La transferencia internacional de datos personales es una práctica común en el entorno empresarial globalizado. Con la promulgación de la Ley Nº 21.719 en noviembre de 2024, Chile ha actualizado su marco legal para alinearse con estándares internacionales, estableciendo regulaciones específicas para el tratamiento y transferencia de datos personales fuera del país.
Requisitos para la Transferencia Internacional de Datos Personales
La nueva ley establece que la transferencia de datos personales a otros países es lícita bajo ciertas condiciones que aseguran la protección de los derechos de los titulares. Estas condiciones incluyen:
- Nivel Adecuado de Protección: La transferencia es permitida cuando el país receptor ofrece un nivel de protección de datos personales equivalente o superior al establecido en la legislación chilena. La Agencia de Protección de Datos Personales será la encargada de evaluar y publicar una lista de países que cumplen con este criterio.
- Garantías Adecuadas: En ausencia de un estándar adecuado de protección en el país receptor, la transferencia puede realizarse si se implementan garantías, como cláusulas contractuales tipo, normas corporativas vinculantes u otros instrumentos jurídicos que aseguren la protección de los datos. La Agencia de Protección de Datos Personales será la encargada de elaborar y publicar modelos de cláusulas contractuales autorizadas que serán consideradas como garantías.
- Consentimiento del Titular: La transferencia es posible si el titular de los datos ha otorgado su consentimiento explícito, después de haber sido informado sobre los posibles riesgos debido a la ausencia de una decisión de adecuación y de garantías adecuadas.
Obligaciones de las Empresas Chilenas
Las empresas que operan en Chile y que requieren transferir datos personales al extranjero deben:
- Evaluar el Nivel de Protección del País Receptor: Antes de realizar la transferencia, es fundamental verificar si el país de destino ofrece un nivel de protección adecuado. Esta información será proporcionada por la Agencia de Protección de Datos Personales.
- Implementar Garantías Adecuadas: En caso de que el país receptor no esté en la lista de países con protección adecuada, las empresas deben establecer garantías adecuadas, como acuerdos contractuales que aseguren la protección de los datos transferidos.
- Obtener el Consentimiento del Titular: Si no es posible asegurar un nivel de protección adecuado ni implementar garantías suficientes, se debe obtener el consentimiento explícito del titular de los datos, informando claramente sobre los riesgos asociados.
Sanciones por Incumplimiento de la Nueva Ley de Protección de Datos Personales
El incumplimiento de las disposiciones establecidas en la Ley Nº 21.719 respecto a la transferencia internacional de datos personales puede derivar en sanciones administrativas y económicas significativas. Estas sanciones están diseñadas para fomentar el cumplimiento de las normativas y garantizar la protección efectiva de los datos personales. A continuación, se detalla cómo se clasifican y aplican estas sanciones:
Infracciones Leves
Las infracciones consideradas leves corresponden a incumplimientos de menor gravedad, generalmente relacionados con errores administrativos o negligencias sin un impacto sustancial en los derechos de los titulares de los datos. Ejemplos de infracciones leves pueden incluir:
- No informar al titular de los datos sobre la transferencia internacional cuando esta información es requerida.
- Presentar documentos incompletos en procesos de autorización para transferencias internacionales de datos.
- Demoras injustificadas en la respuesta a solicitudes de información de la Agencia de Protección de Datos Personales.
Sanción asociada: Multas de hasta 5.000 Unidades Tributarias Mensuales (UTM), lo que equivale a aproximadamente $300 millones de pesos chilenos, dependiendo del valor de la UTM al momento de la sanción.
Infracciones Graves
Las infracciones graves abarcan actos u omisiones que tienen un impacto directo y negativo en la privacidad de los titulares de los datos. Estas pueden incluir incumplimientos que comprometan la seguridad de los datos personales o que deriven en riesgos significativos para los derechos de las personas. Algunos ejemplos de infracciones graves son:
- Transferir datos personales a países que no cuentan con un nivel adecuado de protección, sin haber implementado las garantías contractuales requeridas.
- Realizar transferencias internacionales sin contar con el consentimiento explícito y determinado del titular, en casos donde este es obligatorio.
- No reportar a la Agencia de Protección de Datos un incidente de seguridad relacionado con la transferencia internacional de datos.
