Cámara despachó a ley nuevo marco para el tratamiento de datos personales

La Sala aprobó el informe de comisión mixta que resolvió las diferencias con el Senado, donde se mantuvo gran parte del texto definido previamente por la Corporación. Sin embargo, en la votación no se alcanzó el quórum mínimo exigido en lo relativo a las reglas generales del tratamiento de datos en algunos organismos públicos.

9350

Subsecretaria Segpres, Macarena Lobos, defendiendo el proyecto de protección de datos personales

Con un nuevo estándar en materia de tratamiento de datos personales contará ahora el país a través del proyecto (boletines 11092 y 11144) aprobado por la Sala de la Cámara y despachado al Ejecutivo para su promulgación como ley.

La propuesta busca que el tratamiento se realice con el consentimiento del titular de dichos datos o en los casos que lo autorice la ley. Además, procura que se aseguren estándares de calidad, información, transparencia y seguridad.

El proyecto se abordó conforme a los acuerdos definidos en una comisión mixta con el Senado. Allí, se mantuvo gran parte de la redacción establecida en la Cámara, en el segundo trámite. Así, por ejemplo, se mantuvieron las normas relativas a términos utilizados y principios, así como gran parte de las relativas a derechos de los titulares.

Hubo enmiendas en artículos referentes al derecho a bloqueo cuando se formule una solicitud de rectificación, supresión u oposición. También en lo relativo a la forma y medios de ejercer los derechos para las personas jurídicas no constituidas en Chile; para extender el plazo de respuesta frente a una solicitud de rectificación de 15 a 30 días; sobre el tratamiento de los datos personales y las categorías especiales de datos.

Igualmente, hubo nuevas redacciones respecto datos personales biométricos, geolocalización, transferencia internacional de datos personales; la agencia; marco de sanciones; y regímenes especiales. En estos últimos, por ejemplo, están contemplados los que se usan para fines de prevención o enjuiciamiento de infracciones penales o protección de víctimas.

El nuevo marco de aplicación

El texto define que todo tratamiento de datos personales que realice una persona natural o jurídica, incluidos los órganos públicos, debe respetar los derechos y libertades de las personas y quedará sujeto a las disposiciones de esta ley.

Este régimen no se aplicará al tratamiento de datos que se realice en el ejercicio de las libertades de emitir opinión y de informar. Tampoco al uso de antecedentes que efectúen las personas naturales en relación con sus actividades personales.

Esta ley se aplicará al tratamiento de datos personales que se realice bajo cualquiera de las siguientes circunstancias:

  • Cuando el responsable o mandatario esté establecido o constituido en territorio nacional.
  • Si el mandatario, con independencia de su lugar de establecimiento o constitución, realice las operaciones a nombre de un responsable establecido o constituido en territorio nacional.
  • Cuando el responsable o mandatario no se encuentren establecidos en el territorio nacional, pero sus operaciones ofrezcan bienes o servicios a titulares que se encuentren en Chile.
  • El realizado por un responsable que, sin estar establecido en el territorio nacional, le resulte aplicable la legislación nacional a causa de un contrato o del derecho internacional.

Principios, derechos y tratamiento

Dip. Nathalie Castillo, en el debate

Entre los principios rectores, la ley considera que los datos sólo pueden tratarse de manera lícita y leal; deben ser recolectados con fines específicos, explícitos y lícitos; y limitarse estrictamente a aquellos que resulten necesarios, adecuados y pertinentes en relación con los fines del tratamiento.

Por otra parte, la propuesta define que toda persona tiene derecho de acceso, rectificación, supresión, oposición, portabilidad y bloqueo de sus datos personales. Luego, entra a definir los alcances de cada uno de ellos y determina que son personales, intransferibles e irrenunciables y no pueden limitarse por ningún acto o convención.

El proyecto determina que es lícito el tratamiento de los datos personales que le conciernen al titular, cuando otorgue su consentimiento para ello. Este debe ser libre, informado y específico en cuanto a su/s finalidad/es. Asimismo, debe manifestarse en forma previa y de manera inequívoca.

Cuando el consentimiento lo otorgue un mandatario, éste deberá encontrarse expresamente premunido de esta facultad.

En todo caso, el titular puede revocar el consentimiento otorgado en cualquier momento y sin expresión de causa. Sin embargo, no tendrá efectos retroactivos.

Igualmente, se enumeran las opciones en que es lícito el tratamiento de datos personales, sin el consentimiento del titular. Entre ellas están, por ejemplo, cuando se requiera el cumplimiento de una obligación legal o para la celebración de un contrato.

Otros alcances de ley de datos personales

La nueva ley determina las obligaciones del responsable de datos, así como los deberes comprometidos (confidencialidad, transparencia, etc). Junto a ello, se regula el tratamiento de los datos personales sensibles, los de carácter biométrico y los de niños, niñas y adolescentes.

Además, se crea la Agencia de Protección de Datos Personales. Será una corporación autónoma de derecho público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio. Tendrá por objeto velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales y fiscalizará el cumplimiento de sus disposiciones.

Por último, entre otras normas, la iniciativa comprende un marco de infracciones y sanciones; así como de responsabilidades administrativas y civiles.

Discusión y resultados

Dip. Diego Schalper en el debate

El debate en la Sala estuvo principalmente marcado por dos temas. Uno de ellos fue el relativo del acceso a datos de carácter público y su posterior tratamiento, respecto de lo cual la oposición presentó observaciones.

Pero la principal queja proveniente de este sector, que adelantó votos en contra o abstenciones, apuntó al marco sancionatorio. Se acusó que es absolutamente desproporcionado, ajeno a la realidad chilena y condenatorio para las pequeñas y medianas empresas relacionadas al ámbito de la tecnología de datos.

Además, se sostuvo que ello generará desincentivos a la inversión en Chile de este tipo de empresas.

Por el contrario, desde el oficialismo se defendió que las sanciones son solo disuasivas, donde quedan fuera de su aplicación las pymes. Asimismo, remarcaron que tienen un eco en la legislación internacional, principalmente europea y acorde con otras legislaciones nacionales, como la de ciberseguridad.

El Gobierno, por su parte, refrendo que el marco sancionatorio se condice con leyes equivalentes en el país, que no afecta a las pymes y que tiene su base en la reglamentación de la OCDE, con la idea de facilitar el intercambio de información entre agencias. Agregó que los montos definidos son máximos a aplicar; que dependerán de las agravantes; y de la reincidencia de las infracciones.

Participaron en el debate Andrés Longton (RN), Diego Schlaper (RN), Leonardo Soto (PS), Luis Sánchez (PREP), Nathalie Castillo (PC), Gustavo Benavente (UDI) y Vlado Mirosevic (PL). Por el Ejecutivo expuso la subsecretaria del Ministerio Secretaría General de la Presidencia, Macarena Lobos.

Al momento de las votaciones, el informe se respaldó por 65 votos a favor, 22 en contra y 36 abstenciones. Con ello, el grueso de las normas se aprobó y pasó a fase de promulgación. La salvedad estuvo en un artículo que requería un mínimo de aprobación de 78 votos favorables. Refería a la regla general del tratamiento de datos personales de algunos organismos públicos, como el Poder Judicial y el Ministerio Público.