function googleTranslateElementInit() { new google.translate.TranslateElement({ pageLanguage: 'es', // Idioma original del sitio includedLanguages: 'es,en', // Idiomas permitidos: español, inglés layout: google.translate.TranslateElement.InlineLayout.SIMPLE // Opcional: Layout simple }, 'google_translate_element'); } function doGTranslate(lang_pair) { if (lang_pair.value) lang_pair = lang_pair.value; var lang = lang_pair.split('|')[1]; var select = document.querySelector('select.goog-te-combo'); if (select) { select.value = lang; select.dispatchEvent(new Event('change')); } }

Chile y su nuevo marco normativo en Protección de Datos Personales

En los últimos cinco años la tendencia de los Estados latinoamericanos se ha dirigido a actualizar sus marcos normativos en materia de protección de datos. Esta adaptación, mayoritariamente, ha pretendido que estos nuevos estándares se alineen con las disposiciones del Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE).  

Lo anterior en atención a que sus instrucciones y contenido son consideradas como el sistema regulatorio más completo en esta materia. En el caso peruano, fue a través de la emisión del Decreto Supremo N.º 016-2024-JUS2. En Ecuador, por medio de la Ley Orgánica de Protección de Datos Personales (LOPDP)3 y su Reglamento4 expedido en 2023.  

Recientemente fue el turno de Chile, pues su Congreso Nacional emitió el pasado 13 de diciembre de 2024 la Ley 21.7195 la cual modificó la normatividad existente hasta antes de su vigencia, a saber, la ley 19.628, en el sentido de que moderniza sus lineamientos. A continuación, se expondrán 15 de sus aspectos más relevantes pues, sin duda, tendrá que ser objeto de revisión por parte de las personas naturales o jurídicas que ejecuten actividades de tratamiento de datos.  

1 Enfoque: La Ley 19.628, dada la fecha de su emisión (1999) contenía disposiciones adaptadas para ese contexto histórico. Si bien hacía algunas referencias a datos personales, su principal objeto de protección se refería a aspectos relacionados con la protección de la vida privada. Aún cuando la ley 21.719 no la deroga (sino que la modifica y complementa), la nueva norma cambia el enfoque y le da preponderancia a la regulación sobre datos personales, sus mecanismos de protección y las operaciones que se pueden ejecutar con ellos. 

2. Ámbito de aplicación territorial: La Ley 19.628 no tenía ninguna disposición sobre su aplicabilidad territorial ni personal, sin embargo, la Ley 21.719 sí lo define, aclarando cuando es vinculante para Responsables y Mandatarios, incluso cuando estos no tienen domicilio en le jurisdicción chilena pero sí tratan datos de sus ciudadanos.  

3. Ampliación en definiciones: Antes de la vigencia de la Ley 21719, el apartado del mismo nombre que regía todo su, era precario. Solo se limitaban a significar apenas unos pocos conceptos. Empero, con el advenimiento de la Ley 21.719 prácticamente fue reformado en su totalidad. Principalmente, se agregaron más de 10 términos, algunos tales como: anonimización, seudonimización, cesión consentimiento, etc., y, aunque algunos otros mantuvieron su encabezado o denominación, su contenido fue reemplazado. 

4. Principios: la Ley 21.719 marca un hito en esta materia, pues incluye mandatos a través de los cuales se debe interpretar la norma y, además, sobre los cuales los Responsables, Mandatarios o, incluso, entidades públicas, deben guiar toda actividad de tratamiento sobre los datos personales bajo su administración. 

5. Datos: Las referencias a los tipos de datos y qué manejo debía dárseles atendiendo a su naturaleza era, en el mejor de los casos, confuso. Aunque existían algunas instrucciones, las mismas no tenían la capacidad de ser explicativas de sí mismas para generar soluciones a para problemas en el campo práctico. En vista de ello, la nueva norma subsanó tales falencias incluyendo disposiciones especiales para el tratamiento de datos sensibles, referidos a la salud y perfil biológico humano, geolocalización y de niños, niñas y adolescentes. Llama en particular atención en este aspecto que se fijan reglas para realizar actividades de tratamiento de datos sensibles sin el consentimiento del titular y un régimen concreto para el otorgamiento de consentimiento de adolescentes. 