Sanción asociada: Multas de hasta 10.000 UTM, lo que representa aproximadamente $600 millones de pesos chilenos, dependiendo del valor de la UTM.
Infracciones Gravísimas
Las infracciones gravísimas implican actos de alta negligencia o intencionalidad que afectan gravemente los derechos fundamentales de los titulares de los datos. Estas acciones suelen tener consecuencias amplias y pueden generar daño significativo a los titulares o a la sociedad en general. Ejemplos incluyen:
- Realizar transferencias internacionales de datos a terceros sin ninguna base legal, como un contrato, una autorización explícita o garantías adecuadas.
- Transferir datos sensibles, como información sobre salud o antecedentes penales, a países sin nivel adecuado de protección y sin el consentimiento explícito del titular.
- Negarse deliberadamente a cumplir con resoluciones emitidas por la Agencia de Protección de Datos Personales.
Sanción asociada: Multas de hasta 20.000 UTM o el 4% de los ingresos anuales de la empresa a nivel global, dependiendo de cuál sea mayor. En el caso de empresas de gran envergadura, esto puede representar una suma multimillonaria.
Factores que Agravan o Atenúan las Sanciones
La normativa contempla la posibilidad de ajustar las sanciones dependiendo de factores agravantes o atenuantes. Entre los factores que pueden influir en la determinación de la sanción se encuentran:
- Agravantes:
- Reincidencia en el incumplimiento.
- Magnitud del daño causado a los titulares de los datos.
- Intencionalidad en la acción u omisión.
- Atenuantes:
- Reparación del daño causado de manera voluntaria.
- Implementación posterior de medidas correctivas para evitar futuros incumplimientos.
- Colaboración activa con la Agencia de Protección de Datos Personales durante la investigación.
Es importante destacar que todo lo anterior, es sin perjuicio de las acciones legales que puedan emprender las personas que resulten afectadas por las infracciones a la Ley de Protección de Datos.
Ejemplos Prácticos
- Ejemplo 1: Una empresa chilena de comercio electrónico desea almacenar datos de sus clientes en un servidor ubicado en un país europeo reconocido por la Agencia de Protección de Datos Personales como que ofrece un nivel adecuado de protección. En este caso, la transferencia es permitida sin necesidad de garantías adicionales.
- Ejemplo 2: Una compañía chilena subcontrata servicios de análisis de datos con una empresa en un país que no cuenta con un nivel de protección de datos adecuado según la Agencia. Para proceder con la transferencia, la empresa chilena debe establecer cláusulas contractuales tipo que aseguren la protección de los datos personales transferidos.
Rol de la Agencia de Protección de Datos Personales
La nueva ley crea la Agencia de Protección de Datos Personales, una entidad autónoma encargada de supervisar y garantizar el cumplimiento de la normativa. Entre sus funciones destacan:
- Evaluar y Publicar Listados de Países con Protección Adecuada: La Agencia determinará qué países ofrecen un nivel de protección de datos equivalente al chileno y publicará esta información para orientar a las empresas.
- Modelos de Cláusulas o Contratos: La Agencia confeccionará y publicará modelos de cláusulas contractuales que sean consideradas como garantías bajo esta nueva normativa.
- Fiscalizar las Transferencias Internacionales: La Agencia tiene la facultad de supervisar las operaciones de transferencia internacional de datos y, en casos justificados, suspender temporalmente dichas transferencias.
Consideraciones Finales
La nueva Ley de Protección de Datos Personales en Chile representa un avance significativo hacia la protección de la privacidad de los individuos y la alineación con estándares internacionales. Las empresas deben adoptar medidas proactivas para garantizar el cumplimiento de las disposiciones relativas a la transferencia internacional de datos, evitando así sanciones y fortaleciendo la confianza de sus clientes.
En Legal Prisma, comprendemos la complejidad que implica adaptarse a esta nueva normativa y ofrecemos asesoría especializada para asegurar que tu empresa cumpla con todos los requisitos legales en materia de protección de datos personales.
Para consultas o asesoramiento, contáctanos o llámanos al +56 9 8414 8181, o también puedes enviarnos un correo a contacto@legalprisma.cl. Estamos aquí para acompañarte en tu camino hacia el éxito financiero y legal.