La reforma a la Ley No. 19.628, sobre protección de datos personales, significa un cambio histórico que redefine la forma en la que se usa la información personal de los chilenos, en cualquier espacio u organización. Por lo mismo, es necesario prepararse de manera adecuada, ya que dicha reforma implica un desafío enorme para adaptar tanto políticas, como procesos y prácticas en el procesamiento de información personal, sea de clientes, usuarios, trabajadores, proveedores o de otros stakeholders.

Este libro explica los principales cambios a la ley, su ámbito de aplicación, las infracciones y sanciones y todas las consecuencias fundamentales que esta reforma conlleva. Además, detalla el nuevo modelo de compliance que se requiere para garantizar la prevención de infracciones al interior de las empresas y los servicios públicos, precisando la importancia de los deberes de información y transparencia, la identificación de actividades de riesgo y los mecanismos de reporte.

CAPÍTULO I
INTRODUCCIÓN A LA PROTECCIÓN DE DATOS PERSONALES EN CHILE

1. EL DERECHO FUNDAMENTAL DE PROTECCIÓN DE DATOS PERSONALES

1.1. Identificación de la norma de derecho fundamental
1.2. Titular del derecho fundamental
1.3. Objeto del derecho
1.4. Destinatarios del derecho
1.5. Límites al derecho
1.6. Garantías del derecho

2. LA REFORMA A LA LEGISLACIÓN DE PROTECCIÓN DE DATOS PERSONALES

2.1. Los principales elementos de la nueva ley
A) La creación de e una Agencia de Protección de Datos Personales
B) Obligación real de responder derechos del titular de datos personales
C) Un nuevo régimen de infracciones y sanciones
D) Estatuto de obligaciones del responsable del tratamiento
E) Obligación de demostrar la base de licitud para tratar datos y el cumplimiento proactivo
F) Obligaciones de transparencia, y evaluaciones de protección desde diseño y por defecto
G) Garantizar la portabilidad de datos personales
H) Implementar un modelo de prevención de infracciones

2.2. El proyecto de ley y su tramitación inicial (Boletines N° 11.144-07 N° 11.092-07, refundidos)
A) Fuentes accesibles al público como fuente de licitud
B) Ausencia de reglas de aplicación extraterritorial
C) Derecho de acceso limitado
D) Agencia ligada al Poder Ejecutivo
E) Sanciones

2.3. El segundo trámite constitucional

2.4. Las modificaciones realizadas por la Cámara de Diputados

2.5. La Comisión Mixta
A) Ratificaciones relevantes de lo despachado por la Cámara de Diputados]
a. Eliminación de las fuentes de acceso público
b. Derecho de oposición al tratamiento automatizado de datos (artículo 8° bis)
c. Portabilidad de los datos personales (artículo 9°)
B) Ratificaciones texto del Senado: tratamiento de datos por parte de organismos autónomos constitucionales (artículo 54)
C) Innovaciones de la Comisión Mixta: régimen de sanciones
D) Votaciones en la sala

2.6. Control de constitucionalidad

3. EL ÁMBITO DE APLICACIÓN

3.1. Ámbito de aplicación material
A) Excepción de la libertad de opinión y de información
B) Excepción doméstica

3.2. Ámbito de aplicación territorial
A) Aplicación de la ley a tratamientos de datos en donde el responsable o el encargado está establecido constituido en territorio nacional (artículo 1º bis letra a)
B) Aplicación de la ley pero respecto de un responsable que está establecido o constituido en tratamientos efectuados por un encargado, territorio nacional (artículo 1º bis letra b)
C) Aplicación de la ley a tratamientos que ofrezcan bienes servicios a titulares de datos que se encuentren en Chile (articulo 1º bis letra c)
D) Aplicación de la ley por disposición de un contrato internacional (artículo 1º bis inciso final)

4. LAS PRINCIPALES DEFINICIONES DE LA LEY

4.1. Dato personal
A) Cualquier información
B) Vinculada o referida a una persona
C) Persona natural
D) Identificada o identificable

4.2 Titular de dato personal

4.3. Tratamiento de datos
A) Cualquier operación o conjunto de operaciones
B) Por medios automatizados o no
C) Realizado sobre datos personales

4.4. Responsable de datos
A) Toda persona natural o jurídica
B) Que decide
C) Fines
D) Medios

4.5. Encargado del tratamiento
A) Persona natural o jurídica
B) Tratamiento por cuenta del responsable del tratamiento
C) Las funciones son específicas de cada operación de tratamiento
D) Ejemplos

4.6. Datos personales sensibles

4.7. Categorías especiales de datos personales
A) Datos personales relativos a los niños, niñas y adolescentes
B) Datos personales con fines históricos, estadísticos, científicos y de estudios o investigaciones
C) Datos de geolocalización
D) Otros datos con reglas especiales

