El 13 de diciembre de 2024 se publicó la Ley N° 21719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales. Esta nueva normativa, que entrará en vigencia diferida el 1 de diciembre de 2026 [1, Artículo primero transitorio], introduce modificaciones significativas a la ley N° 19.628 sobre protección de la vida privada, sustituyendo la referencia a «la vida privada» por «los datos personales» en su nombre y contenido.

Objeto y Ámbito de Aplicación

La ley tiene como objeto regular la forma y condiciones en que se efectúa el tratamiento y protección de los datos personales de las personas naturales, en conformidad con el artículo 19, N° 4 de la Constitución Política de la República. Se aplicará a todo tratamiento de datos personales realizado por personas naturales o jurídicas, incluyendo los órganos públicos, respetando los derechos y libertades de las personas.

Sin embargo, se excluye del ámbito de aplicación el tratamiento de datos realizado en ejercicio de las libertades de opinión e información, así como el tratamiento de datos efectuado por personas naturales en relación con sus actividades personales. Los medios de comunicación social estarán sujetos a la ley en lo relativo al tratamiento de datos con una finalidad distinta a la de opinar e informar.

La ley también define su ámbito de aplicación territorial, abarcando el tratamiento de datos personales cuando el responsable o su mandatario estén establecidos en el territorio nacional, cuando el mandatario realice el tratamiento a nombre de un responsable establecido en Chile, o cuando las operaciones de tratamiento estén destinadas a ofrecer bienes o servicios a titulares en Chile o a monitorear su comportamiento en el territorio nacional.

Creación de la Agencia de Protección de Datos Personales

Se crea la Agencia de Protección de Datos Personales, una corporación autónoma de derecho público, de carácter técnico y descentralizado, con personalidad jurídica y patrimonio propio, que se relacionará con el Presidente de la República a través del Ministerio de Economía, Fomento y Turismo [26, Artículo 30]. Su objetivo principal será velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales, y fiscalizar el cumplimiento de la ley [26, Artículo 30]. La Agencia tendrá diversas funciones y atribuciones, incluyendo la dictación de normas generales, la fiscalización del cumplimiento de la ley, la determinación de infracciones y la aplicación de sanciones [27, Artículo 30 bis].

Derechos del Titular de Datos Personales

La ley consagra una serie de derechos para los titulares de datos personales, que son personales, intransferibles e irrenunciables [6, Artículo 4°]. Estos derechos incluyen:

• Derecho de acceso: A solicitar y obtener confirmación sobre si sus datos están siendo tratados, acceder a ellos y a información relevante sobre el tratamiento [6, Artículo 5°].
• Derecho de rectificación: A solicitar la modificación o complementación de sus datos personales inexactos, desactualizados o incompletos [6, Artículo 6°].
• Derecho de supresión: A solicitar la eliminación de sus datos personales en los casos previstos por la ley [6, Artículo 7°].
• Derecho de oposición: A oponerse a un tratamiento específico de sus datos personales en los casos señalados por la ley [7, Artículo 8°].
• Derecho a la portabilidad de los datos personales: A solicitar y obtener una copia de sus datos personales en un formato electrónico estructurado y de uso común, y a transmitirlos a otro responsable [8, Artículo 9°].
• Derecho de bloqueo: A solicitar la suspensión temporal del tratamiento de sus datos personales mientras se resuelve una solicitud de rectificación, supresión u oposición [7, Artículo 8° ter].

 

Principios del Tratamiento de Datos Personales

El tratamiento de datos personales se regirá por los siguientes principios [5, Artículo 3°]:

• Licitud y lealtad: Los datos deben tratarse de manera lícita y leal, y el responsable debe poder acreditar la licitud del tratamiento.
• Finalidad: Los datos deben ser recolectados con fines específicos, explícitos y lícitos, y el tratamiento debe limitarse al cumplimiento de estos fines.
• Proporcionalidad: Los datos tratados deben ser necesarios, adecuados y pertinentes en relación con los fines del tratamiento, y conservarse solo por el tiempo necesario.
• Calidad: Los datos deben ser exactos, completos, actuales y pertinentes.
• Responsabilidad: Quienes realicen el tratamiento serán legalmente responsables del cumplimiento de los principios y obligaciones.
• Seguridad: El responsable debe garantizar estándares adecuados de seguridad para proteger los datos contra tratamientos no autorizados o ilícitos, pérdida, daño, etc.
• Transparencia e información: El responsable debe entregar al titular toda la información necesaria para el ejercicio de sus derechos, incluyendo políticas de tratamiento, de manera accesible y gratuita.
• Confidencialidad: El responsable y quienes tengan acceso a los datos deben guardar secreto o confidencialidad sobre los mismos.

Consentimiento y Otras Fuentes de Licitud

La regla general es que el tratamiento de datos personales requiere el consentimiento libre, informado, específico e inequívoco del titular [10, Artículo 12]. El consentimiento puede ser revocado en cualquier momento. Sin embargo, la ley establece otras fuentes de licitud para el tratamiento de datos sin necesidad de consentimiento, en casos como [10, Artículo 13]:

• Tratamiento de datos relativos a obligaciones económicas, financieras, bancarias o comerciales, conforme al Título III de la ley.
• Cuando el tratamiento sea necesario para el cumplimiento de una obligación legal o lo disponga la ley.
• Cuando sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para medidas precontractuales a solicitud del titular.
• Cuando sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que no se afecten los derechos y libertades del titular. En este caso, el titular siempre podrá exigir ser informado sobre el tratamiento y el interés legítimo.
• Cuando sea necesario para la formulación, ejercicio o defensa de un derecho ante tribunales u órganos públicos.

