Finaliza la evaluación de la ley de datos en Chile

por | Oct 5, 2016

Hoy fue publicado el informe final de la ley 19628, sobre protección a la vida privada, que regula el tratamiento de datos personales en Chile. Si bien esta evaluación fue pedida formalmente al Comité de Evaluación de la Ley por un grupo de Diputados, esta fue tempranamente promovida por Datos Protegidos, mediante diversas audiencias al Comité de quienes siempre recibimos una buena acogida. Las entrevistas se iniciaron en enero de este año con las Fundadoras de la Datos Protegidos, continuaron con una serie de otros expertos y grupos focales a entes regulados y otros  interesados.

Las preguntas que guiaron la investigación fueron: ¿Está nuestro país preparado para entregar garantías de un tratamiento de datos personales al nivel que lo exigen las normas internacionales y el desarrollo tecnológico? ¿Cuenta Chile con una institucionalidad capacitada para velar, fiscalizar y resolver cuando se genera un mal uso de la información proporcionada por los titulares de los datos? Finalmente, ¿Son suficientes y expeditas las herramientas que establece la norma vigente en protección de datos para que un ciudadano pueda ejercer su derecho a reclamación si así lo desea?

Datos Protegidos valora enormemente esta iniciativa pues da cuenta, al menos, por parte del Poder Legislativo utilizando una metodología OCDE, de las urgentes y necesarias reformas que requiere nuestro marco legal de protección de datos. Las conclusiones del Informe relevan el incumplimiento de Chile a los compromisos adquiridos por la OCDE, y la falta de resultados concretos a los esfuerzos que se han promovido en los diversos gobiernos desde el año 2008.

También entendemos que la evaluación es al cuerpo normativo vigente, y de acuerdo a su propio contenido y estructura, se proponen una serie de recomendaciones y mejoras. Solo así puede comprenderse la falta a recomendaciones en materia de transferencias internacionales de datos, seguridad, evaluaciones de riesgo, tratamiento de datos en internet y otras materias que deben estar presentes en una futura ley de datos.

En resumen las conclusiones del informe son:

  1. Ámbito de aplicación de la ley:
  • Precisar las normas sobre el ámbito de aplicación, exceptuando ciertos tratamientos de datos personales como aquellos de carácter doméstico.
  • Establecer en la Ley que esta se aplica respecto de servicios prestados en Chile aunque el prestador no se encuentre en el país.
  1. Concepto de dato personal:
  • Perfeccionar los conceptos de dato personal y dato estadístico, consagrando elementos que permitan distinguir de mejor manera uno y otro.
  • Clarificar el concepto de persona identificable.
  1. Responsables (actores del tratamiento de datos)
  • Perfeccionar el concepto de responsable de banco de datos e incorporar en la Ley los conceptos de controlador, encargado, intermediario o procesador, consagrando deberes y obligaciones cuyo incumplimiento lleve aparejada una sanción.
  1. Consentimiento:
  • Distinguir en la Ley tipos de consentimiento dependiendo de la clase de dato que se trate: En particular, respecto a los datos sensibles, consagrar un consentimiento expreso y previo. Para otro tipo de datos, analizar la incorporación de un consentimiento inequívoco y no necesariamente previo.
  • Incorporar en la Ley el deber y responsabilidad de quien realiza la operación de tratamiento de datos de establecer mecanismos que permitan a los titulares dar un consentimiento inequívoco y suficientemente informado.
  • Explicitar en la Ley si un consentimiento otorgado a través de tecnologías informáticas satisface el requisito de escrituración.
  1. Fuente accesible a público:
  • Consagrar en la Ley de forma taxativa aquellas fuentes que revisten el carácter de accesibles al público, a través de un listado cerrado, para efectos de la normativa de protección de datos.
  • Clarificar que la excepción de fuentes accesibles al público sólo opera respecto de cierto tipo de datos y no como excepción en sí misma.
  • Incorporar en la normativa el necesario respeto al principio de finalidad, contemplando sanciones en caso de su vulneración.
  1. Tratamiento de datos por empresas (personas jurídicas privadas)
  • Clarificar de forma más detallada casos en los cuales es posible hacer uso de esta excepción al consentimiento para las personas jurídicas privadas.
  1. Datos sensibles:
  • Perfeccionar el concepto de dato sensible incorporando como criterio principal la posibilidad de eventuales discriminaciones en base a esos datos.
  • Incorporar dentro del concepto de datos sensibles los datos referentes a menores de edad.
  • Regular de forma más estricta el tratamiento de datos sensibles, con un estándar de consentimiento expreso, incorporando obligaciones especiales de información, conservación, seguridad y revisión de comunicación a terceros, y sanciones más gravosas. Clarificar en la Ley el alcance y contenido de la frase “beneficios de salud”, estableciendo parámetros para su uso.
  1. Tratamiento de datos por organismos públicos:
  • Clarificar que la omisión a la autorización del titular opera sujeta al principio de finalidad y manteniendo las dos condiciones señaladas en el artículo 20°
  1. Registro:
  • Incorporar en la Ley una sanción para aquellos organismos públicos que no inscriban sus bases de datos en el Registro Civil, de acuerdo a lo dispuesto en el artículo 22° de la Ley, en un plazo determinado.
  1. Procedimiento de amparo:
  • Trasladar este procedimiento a la autoridad administrativa de control que se defina, manteniendo como segunda instancia la Corte de Apelaciones.
  • Contemplar procedimiento sancionatorio a cargo de una autoridad de control con facultades para instruirlo y aplicar las sanciones.
  1. Respecto a Sanciones:
  • Incorporar un catálogo completo de infracciones con sus correspondientes sanciones de una cuantía que se pueda graduar de acuerdo a la gravedad de éstas
  • Incluir incentivos para comunicar a los titulares cuando tenga lugar alguna fuga de datos.
  • Consagrar en la Ley deberes y obligaciones diferenciados para quienes tratan datos dependiendo de la calidad de estos.
  1. Respecto a Autoridad de control:
  • Establecer la creación de una autoridad administrativa con capacidad sancionatoria, autonomía y patrimonio propio.
  • Generar una fiscalización permanente y de oficio por parte de esta autoridad.
  • Facultar a esta autoridad para certificar códigos de autorregulación de las distintas industrias. Elaborar una política pública de difusión, capacitación y educación en protección de datos personales.

 

 

Share This