- Ampliación de las bases legales para la Protección y el Tratamiento de los Datos Personales y entrada en vigencia
- Incorporación de principios rectores en la gestión de datos
- Derechos ampliados para los titulares de datos personales
- Creación de la Agencia de Protección de Datos Personales
- Regulación de la transferencia internacional de datos
- Introducción de Medidas de Seguridad Obligatorias
- Responsabilidad proactiva y registro de actividades
- Sanciones más severas y disuasorias
- Primer ejemplo: Aplicación en pequeñas empresas
- Segundo ejemplo: Empresas multinacionales
- Conclusión
- Escríbenos hoy mismo
La evolución normativa en Chile sobre Protección y el Tratamiento de los Datos Personales ha experimentado un cambio trascendental con la actualización de 2024. La Ley de Protección de la Vida Privada de 1999, conocida como Ley Nº 19.628, proporcionó el marco inicial para el tratamiento de datos en nuestro país. Sin embargo, el avance de las tecnologías y la globalización de la información exigieron una legislación más robusta y a la altura de los tiempos, resultando en una actualización alineada con estándares internacionales como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. A continuación, examinamos las diferencias clave entre ambas normativas, destacando los aspectos más significativos de la nueva ley.
Ampliación de las bases legales para la Protección y el Tratamiento de los Datos Personales y entrada en vigencia
Bajo la Ley 19.628 de 1999, las empresas solo podían tratar datos personales con el consentimiento del titular o en cumplimiento de una obligación legal. Este enfoque resultaba limitado frente a las necesidades de un entorno digital dinámico. La actualización de la Ley 21.719 de 2024 introduce nuevas bases legales, como la ejecución de contratos, el cumplimiento de intereses legítimos del responsable o de terceros, y la protección de intereses vitales del titular. Estas incorporaciones amplían las posibilidades de tratamiento sin comprometer la privacidad de las personas.
Es importante destacar que de acuerdo a los artículos transitorios de la Ley 21.719, ésta entrará en vigencia a partir del mes de noviembre de 2026.
Incorporación de principios rectores en la gestión de datos
La legislación de 1999 carecía de una declaración explícita de principios rectores. En contraste, la nueva ley define principios como la transparencia, la minimización de datos, la finalidad específica, la proporcionalidad y la seguridad. Estos principios establecen directrices claras para las empresas y responsables de datos, asegurando que el tratamiento de datos sea ético y conforme a la ley.
Derechos ampliados para los titulares de datos personales
En la Ley 19.628, los derechos de los titulares se limitaban al acceso, la rectificación y la cancelación de sus datos. La legislación de 2024 refuerza estos derechos al incluir la portabilidad, el derecho al olvido, la posibilidad de limitar y bloquear el tratamiento. Esto otorga a las personas un mayor control sobre su información personal, alineándose con las demandas de los usuarios en un entorno digitalizado.
Creación de la Agencia de Protección de Datos Personales
Una de las carencias más notorias de la ley anterior era la falta de un organismo especializado en supervisar el cumplimiento normativo. La actualización de 2024 de la Ley 21.719, establece la Agencia de Protección de Datos Personales como entidad autónoma, dotada de facultades para fiscalizar, conocer de reclamaciones, sancionar e implementar políticas de educación y promoción de la privacidad. Este cambio eleva el estándar de supervisión y cumplimiento en el país.
Regulación de la transferencia internacional de datos
La Ley de 19.628 de 1999, no abordaba la transferencia de datos personales al extranjero, lo que generaba incertidumbre para las empresas que operaban en mercados globales. La nueva legislación establece requisitos estrictos, como garantizar niveles adecuados de protección en el país receptor, ya sea mediante cláusulas contractuales o normas corporativas vinculantes. Esto asegura que los datos personales de titulares chilenos estén protegidos incluso fuera del territorio nacional.
Introducción de Medidas de Seguridad Obligatorias
Ausencia de Regulaciones Claras en el Pasado
Antes de la reciente actualización de 2024, las empresas en Chile no contaban con lineamientos específicos respecto a las medidas de seguridad que debían implementar. Esto generaba un enfoque dispar en la protección de datos personales, dejando vulnerables tanto a individuos como a organizaciones ante posibles violaciones de seguridad.
Requisitos Específicos y Proporcionalidad al Riesgo
La nueva legislación establece la obligación de implementar medidas técnicas y organizativas adecuadas al nivel de riesgo asociado al tratamiento de datos. Esto incluye la encriptación, controles de acceso y evaluaciones de impacto en privacidad, asegurando un estándar mínimo de protección en todas las industrias.
Privacidad desde el Diseño
Otro avance significativo es la incorporación del principio de «privacidad desde el diseño». Esto exige que las empresas integren medidas de seguridad desde las etapas iniciales de cualquier proyecto, minimizando riesgos y garantizando la protección de datos desde su concepción.
Responsabilidad proactiva y registro de actividades
Un cambio relevante es la exigencia de responsabilidad proactiva para las empresas. Esto implica que los responsables del tratamiento deben demostrar cumplimiento normativo, manteniendo registros detallados de sus actividades relacionadas con datos personales. Este enfoque no solo previene infracciones, sino que también fomenta una cultura de respeto y cuidado hacia la privacidad.
Sanciones más severas y disuasorias
La Ley 19.628 contemplaba sanciones limitadas, que muchas veces eran insuficientes para disuadir prácticas negligentes. En contraste, la Ley 21.719 de 2024, introduce multas significativas, que van desde las 5.000 hasta las 20.000 Unidades Tributarias Mensuales y además se incorporan recargos y sanciones agravadas en caso de reincidencia que pueden alcanzar hasta el 4% de los ingresos anuales de venta de una empresa. Este incremento busca garantizar un mayor compromiso de las organizaciones con la protección de datos personales.
Primer ejemplo: Aplicación en pequeñas empresas
Una pequeña empresa de comercio electrónico que recolecta datos de clientes para gestionar pedidos y envíos deberá garantizar que estos datos sean tratados exclusivamente con fines específicos, como la ejecución de contratos de venta. Con la nueva ley, la empresa también deberá implementar medidas de seguridad, como el cifrado de datos y la capacitación del personal, además de mantener un registro detallado de las actividades relacionadas con la gestión y tratamiento de datos.
Segundo ejemplo: Empresas multinacionales
Para una empresa multinacional que transfiera datos de empleados o clientes a filiales en el extranjero, la normativa de 2024 exige garantizar un nivel adecuado de protección en el destino de los datos. Esto podría implicar la firma de cláusulas contractuales o la adopción de normas corporativas vinculantes, además de someterse a auditorías periódicas por parte de la Agencia de Protección de Datos Personales.
Conclusión
La comparación entre la Ley de Protección de la Vida Privada de 1999 y la actualización introducida por la Ley 21.719 de 2024 refleja un avance significativo en el marco normativo chileno. Esta nueva legislación no solo responde a los desafíos de la era digital, sino que también eleva el estándar de protección, alineándose con prácticas internacionales. Las empresas, independientemente de su tamaño y el hecho de que aún no entre en vigencia el nuevo marco legal, deben tomar medidas inmediatas para garantizar el cumplimiento de la ley, protegiendo tanto a sus clientes como a sus empleados y socios comerciales.
Para consultas o asesoramiento, contáctanos o llámanos al +56 9 8414 8181, o también puedes enviarnos un correo a contacto@legalprisma.cl. Estamos aquí para acompañarte en tu camino hacia el éxito financiero y legal.