¡Permítanos acompañar
sus procesos!

Realice sus operaciones de manera segura y permítanos guiar cada paso para cumplir con la normatividad dispuesta por la superfinanciera.

6. Derechos: A pesar de que existían los derechos de información, modificación, eliminación, y recepción de copia, no se especificaba la forma en que estos podían ser ejercicios por parte de los titulares, además, su descripción era genérica. La nueva norma, en cambio, no solo los incluye y explica en el apartado de “definiciones”, sino que también los desarrolla en artículos individuales e ilustra sus requisitos de procedibilidad. Igualmente, otorga nuevos derechos a los titulares, a saber: no ser sujeto de decisiones individuales automatizadas, incluida la elaboración de perfiles y el de portabilidad. Finalmente, fija cuáles son los términos y procedimientos que deben acatar tanto Responsables o Mandatarios y como la misma Agencia de Protección de Datos cuando un titular pretenda hacerlos efectivos.  

7. Bases legitimadoras: La nueva norma enuncia cuáles son los fundamentos legitimadores de la ejecución de actividades de tratamiento, entre ellos se encuentran: la celebración o ejecución de un contrato entre el Titular y el Responsable, la satisfacción de intereses legítimos del Responsable, o la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos. Por lo que respecta a la base legitimadora por excelencia, el consentimiento, aunque era requerido para tratar datos, no puntualizaba su alcance, y formas de expresión. La nueva norma señala las características del mismo, la oportunidad para su otorgamiento y las excepciones a su recolección 

8. Inclusión de deberes respecto del tratamiento: La norma impone la obligación a los Responsables de guardar confidencialidad de los datos personales administrados, incluso, cuando su relación con el Titular haya finalizado. También los obliga a, en aras de la transparencia, informar al Titular todas las circunstancias que rodean su tratamiento y, establecer mecanismos de seguridad de la información que protejan los datos personales obtenidos.   

9. Autoridad de vigilancia. Crea la Agencia de Protección de Datos como ente de supervisión de la materia: Le asigna funciones, atribuciones y fija la composición de su Consejo Directivo. Igualmente da origen al Registro Nacional de Sanciones y Cumplimiento en donde, como su nombre lo indica, se publicarán las entidades sanciones por la agencia y las características de tales decisiones, así como también las certificaciones que otorgará a los modelos de prevención de infracciones.

10. Desplazamiento de datos: La norma es muy concreta al señalar las condiciones que se deben tener en cuenta cuando la operación de tratamiento consiste en una comunicación, cesión o transferencia. En el primer y segundo evento, se indica cuál es el contenido mínimo que debe tener el documento que las formalice. Mientras que, para el tercer escenario (transferencias internacionales) indica los parámetros para considerar si se quiere determinar el nivel de seguridad (en términos de protección de datos) del país destinatario. Destacable es también que también incluye disposiciones que facilitan este tipo de operaciones en el marco de grupos empresariales y normas corporativas vinculantes.  

11. Sanciones: Construye un régimen sancionatorio completo en el entendido de que fija infracciones de carácter leve, grave y gravísimo, dispone de un procedimiento para la investigación y eventual atribución de responsabilidad y, estipula las circunstancias que pueden ser consideradas como atenuantes o agravantes de la conducta, los que repercuten directamente en la imposición y graduación de sanciones.  