Obligaciones del Responsable de Datos

La ley detalla numerosas obligaciones para los responsables de datos [10, Artículo 14], entre las que se incluyen:

• Informar y poner a disposición del titular los antecedentes que acrediten la licitud del tratamiento.
• Asegurar que los datos se recojan de fuentes lícitas con fines específicos.
• Mantener secreto o confidencialidad sobre los datos personales [11, Artículo 14 bis].
• Mantener permanentemente a disposición del público información relevante sobre el tratamiento de datos [11, Artículo 14 ter].
• Aplicar medidas técnicas y organizativas adecuadas desde el diseño y por defecto para garantizar la protección de los datos [12, Artículo 14 quáter].
• Adoptar medidas de seguridad para proteger los datos [12, Artículo 14 quinquies] y reportar las vulneraciones de seguridad a la Agencia cuando exista un riesgo razonable para los derechos y libertades de los titulares [13, Artículo 14 sexies].

Tratamiento de Categorías Especiales de Datos

La ley establece normas específicas para el tratamiento de datos personales sensibles [15, Artículo 16], que generalmente requieren el consentimiento expreso del titular, con algunas excepciones. También se regulan de manera particular los datos personales relativos a la salud y al perfil biológico humano [16, Artículo 16 bis], los datos personales biométricos [16, Artículo 16 ter], los datos personales de niños, niñas y adolescentes [17, Artículo 16 quáter], los datos personales con fines históricos, estadísticos, científicos y de estudios o investigaciones [17, Artículo 16 quinquies], y los datos de geolocalización [17, Artículo 16 sexies].

Transferencia Internacional de Datos Personales

La transferencia internacional de datos personales será lícita cuando se realice a países con niveles adecuados de protección, cuando esté amparada por cláusulas contractuales u otros instrumentos jurídicos con garantías adecuadas, o cuando el responsable adopte un modelo de cumplimiento certificado [23, Artículo 27]. En ausencia de estas condiciones, se permiten transferencias específicas en ciertos supuestos, como con el consentimiento expreso del titular o para el cumplimiento de tratados internacionales [23, Artículo 27].

Infracciones y Sanciones

La ley clasifica las infracciones en leves, graves y gravísimas [31, Artículo 34]. Las sanciones para las personas naturales o jurídicas de derecho privado incluyen amonestaciones escritas y multas que pueden alcanzar hasta 5.000 UTM para infracciones leves, 10.000 UTM para infracciones graves y 20.000 UTM para infracciones gravísimas [33, Artículo 35]. En caso de reincidencia, las multas pueden ser aún mayores, incluso llegando a un porcentaje de los ingresos anuales por ventas y servicios en el caso de empresas no consideradas de menor tamaño [33, Artículo 35]. La Agencia también podrá imponer sanciones accesorias como la suspensión de las operaciones de tratamiento en casos de infracciones gravísimas reiteradas [34, Artículo 38]. Se crea un Registro Nacional de Sanciones y Cumplimiento de carácter público [34, Artículo 39].

Procedimientos Administrativos y Judiciales

La ley establece un procedimiento administrativo de tutela de derechos para que los titulares puedan reclamar ante la Agencia cuando se les niegue el ejercicio de sus derechos o no se responda a sus solicitudes [35, Artículo 41]. También se contempla un procedimiento administrativo por infracción de ley para la determinación de incumplimientos y la aplicación de sanciones por parte de la Agencia [36, Artículo 42]. Las resoluciones de la Agencia podrán ser objeto de un reclamo de ilegalidad ante la Corte de Apelaciones [37, Artículo 43].

Responsabilidad de los Órganos Públicos y sus Funcionarios

Se establece la responsabilidad administrativa del jefe superior del órgano público por el incumplimiento de los principios, derechos y obligaciones en el tratamiento de datos personales [38, Artículo 44], con sanciones de multa sobre su remuneración e incluso suspensión en el cargo. También se regula la responsabilidad del funcionario infractor [38, Artículo 45].

Prevención de Infracciones y Modelos de Cumplimiento

La ley incentiva la adopción de modelos de prevención de infracciones o programas de cumplimiento por parte de los responsables de datos [39, Artículo 49], incluyendo la posibilidad de designar un delegado de protección de datos personales [40, Artículo 50]. La Agencia será la encargada de certificar, registrar y supervisar estos modelos [41, Artículo 51].

Tratamiento de Datos por Órganos Autónomos

El tratamiento de datos personales por el Congreso Nacional, el Poder Judicial y otros organismos públicos con autonomía constitucional se regirá por sus leyes orgánicas y por las disposiciones del Título IV de esta ley aplicables a los órganos públicos, con algunas excepciones [41, Artículo 54].

En resumen, la Ley N° 21.719 representa un avance significativo en la regulación de la protección de datos personales en Chile, modernizando la normativa existente, creando una institucionalidad especializada para su fiscalización y garantizando un catálogo más amplio de derechos para los titulares de datos. Su implementación requerirá la dictación de diversos reglamentos y la adaptación de las prácticas de tratamiento de datos tanto en el sector público como en el privado.

Enlace oficial: Ley 21719