Recientemente, el proyecto de ley que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (en adelante, “Proyecto”) concluyó su discusión en la Comisión Mixta, siendo despachado a la Sala de la Cámara de Diputados para continuar su tramitación. La sesión en que se discutirá el Proyecto fue fijada para el miércoles 31 de julio de 2024.
De esta manera, el Proyecto avanza su tramitación, quedando pendiente su aprobación por la Cámara de Diputados y el Senado, su sometimiento al control de constitucionalidad por parte del Tribunal Constitucional, así como su posterior envío al Presidente de la República para su promulgación y posterior publicación.
- MATERIAS ABORDADAS EN LA ÚLTIMA SESIÓN DE LA COMISIÓN MIXTA
En cuanto a las materias que se discutieron en la última sesión de la Comisión Mixta, es importante destacar lo siguiente:
- Derecho de cancelación. En relación con el derecho de cancelación contenido en el artículo 7º del Proyecto, se acordó eliminar la expresión “especialmente”, con el propósito de establecer un listado taxativo de causales que permitan el ejercicio de tal derecho por el titular de los datos.
- Fuentes de licitud para el tratamiento de datos. En cuanto a la regulación contenida en el artículo 13 del Proyecto, relativa a las fuentes de licitud para el tratamiento de datos sin el consentimiento del titular, los miembros de la Comisión Mixta acordaron, en primer lugar, suprimir la letra a) del señalado artículo, el cual permitía el tratamiento de datos cuando éstos han sido recolectados de una fuente de acceso público. Y, en segundo lugar, agregar en el literal b) del artículo 13 la expresión “incluidos los datos referidos a la situación socioeconómica del titular”, permitiendo así, por ejemplo, el tratamiento de los datos socioeconómicos en el marco de las operaciones financieras o crediticias.
- Comunicación de información. Respecto de la información que puede ser comunicada por los responsables de las bases de datos personales, se acordó incluir la expresión “cumplimiento” en el artículo 17 del Proyecto, con el objeto de permitir que no sólo se informen los incumplimientos de las obligaciones de carácter financiero, sino que también su cumplimiento, facilitando así el acceso al crédito por parte de las personas.
- Tratamiento de datos por organismos públicos. En relación con el artículo 54 del Proyecto, se acordó mantener el inciso 2° propuesto por el Senado, que establece la competencia de los órganos internos de ciertas entidades públicas para ejercer las funciones y adoptar las decisiones que la ley le encomienda a la Agencia de Protección de Datos Personales. Adicionalmente, se incorporó en su parte final la posibilidad de reclamar judicialmente de los actos que dicten los referidos órganos internos, respecto de los asuntos sometidos a su conocimiento en el ejercicio de tales funciones.
Por su parte, se acordó mantener el inciso 4° propuesto por el Senado, el cual reconoce la autonomía de ciertos organismos del Estado respecto de las funciones normativas, fiscalizadoras y de supervigilancia que se le encomiendan a la Agencia de Protección de Datos Personales.
- Sanciones aplicables. Se acordó modificar el artículo 35 del Proyecto, incrementando el monto de las multas aplicables por cada clase de infracción, y estableciendo sólo un límite máximo en cada categoría.
Adicionalmente, en relación con las empresas de mayor tamaño, se estableció que en el caso de reincidencia en los términos del artículo 36 del Proyecto, se pueda imponer en forma alternativa el monto que resulte mayor entre la aplicación de una multa de hasta tres veces el valor que corresponda por la infracción cometida, o el cálculo del 2% o 4% de los ingresos por ventas y servicios del año anterior.
Finalmente, se acordó incorporar una disposición transitoria aplicable a las empresas de menor tamaño, que permita que, dentro de los 12 primeros meses siguientes a la entrada en vigencia de la ley, se aplique una sanción de amonestación como regla general, para efectos de facilitar la adaptación de estas empresas a la nueva normativa, así como a los criterios que adopte la Agencia de Protección de Datos Personales.
- ASPECTOS DESTACABLES DEL PROYECTO
Además de los elementos sustantivos y orgánicos en que este Proyecto innova en nuestro sistema (v.gr. establecimiento de conceptos y principios en materia de datos personales, así como la creación de la Agencia de Protección de Datos Personales), se deben destacar los siguientes aspectos:
- Modificaciones a otros cuerpos normativos
En primer lugar, es preciso indicar que, si bien el Proyecto tiene como objeto primordial modificar la Ley N°19.628, sobre protección de la vida privada, también efectúa modificaciones a otros cuerpos normativos, a saber:
- Ley N°20.285, sobre acceso a la información pública.
- DFL N°3, de 2021, del Ministerio de Economía, Fomento y Turismo, que fija el texto refundido, coordinado y sistematizado de la Ley N°19.496, que establece normas sobre protección de los derechos de los consumidores.
- Potestad reglamentaria
Y, en segundo lugar, cabe destacar que el Proyecto establece que la regulación de las siguientes materias deberá efectuarse a través de reglamentos:
- El establecimiento de las condiciones, modalidades e instrumentos para la comunicación o cesión de datos personales entre organismos públicos y con personas u organismos privados, así como también los procedimientos de anonimización de datos personales, especialmente aquellos datos personales sensibles. Dichas materias deberán ser establecidas por medio de un Reglamento expedido por el Ministerio Secretaría General de la Presidencia.
- La determinación de los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los modelos de prevención de infracciones de los responsables de datos, sean personas naturales o jurídicas, públicas o privadas. Este reglamento deberá ser expedido por el Ministerio de Hacienda, y suscrito por la Secretaría General de la Presidencia y el Ministerio de Economía, Fomento y Turismo.
En caso de requerir información adicional, puede contactar a Macarena Naranjo (mnaranjo@jdf.cl), Javiera Rodríguez (jrodriguez@jdf.cl) o Sofía Ortúzar (msortuzar@jdf.cl)