12. Obligaciones de compliance: Sin perjuicio de que la norma NO indica que se debe construir un programa de cumplimiento alrededor de sus disposiciones, si obliga a los Responsables a adoptar medidas para prevenir la imposición de sanciones. En ese sentido, recomienda la construcción de un “Modelo de prevención de infracciones” que comprenda, en otros, aspectos como: el nombramiento de un Delegado de Protección de Datos, la identificación de los tipos y cantidad de datos personales tratados, las actividades de tratamiento, mecanismos de reporte interno en personas jurídicas para facilitar el intercambio de información que permita asegurar el cumplimiento de la norma, entre otras. En la práctica y, en nuestro concepto, esto sí se traduce en la práctica a un programa de compliance que oriente la conducta del Responsable hacia el cumplimiento. 

13. Reglamentación sobre entidades públicas: Aun cuando la norma es de aplicación general, es decir, para personas naturales y jurídicas, privadas y públicas, la misma dispone de una regulación concreta para que los organismos estatales puedan adoptar medidas tendientes al cumplimiento de norma.  

14. Reglamentación pendiente: Finalmente, aunque el avance legislativo es palmario, la misma norma aún señala que la Agencia deberá especificar aún más algunos de sus contenidos, entre ellos encontramos: la diferenciación de estándares de cumplimiento que deben asumir ciertas personas jurídicas considerando su tamaño, la actividad que desarrolla y el volumen, naturaleza y las finalidades de los datos personales que trata; el diseño y puesta en conocimiento de público de modelos tipo de contratos para formalizar comunicaciones de datos entre el Responsable y el Mandatario y transferencias internacionales; la lista orientativa en la que se especifique en qué casos se debe ejecutar inexorablemente una evaluación de impacto en protección de datos personales, la indicación de cuáles son los países que se consideran como seguros en la materia, entre otras.  

Autor/a: Juan Sebastián Garzón

Global Compliance Academy and Legal Advisory Leader
Abogado de la Universidad Santo Tomás con especialización en Ciencias Penales y Criminológicas de la Universidad Externado de Colombia. Maestrando en Compliance en la Universidad de Salamanca, España. Cuenta con formación en gestión de riesgos, sistemas integrados de administración de riesgos, gestión anticorrupción y auditoría bajo normas ISO. Auditor interno en sistemas de gestión de riesgos y antisoborno. Ha sido Oficial de Cumplimiento y consultor en la implementación de programas de transparencia, ética empresarial, SAGRILAFT y protección de datos en Colombia, Perú y Ecuador. Actualmente, lidera la división Global Compliance Academy & Risk Legal Advisory.

Descubra nuestros Ultimos Articulos

Software de gestión de riesgos
cesar_rodriguez_design

Celebrando nuestros logros y mirando hacia el año 2025

En 2024, logramos 40 webinars con 9800 asistentes, 16 cursos especializados, 37 artículos con más de 8000 lectores y 14 e-books con 2737 descargas. Ahora presentamos Global Compliance Academy, una renovada oferta educativa y de asesoría legal para 2025, con cursos, talleres, programas de e-learning y más.

Leer Más »

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Logo Risk Consulting Global Group

Risk Consulting Global Group © Todos los derechos reservados.

Contacto Comercial

¿Fuera del horario de Atención? no se preocupe, déjenos sus datos y le atenderemos en la mayor brevedad.

Contacto de Servicio Técnico

Llámenos o escríbanos

Permitanos responder de manera oportuna las dudas relacionadas a soporte tecnico en nuestros software.

Horario de Atención Lun a Vier de 8am a 5pm
¿Fuera del horario de Atención? no se preocupe, déjenos sus datos y le atenderemos en la mayor brevedad.

Contacto de Servicio al Cliente

Llámenos o escríbanos

Permitanos responder de manera oportuna las dudas relacionadas a soporte tecnico en nuestros software.

Horario de Atención Lun a Vier de 8am a 5pm
Seleccione uno o varios canales de contacto para que Risk Consulting Global Group se comunique con fines comerciales o publicitarios: .legend-text { line-height: 15px; padding-left: 15px; padding-right: 15px; text-align: center; margin-top: 20px; border- }
Elija su horario de contacto preferido: .legend-hour{ margin-top: 10px; }