4.8. Anonimización

4.9. Seudonimización

4.10. Cesión de datos personales

5. LOS PRINCIPIOS RELATIVOS AL TRATAMIENTO DE DATOS PERSONALES

5.1. Principio de licitud y lealtad

5.2. Principio de finalidad
A) Recolección de los datos
B) Fines específico
C) Fines explícitos
D) Fines lícitos
E) Excepción: tratamiento posterior compatible
F) Otras excepciones
a. Relación contractual o pre contractual
b. El titular otorgue nuevamente su consentimiento
c. Cuando lo disponga la ley

5.3. Principio de proporcionalidad
A) Adecuación o idoneidad
B) Pertinencia
C) Limitación a lo necesario

5.4. Limitación del plazo de conservación
A) Deber de supresión o de anonimización
B) Limitación del tiempo necesario para cumplir con los fines del tratamiento
C) La conservación por un período de tiempo mayor requiere autorización legal o consentimiento del titular

5.5. Principio de calidad

5.6. Principio de responsabilidad

5.7. Principio de seguridad

5.8. Principio de transparencia e información

5.9. Principio de confidencialidad

6. BASES O FUENTES DE LICITUD PARA EL TRATAMIENTO DE DATOS PERSONALES

   6.1. El esquema de bases de licitud bajo la nueva ley

6.2. La exclusión de las fuentes de acceso público como base de licitud

6.3. Consentimiento del titular
A) Consentimiento libre
B) Consentimiento informado
C) Consentimiento específico en cuanto a su finalidad
D) Consentimiento previo
E) Consentimiento inequívoco
F) Acreditación del consentimiento por el responsable
G) Revocación del consentimiento

6.4. Tratamiento de datos relatives a obligaciones de carácter económico, financiero, bancario o comercial

6.5. Ejecución o cumplimiento de una obligación legal o los disponga la ley
A) Regla general de la base de licitud
B) La autorización legal para el tratamiento de datos personales por parte de los órganos del Estado

6.6. Celebración o ejecución de un contrato entre el titular y el responsable

6.7. Interés legítimo del responsable
A) El interés legítimo con anterioridad a la reforma
B) El interés legítimo como base de licitud general

6.8. Defensa de derechos ante tribunales u órganos públicos

6.9. Bases o fuentes de licitud para el tratamiento de datos personales sensibles
A) Bases o fuentes de licitud para el tratamiento de datos personales sensibles relativos a la salud del titular y a su perfil biológico
B) Bases o fuentes de licitud para el tratamiento de datos personales biométricos

6.10. Bases o fuentes de licitud para el tratamiento de categorías especiales de datos
A) Bases o fuentes de licitud para el tratamiento de datos personales relativos a los niños, niñas y adolescentes
B) Bases o fuentes de licitud para el tratamiento de datos con fines históricos, estadísticos, científicos y de estudios o investigaciones
C) Bases o fuentes de licitud para el tratamiento de datos de geolocalización

6.11. Bases o fuentes de licitud para el tratamiento de datos relativos a infracciones penales, civiles, administrativas y disciplinarias

7. LOS DERECHOS DE LOS TITULARES DE DATOS

7.1. Derecho de acceso
A) Contenido del derecho de acceso
a. Los datos tratados y su origen
b. La finalidad o finalidades del tratamiento
c. El período de tiempo durante el cual los datos serán tratados
d. Las categorías, clases o tipos de destinatarios, o bien la identidad de cada destinatario, en caso de solicitarlo así el titular, a los que se les hayan comunicado o cedido los datos o se prevea hacerlo
e. Los intereses legítimos del responsable cuando el tratamiento se ase en lo dispuesto en el artículo 13 letra d)
f. Información significativa sobre la lógica aplicada en el caso de que el responsable realice tratamiento de datos de conformidad con el artículo 8
B) Forma de entregar la información

7.2. Derecho de rectificación

7.3. Derecho de supresión
A) El llamado “derecho al olvido”

7.4. Derecho de oposición
A) Derecho de oposición propiamente tal
B) Derecho de bloqueo del tratamiento
C) Derecho a oponerse y a no ser objeto de decisiones basadas en el tratamiento automatizado de sus datos personales
a. ¿Derecho o prohibición?
b. ¿Qué nivel de automatización es necesario?
c. Nivel de afectación necesario
d. Elaboración de perfiles
e. Bajo qué condiciones s sí se pueden tomar decisiones automatizadas basadas en el tratamiento automatizado de datos
f. Salvaguardas adicionales

