Por Andrés Rodríguez, asociado senior, y Magdalena Rojas, asociada, del área Tecnologías de la Información y Protección de Datos de Barros & Errázuriz
En la mayoría de los países, el tratamiento de los datos personales, es decir, de aquellos que permiten identificar a una persona natural, goza de una protección especial. El mejor ejemplo de lo anterior es la entrada en vigencia en Europa, ya en 2018, del Reglamento Europeo de Protección de Datos “GDPR”.
En Chile, y desde el año 1999, contamos con la Ley 19.628 sobre Protección de la Vida Privada. Dicha norma, en su época, nos transformó en un país pionero en esta materia a nivel latinoamericano. Sin embargo, en la actualidad nuestra ley se encuentra desactualizada, en parte, debido al fenómeno de las nuevas tecnologías de la información y la comunicación, caracterizado por un procesamiento masivo de cantidades de datos que en el año 1999 eran inimaginables. Por esta razón, y siguiendo la tendencia internacional, se han presentado al Congreso varios proyectos de ley que buscan elevar el estándar normativo actualmente vigente en esta materia. En particular, existe un proyecto de ley presentado en el año 2017 (Boletines 11092-07 y 11144-07 refundidos) que se encuentra en actual discusión y que pretende introducir cambios sustanciales a la ley vigente.
El proyecto reconoce nuevas fuentes de legitimación para el tratamiento de datos, es decir, permite fundar dicho tratamiento en fuentes distintas a una autorización legal o al consentimiento del titular. Dentro de dichas fuentes destacan, por ejemplo, que el tratamiento sea necesario para la ejecución de un contrato, o para la satisfacción de los intereses legítimos de quien los recolecta.
Además, en virtud del proyecto se creará la tan esperada Agencia de Protección de Datos, entidad encargada de fiscalizar el cumplimiento de la nueva ley y ante la cual se podrán tramitar los procedimientos administrativos tanto de tutela de derechos como sancionatorios por infracciones a la nueva normativa. En virtud de estos últimos, podrán establecerse sanciones pecuniarias a los responsables del tratamiento tales como multas que ascenderían a un monto de hasta UTM 10.000. Otros cambios relevantes que traerá aparejada la nueva ley incluyen la identificación precisa de los deberes y obligaciones de los responsables, la regulación de la transferencia internacional de datos -que es un vacío importante en nuestra ley actual- y el reconocimiento de la figura del encargado del tratamiento de datos, especie de mandatario que procesa los datos por cuenta del responsable.
Desafortunadamente el proyecto de ley se encuentra en primer trámite de la discusión legislativa, sin que haya presentado avances sustanciales en los últimos meses. Se hace indispensable entonces que el nuevo Congreso, que asumirá sus funciones en marzo, retome a la brevedad la discusión parlamentaria de este proyecto, de modo que nuestro país adopte, finalmente, los estándares que sobre esta materia forman ya parte de la legislación comparada.