Aspectos prácticos sobre la nueva normativa de protección de datos

En el horizonte, no muy lejano, se nos aparece una nueva regulación nacional en materia de protección de datos que actualiza y conduce a Chile más cerca de los estándares internacionales. A continuación, desarrollamos algunos puntos para contribuir al entendimiento de esta nueva normativa:

1. ¿Cuándo se tratan datos personales?. Ejemplos cotidianos

Nuestros datos personales se tratan de manera cotidiana en el entorno altamente digitalizado en el que vivimos. Es dicho tratamiento el eje central que la nueva norma busca regular, de modo que para entender hacia dónde apunta, tendremos que considerar que para la futura norma chilena es tratamiento de datos personales cualquier operación o conjunto de operaciones, automatizada o no, que implique recolectar, procesar, almacenar, transmitir o usar datos personales, fuera del ámbito doméstico.

Para entenderlo de manera más práctica, a continuación señalamos algunos ejemplos de tratamientos de datos:

La mantención de un directorio de clientes.
Los listados de trabajadores y todos los datos personales referidos a ellos.
El envío de listados de potenciales clientes para efectuar campañas de marketing.
Los datos contenidos en contratos para prestar servicios.
La instalación de cookies en nuestro sitio web que recolectan información de quienes la visitan a través de sus direcciones IP.
Los datos de cobro de nuestros clientes que utilizamos cuando vendemos un bien.

Si consideramos el amplio scope de lo que debemos entender por tratamiento de datos, resulta imprescindible contar actualmente con una implementación correcta de medidas de seguridad para la protección de datos en nuestra empresa.

2. La importancia de los derechos de los titulares de datos personales

La consagración de los derechos de los titulares de datos personales es un elemento central en la nueva ley, puesto que permitirá a las personas llevar a cabo las siguientes acciones concretas frente al responsable del tratamiento (responsable es aquella persona natural o jurídica que trata datos personales – recoge, almacena, organiza, clasifica, etc.):

Controlar qué datos entrega o ha entregado a determinado responsable (derecho de acceso);
Solicitar que se modifiquen los datos inexactos, desactualizados o incompletos en manos de un responsable (derecho de rectificación);
Pedir que se cumpla con el derecho de supresión y se eliminen los datos personales en manos de responsables, en los casos que la ley lo autoriza (derecho de supresión);
Solicitar al responsable que no se lleve a cabo un tratamiento determinado referido a los datos del titular (derecho de oposición);
Solicitar y obtener una copia de sus datos de un responsable para comunicarlos o transferirlos a otro responsable (derecho a la portabilidad);
Solicitar la suspensión temporal de un tratamiento de datos personales cuando su exactitud o vigencia no estén aseguradas (derecho de bloqueo).

Todos estos derechos se ejercitarán directamente por el titular mediante una solicitud al responsable -indicando los datos de identificación del titular, la causal invocada y el fundamento de su petición- quien tendrá un plazo de 15 días hábiles para atender la solicitud.

3. Procedimiento de ejercicio de derechos por parte del responsable

En la nueva regulación de protección de datos, se contempla una serie de derechos para el titular de datos personales y se genera la obligación para el responsable de establecer una vía de ejercicio de dichos derechos a través de protocolos o procedimientos que deben contemplar:

La gratuidad en el ejercicio de los derechos de rectificación, supresión y oposición, así como también el de acceso una vez por trimestre. Se podrá exigir costo directo en el derecho de acceso y portabilidad cuando sean ejercidos más de una vez en el trimestre.
Responder dentro del plazo de 15 días hábiles. En caso de denegación de la solicitud se debe fundar la decisión, indicando la causal y antecedentes que la justifican, ya que transcurrido el plazo sin que se remita respuesta, el titular podrá formular una reclamación ante la Agencia de Protección de Datos directamente.
En el caso de personas jurídicas no establecidas en Chile, la designación de un representante dentro del país.

Hay que tener presente que, en la nueva regulación, se considera infracción leve tanto la omisión de respuesta como responder de forma incompleta o fuera de plazo a las solicitudes formuladas por el titular de datos quien, como hemos visto, siempre puede recurrir a la Agencia una vez transcurrido el plazo de 15 días hábiles sin obtener respuesta.