7.5. Derecho a la portabilidad de datos personales

7.6. Forma y medios de ejercer los derechos del titular de datos

7.7. Procedimiento ante el responsable

8. LAS OBLIGACIONES DE LOS RESPONSABLES DEL TRATAMIENTO DE DATOS

8.1. Obligaciones generales del responsable de datos
8.2. Deber de secreto o confidencialidad
8.3. Deber de información y transparencia
8.4. Deber de protección desde el diseño y por defecto
8.5. Deber de adoptar medidas de seguridad
8.6. Deber de reportar las vulneraciones a las medidas de seguridad
8.7. Diferenciación de estándares de cumplimiento

9. PRINCIPALES INNOVACIONES DE LA LEY

9.1. Protección de datos personales desde el diseño y por defecto
A) Las medidas a aplicar
B) La “naturaleza, ámbito, contexto y fines del tratamiento”
C) Medidas técnicas y organizativas para la privacidad por defecto

9.2. Evaluaciones de impacto

10. INFRACCIONES Y SANCIONES

10.1. Infracciones leves

10.2. Infracciones graves

10.3. Infracciones gravísimas

10.4. Sanciones

10.5. Suspensión de actividades de tratamiento

10.6. Registro Nacional de Sanciones y Cumplimiento

10.7. Prescripción de acciones y sanciones

10.8. Criterios para la aplicación de las multas de las multas
A) Circunstancias atenuantes y agravantes de responsabilidad
B) Determinación del monto de las multas

11. LA AGENCIA DE PROTECCIÓN DE DATOS PERSONALES

11.1. Es un órgano de rango legal, no constitucional

11.2. Es un órgano colegiado

11.3. Participación de dos poderes del Estado en el nombramiento de sus consejeros

11.4. Un robusto estatuto de consejeros que refuerza la independencia de la Agencia

11.5. Amplio repertorio de facultades y atribuciones
A) Facultades normativas y regulatorias (artículo 30 bis letras a) y h)
B) Facultades fiscalizadoras (artículo 30 bis letra c)
C) Facultades interpretativas (artículo 30 bis letra b)
D) Facultades resolutorias y sancionatorias (artículo 30 bis letras d), e), f) y m)
E) Facultades de difusión y colaboración (artículo 30 bis letras g), i), j), k) y 1) y artículo 31)

CAPÍTULO II
IMPLEMENTANDO UN MODELO DE PREVENCIÓN DE INFRACCIONES

1. DESCRIPCIÓN DE LOS NUEVOS ESTÁNDARES REGULATORIOS EN MATERIA DE COM PLIANCE
2. DEBERES DE INFORMACIÓN Y TRANSPARENCIA

2.1. Política de tratamiento de datos personales
2.2. Individualización del responsable del tratamiento de datos personales
2.3. Datos de contacto
2.4. Descripción general del tratamiento
2.5. Políticas y medidas de seguridad
2.6. Derechos del titular
2.7. Derecho de reclamo ante la Agencia
2.8. Transferencia internacional de datos personales
2.9. Período de conservación de los datos personales
2.10. Fuente de la cual provienen los datos personales
2.11. Derecho a retirar el consentimiento cuando el tratamiento de datos está fundado en dicha base de licitud]
2.12. Decisiones automatizadas y elaboración de perfiles
2.13. La infracción y sanción por incumplimiento del deber de información y transparencia

3. SISTEMA DE GOBERNANZA DE DATOS DESIGNACIÓN DE DELEGADO DE PROTECCIÓN DE DATOS

3.1. Gobernanza de datos y protección de datos personales

3.2. Delegado de protección de datos

3.3. Concepto de DPD

3.4. Justificación de la designación de un DPD

3.5. Características y atribuciones de un DPD
A) Características del DPD
B) Nombramiento del DPD
C) Autonomía o independencia del DPD
D) Conocimientos, experiencias y capacidades del DPD
E) Reportar al más alto nivel jerárquico posible
F) Atribuciones del DPD

3.6. Alternativas para la designación de un DPD
A) DPD interno o externo
B) Prevención de los conflictos de intereses del DPD

4. IDENTIFICACIÓN DE ACTIVIDADES O PROCESOS DE RIESGOS Y ESTABLECIMIENTO DE MEDIDAS DE PREVENCIÓN

4.1. Matriz de riesgos
4.2. Importancia del registro de actividades de tratamiento de datos personales
4.3. Elementos para la revisión y registro de las actividades de tratamiento d dalos personales

5. MECANISMOS DE REPORTE INTERNO Y DE REPORTE A LA AUTORIDAD DE PROTECCIÓN DE DATOS

5.1. Mecanismos de reporte interno sobre cumplimiento de la ley
5.2. Mecanismos de reporte a la Agencia de Protección de datos Personales (vulneraciones a las medidas de seguridad)

6. SANCIONES INTERNAS
7. PROTOCOLO DE RESPUESTA A SOLICITUDES DE TITULARES DE DATOS
8. TRANSFERENCIAS INTERNACIONALES DE DATOS PERSONALES