El pasado 13 de diciembre de 2024 se publicó en el Diario Oficial la Ley 21.719 que modifica la Ley 19.629 “Sobre Protección de la Vida Privada”, más conocida como la “Ley de Protección de Datos”, la cual entrará en vigencia el 1 de diciembre de 2026.

Este proyecto moderniza la normativa actual, reemplazando la Ley N°19.628 sobre Protección de la Vida Privada, y adapta la legislación chilena sobre tratamiento de datos personales a estándares internacionales como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.

Dentro de los aspectos relevantes de la ley, se define de forma más completa lo que son los datos personales, estableciendo como tal cualquier información vinculada o referida a una persona natural identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

En este sentido, para procesar, almacenar, transferir, comunicar, utilizar, en general para realizar tratamiento a los datos personales, se deberá requerir un consentimiento específico de la persona, el cual debe ser dado de forma libre, informado en cuanto a sus finalidades e inequívoco. Al respecto, pese a que las personas consientan en el tratamiento de datos, mantienen siempre el derecho a retractarse.

Sin embargo, la novedad de la ley es que crea nuevas fuentes de licitud, en las cuales, pese a no tener el consentimiento del titular, es lícito tratar sus datos personales. Estas son: i) datos relativos a obligaciones de carácter económico, financiero, bancario o comercial; ii) ejecución o el cumplimiento de una obligación legal; iii) celebración o ejecución de un contrato entre el titular y el responsable; iv) satisfacción de intereses legítimos del responsable o de un tercero; v) formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.

Por otro lado, la nueva ley crea una entidad fiscalizadora, llamada la Agencia de Protección de Datos Personales, la cual es un organismo autónomo encargado de velar por el cumplimiento de la ley con facultades normativas y fiscalizadoras. La agencia tiene a su cargo un nuevo Registro Nacional de Sanciones y Cumplimiento, en el que se consignarán los responsables de datos infractores. Este registro será de público conocimiento y de acceso gratuito.

La ley impone mayores exigencias para quienes traten datos personales, incluyendo, entre otros, el deber de aplicar medidas técnicas para resguardar el cumplimiento del principio de seguridad y realizar evaluaciones de impacto, el deber de mantener confidencialidad de los datos, incluso luego de terminada la relación, y asegurar que los datos personales se recojan de fuentes de acceso lícitas con fines específicos.

Adicionalmente, la nueva ley establece la facultad para el responsable de efectuar el tratamiento de datos a través de un tercero mandatario. En este último caso, el tercero mandatario o encargado realiza el tratamiento de datos personales conforme al encargo y a las instrucciones que le imparta el responsable, quedándole prohibido su tratamiento para un objeto distinto del convenido con el responsable, así como su cesión o entrega en los casos en que el responsable no lo haya autorizado de manera expresa y específica para cumplir con el objeto del encargo.

En caso de tratarlos para un objeto distinto sin autorización expresa y específica, se le considerará como responsable de datos para todos los efectos legales, debiendo responder personalmente por las infracciones en que incurra y responder solidariamente con el responsable por los daños ocasionados, sin perjuicio de las responsabilidades contractuales que le correspondan frente al mandante o responsable de datos.

En el contrato de mandato se deberá establecer el objeto del encargo, la duración del mismo, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de titulares cuyos datos son tratados, y los derechos y obligaciones de las partes.

Es relevante la regulación del mandatario, por cuanto permite procesar datos sin tener que cumplir con todas las obligaciones que recaen sobre el responsable.

Por ejemplo, en el ámbito de la prevención, los responsables de datos, sean personas naturales o jurídicas, públicas o privadas, deberán adoptar acciones destinadas a prevenir la comisión de las infracciones. Para ello, pueden realizar facultativamente modelos de prevención de infracciones, los cuales deben ser incorporados de manera obligatoria en los contratos de trabajo o de prestación de servicios. Estos modelos deberán ser certificados por la agencia, lo cual permitirá configurar una atenuante en caso de infracciones.

Asimismo, la ley establece que, facultativamente, los responsables pueden designar un delegado de protección de datos personales, el cual debe ser una máxima autoridad directiva o administrativa y contar con alta autonomía.

Por último, la nueva ley crea un sistema de sanciones y procedimientos para la aplicación de multas, con atenuantes, agravantes y posibilidad de recurrir a la Corte de Apelaciones en caso de considerarse ilegalidades.