4. Riesgos en la red del mal uso de datos personales

Los datos personales son información clave en la actualidad, debido al creciente interés de las empresas por ofrecernos servicios y bienes de la manera más dirigida posible a través de la personalización de los anuncios. Es por ello que la protección que ofrece la nueva norma es clave para lograr un equilibrio entre el derecho a tener información y control sobre nuestros personales y la facultad de acceso a los mismos, obligando a quienes tratan datos a contar con las medidas necesarias de seguridad para evitar riesgos como los siguientes:

Mal uso de nuestros datos bancarios o económicos con el consiguiente problema judicial que puede acarrear (estafas y fraudes);
Uso de imágenes o vídeos íntimos para extorsión y ciberacoso (extorsión sexual);
Discriminación laboral, sexual, religiosa o de otro tipo a través del uso de algoritmos sin intervención humana (discriminación digital);
Secuestro de información estratégica a través del bloqueo de acceso a archivos y equipos, exigiendo un rescate para su desbloqueo (ransomware);
Robo de identidad a través de correo electrónico, llamada telefónica, publicidad y otros, para obtener la confianza de la víctima y obtener dinero o información confidencial (phishing).

5. Deberes del responsable

La nueva ley de protección de datos impone deberes para el respeto de los derechos y las libertades de los titulares dirigidos a quienes tratan datos personales fuera del ámbito doméstico, a través de la oferta de bienes o servicios dentro del territorio nacional y también a todos los órganos públicos.

Estos deberes son:

La confidencialidad, que obliga a quienes tratan datos a guardar secreto acerca de estos;
Información y transparencia, para mantener informados a los titulares acerca del uso que se da a los datos personales de manera clara;
Protección desde el diseño y por defecto, que obliga a cumplir con las medidas de seguridad, así como con los principios y derechos, desde que se diseña un tratamiento de datos personales, antes del tratamiento de datos, y durante todo el ciclo de vida de los datos personales y;
Medidas de seguridad, que se traduce en la necesidad de aplicar medidas técnicas y organizativas suficientes y adecuadas para resguardar el principio de seguridad de los datos.

6. Principios del tratamiento de datos que debe cumplir el responsable

Los responsables del tratamiento de datos, es decir aquellos que utilicen datos personales para ofrecer bienes o servicios (y los órganos públicos), deberán implementar en sus procesos con datos personales una serie de principios. Estos principios se traducen en deberes concretos que, en caso de incumplirse, se pueden traducir en multas de hasta 20.000 UTM.

En este sentido, en el tratamiento de datos personales siempre debe considerarse como principios rectores del actuar del responsable los siguientes:

Licitud y lealtad: tratar los datos que se entregan solo para el fin determinado y con una base legal que lo autorice.
Finalidad: los datos solo pueden tratarse para el fin para el que existe base legal de tratamiento (bases legales son el consentimiento, la ley, el cumplimiento de un contrato, entre otros).
Proporcionalidad: utilizar los datos de manera adecuada según los fines.
Calidad: utilizar datos personales exactos y actualizados que no entreguen información errónea acerca del titular.
Responsabilidad: que implica la sujeción a la norma de todo aquel que se convierte en responsable al tratar datos personales.
Seguridad: aplicar todas las medidas técnicas y organizativas a la protección de los datos personales, de acuerdo con la naturaleza de los tratamientos que se llevan a cabo.
Transparencia e información: respecto de los titulares de datos y su uso.
Confidencialidad: no compartir los datos personales ni permitir el acceso a estos, sino que únicamente a las personas debidamente autorizadas.

Aspectos prácticos sobre la nueva normativa de protección de datos

1. ¿Cuándo se tratan datos personales?. Ejemplos cotidianos

2. La importancia de los derechos de los titulares de datos personales

3. Procedimiento de ejercicio de derechos por parte del responsable

4. Riesgos en la red del mal uso de datos personales

5. Deberes del responsable

6. Principios del tratamiento de datos que debe cumplir el responsable

La “midnight clause” o cláusula de resolución de controversias

¿Qué se está discutiendo hoy en la Comisión de Expertos sobre cultura y creación?

La importancia de la regulación de protección de datos personales como factor de competitividad en la empresa

Exposición ante Convención Constituyente – Aspectos de propiedad intelectual

¿Qué son los NFT?

¿Cómo funcionará el Protocolo de Madrid?

San Sebastián 2750, Oficina 901, Las Condes, Santiago, Chile.