el derecho a la privacidad de las personas y regular el tratamiento de los datos personales en Chile.
La ley de protección de datos personales establece una serie de principios y normas que deben seguirse al recopilar, almacenar, utilizar y divulgar información personal. Determina que los datos personales deben ser tratados de manera justa y lícita, y que deben ser utilizados solo para fines específicos y legítimos.
Esta ley de protección de datos también establece la obligación de obtener el consentimiento de las personas antes de recopilar o utilizar sus datos personales, y la obligación de mantener la confidencialidad y seguridad de dicha información.
Además, la norma establece los derechos de las personas en relación con sus datos personales, incluyendo el derecho a acceder a ellos, a rectificarlos y a solicitar su eliminación si es necesario. Asimismo, establece las sanciones y multas que se aplicarán a quienes incumplan con sus disposiciones.
Derechos de los titulares de datos personales
En Chile, los titulares de datos personales tienen una serie de derechos que están protegidos por la ley de protección de datos personales (Ley 19.628), entre los cuales podemos destacar:
- Derecho de acceso: Tienen derecho a solicitar información sobre los datos personales que se están recopilando y tratando sobre ellos.
- Derecho de rectificación: Tienen derecho a solicitar la corrección de los datos personales inexactos o incompletos.
- Derecho de cancelación: Tienen derecho a solicitar la eliminación de los datos personales que ya no son necesarios para la finalidad para la que se recopilaron o cuando el titular retire su consentimiento.
- Derecho de oposición: Tienen derecho a oponerse al tratamiento de sus datos personales en determinadas circunstancias.
- Derecho de portabilidad: Tienen derecho a solicitar la transferencia de sus datos personales a otro responsable del tratamiento.
- Derecho a la información: Tienen derecho a recibir información clara y completa sobre el tratamiento de sus datos personales.
- Derecho de revocación: Tienen derecho a retirar su consentimiento en cualquier momento.
Es importante destacar que estos derechos no son absolutos y pueden estar sujetos a ciertas excepciones y limitaciones establecidas por la ley de protección de datos personales.
Medidas que deben tomar las empresas y su responsabilidad
Las empresas chilenas deben regirse por la Ley 19.628 al momento de recopilar y tratar los datos personales de sus clientes y, por tanto, existen una serie de requerimientos que deben considerar para ajustarse a la normativa:
1. Las empresas deben notificar a los titulares de los datos sobre la recolección y el tratamiento que se hará de sus datos personales, ya que se requiere el consentimiento de la persona para llevarlo a cabo. Esto, por ejemplo, debe quedar siempre explícito al realizar compras en páginas web.
2. Las empresas deben informar sobre la finalidad que se le dará a los datos personales, cuánto tiempo se guardarán los datos, cuáles son los derechos de los titulares y cómo pueden ejercerlos.
3. Las empresas deben respetar los derechos de los titulares de los datos, por lo que es fundamental que cuenten con un mecanismo para que las personas puedan ejercer su derecho al acceso, rectificación, supresión y oposición al tratamiento de sus datos.
La ley de protección de datos personales también indica que, si la persona natural o jurídica, privada u organismo público responsable de los datos personales no cumple con la norma, deberá indemnizar el daño patrimonial y moral causado por el tratamiento indebido de datos.
Protección de datos sensibles en el ámbito digital
De acuerdo a la ley de protección de datos, los datos sensibles son “aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual”.
En el proyecto de ley que se está trabajando, se establece que el tratamiento de los datos personales sensibles sólo puede realizarse cuando el titular de estos manifiesta su consentimiento en forma expresa. Para lo cual se deberá otorgar una declaración escrita, verbal o por un medio tecnológico equivalente.
Con esto último, las empresas que deseen solicitar datos sensibles por la vía digital, deberán establecer un mecanismo tecnológico válido para que las personas acepten la utilización y tratamiento de dichos datos.
Adicionalmente, se establece que será lícito el tratamiento de estos datos sin el consentimiento del titular en casos específicos: cuando el titular ya los hizo públicos, cuando resulte indispensable para salvaguardar la vida o salud del titular o de un tercero, y en materia judicial.
También queda normada la manera de abordar estos datos con fines históricos, estadísticos, científicos y de estudios o investigaciones.
Cambios que trae el proyecto de ley sobre protección de datos personales
Ahora que el proyecto de ley ya se encuentra en su última etapa de tramitación, es fundamental revisar algunos de los cambios más significativos que propone respecto de la ley 19.628:
1. Se establecen nuevas fuentes de licitud para el tratamiento de datos personales (como el interés legítimo y la ejecución de un contrato), regulando en detalle los requisitos del consentimiento.
2. Regula de manera expresa los principios del tratamiento de datos (licitud, finalidad, proporcionalidad, entre otros), los derechos de los titulares, las operaciones de transferencias internacionales de datos y el tratamiento de datos personales sensibles.
3. Creación de la Agencia de Protección de Datos Personales, órgano encargado de fiscalizar el cumplimiento de la ley y sancionar cuando corresponda.
4. Obligación para los responsables y encargados del tratamiento de datos de implementar medidas de seguridad para resguardar la confidencialidad e integridad de los datos y evitar la alteración, destrucción, pérdida y tratamiento no autorizado.
5. Obligación de generar documentación sobre el tratamiento de datos y mantener a disposición del público (vía web u otro similar) una política de privacidad. Los responsables del tratamiento deben llevar además un registro de las comunicaciones a la Agencia en relación con el reporte de vulneraciones de las medidas de seguridad.
6. Contempla la posibilidad de adoptar voluntariamente programas de compliance que podrán ser certificados por la Agencia y constituir circunstancias atenuantes de responsabilidad. Crea demás la figura de delegados de protección de datos.
7. Establece categorías de sanciones (leves, graves y gravísimas) y determina sanciones que pueden llegar hasta las 20.000 UTM o la suspensión de operaciones de tratamiento hasta por 20 días.
¿Cómo puedo hacer que mi empresa cumpla la normativa? 5 Tips
Hoy en día las organizaciones no solo deben preocuparse de cumplir la ley 19.628, también deben prepararse para afrontar los cambios que vendrán cuando se implemente la nueva normativa.
Por eso deben tener en cuenta lo siguiente:
a) Capacitar a los colaboradores respecto del correcto tratamiento de datos, con políticas internas que estén disponibles para todos aquellos que participan en alguna parte del proceso (solicitud, tratamiento, conservación y eliminación de datos).
b) Tener detallado cuáles son los datos personales que solicitan a sus clientes o prospectos, para qué finalidad se utilizan dichos datos, por cuánto tiempo se almacenan y cómo es el sistema de eliminación de datos. Tener documentado cada parte del proceso permitirá tener un mejor control.
c) Nombrar un encargado de protección de datos: Con la creación de la Agencia de Protección de Datos Personales se hará necesario contar con este rol al interior de las organizaciones, para que garantice el cumplimiento de la ley y actúe como enlace entre la Agencia y la empresa.
d) Contar con políticas de consentimiento: El consentimiento de recolección, tratamiento y uso de datos personales debe entregarse de manera informada y explícita. Por ello se debe contar con políticas definidas que indiquen la forma correcta de obtener el consentimiento y cuáles son los protocolos a seguir
e) Implementar medidas de seguridad: Limitar el acceso a los datos personales solo a personas autorizadas mediante asignación de permisos y roles y utilizar técnicas de encriptación para proteger la confidencialidad, son las algunas de las medidas recomendadas para resguardar los datos.