Compliance

Introducción a la Unidad 5

Elaborada por Jorge Tisné, Abogado, Doctor en Derecho UANDES.

Objetivos
Conocer la regulación de los datos personales en Chile.
Identificar las debilidades del compliance en nuestro país en materia de datos personales.
Analizar el proyecto de ley que tiene por finalidad modificar la Ley N° 19.628.
Compliance

Glosario Unidad 5

Datos personales: los relativos a cualquier información concerniente a personas naturales, identificadas o
identificables.
Dato sensible: aquellos datos personales que se refieren a las características físicas o morales de las
personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el
origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de
salud físicos o psíquicos y la vida sexual.
Responsable del tratamiento de protección de datos: responsable del registro o banco de datos, la
persona natural o jurídica privada, o el respectivo organismo público, a quien compete las decisiones
relacionadas con el tratamiento de los datos de carácter personal.
Titular del dato personal: la persona natural a la que se refieren los datos de carácter personal.
Tratamiento de datos personales: cualquier operación o complejo de operaciones o procedimientos
técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar,
seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar
datos de carácter personal, o utilizarlos en cualquier otra forma.
Compliance

Video: Protección de datos en Chile

Vea este video en la versión online de la clase

Compliance

Regulación de la protección de datos en Chile

Iniciaremos esta unidad estudiando en qué consiste la regulación de la protección de datos en Chile, por ejemplo,
a nivel constitucional y legal.

Introducción
La forma de procesar los datos personales ha cambiado drásticamente a lo largo de los años. Históricamente, el
tratamiento de la información personal se hacía por medios escritos. El almacenamiento, tratamiento, transferencia
y la elaboración de perfiles se hacían individualmente y con procesos que demandaban bastante tiempo y
esfuerzo (piénsese en las fichas individuales). Esto limitaba los riesgos para los sujetos cuyos datos eran
analizados. Sin embargo, los sistemas informáticos introdujeron cambios significativos. La digitalización masiva y
desarrollos de internet, big data, internet de las cosas1, aprendizaje automático y la inteligencia artificial
condujeron a formas sin precedentes de recopilar, almacenar y analizar inmensas cantidades de información.
Las empresas y los organismos públicos han debido reconocer que el acceso y el control de la información de las
personas es esencial para los sistemas económicos y políticos actuales. Sin embargo, a medida que los datos
personales se van convirtiendo en un bien más preciado para el comercio y la seguridad, los individuos van
perdiendo el control efectivo sobre su propia información. La nueva tendencia de recopilación de información se
ha denominado capitalismo de la vigilancia (surveillance capitalism).
El capitalismo de la vigilancia es algo que debe preocupar, ya que:

“Reclama unilateralmente la experiencia humana como materia prima gratuita para traducirla en datos de
comportamiento. Aunque algunos de estos datos se aplican a la mejora de los servicios, el resto se declara como
un excedente de comportamiento patentado, que se introduce en procesos de fabricación avanzados conocidos
como ‘inteligencia de las máquinas’, y se fabrica en productos de predicción que anticipan lo que usted hará
ahora, pronto y después. Por último, estos productos de predicción se comercializan en un nuevo tipo de mercado
que yo llamo mercados futuros del comportamiento. Los capitalistas de la vigilancia se han enriquecido
enormemente con estas operaciones comerciales, ya que muchas empresas están dispuestas a apostar por
nuestro comportamiento futuro"2.
-- Zuboff, 2019. --

Chile no escapa a esta realidad, siendo cada vez más frecuente que los datos personales de las personas sean
solicitados para acceder a distintos bienes y servicios, e incluso sin que el titular comprenda el propósito del
tratamiento y si ha consentido en él. En este sentido, tradicionalmente, el control de los sujetos sobre sus datos se
ha basado en el consentimiento individual, como la mejor manera de equilibrar las necesidades de los
responsables del tratamiento de datos y la autonomía del individuo. Sin embargo, el tratamiento moderno de los
datos ha hecho que sea complejo para los sujetos comprender cómo se recoge, utiliza, trata y comparte su
información. Además, se ha vuelto difícil conocer la forma de ejercer los derechos individuales, sobre todo porque
la mayoría de las veces no se sabe con certeza dónde está la información, quiénes son los responsables del
tratamiento y con qué finalidad se utiliza 3.

Regulación de la protección de datos en Chile

Compliance

1. Constitución política
La primera norma que se debe tener presente en esta materia es el artículo 19 N° 4 de la Constitución Política de
Chile. Si bien la protección de datos no había sido incluida dentro del catálogo original de derechos
fundamentales, en el año 2018 la Ley N° 21.096 incorporó a dicha disposición un nuevo derecho constitucional,
esto es, la protección de datos personales. Dicho precepto actualmente dispone:

“Artículo 19.- La Constitución asegura a todas las personas:

4º.- El respeto y protección a la vida privada y a la honra de la persona y su familia, y asimismo, la
protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la
forma y condiciones que determine la ley” (el destacado es nuestro).
Constitución Política de Chile.

Tiene sentido que se haya incluido en este artículo de la Constitución, pues la doctrina ya había vinculado la
protección de los datos personales con la vida privada 4. De hecho, también existía jurisprudencia del Tribunal
Constitucional al respecto 5. La iniciativa para incluir este derecho a nivel constitucional nace de una moción
parlamentaria en 2014 (boletín N° 9.384-07), y en cuyo fundamento se destaca que la protección de los datos
personales a nivel comparado ya encontraba acogida en cuerpos constitucionales, a diferencia de Chile 6. De
hecho, para respaldar la moción, se esgrimió que “es importante destacar que el reconocimiento de este derecho
a nivel constitucional, refrendaría el criterio de nuestro Tribunal Constitucional, el cual siguiendo la tendencia
jurisprudencial de varias altas cortes europeas, ha elevado a la calidad de derecho fundamental de la protección
de datos personales”7.

Por otro lado, la idea de consagrar constitucionalmente el derecho tuvo por objeto
proveer de sustento normativo a la dimensión positiva del derecho, esto es, el
derecho de todo sujeto a controlar sus datos personales (también conocido como el
derecho a la autodeterminación informática).

Por el otro lado, la fase negativa del derecho explica la garantía asociada al derecho de la intimidad y privacidad,
esto es, a no ser sujeto de interferencias ilegítimas de terceros8. Desde este punto de vista, se explica la
autonomía del derecho a la protección de datos como una garantía vinculada pero no idéntica a aquellas
contempladas hasta el momento en el artículo 19 N° 4 de la Constitución.
Compliance

Ahora bien, la técnica legislativa del nuevo derecho constitucional otorga un amplio mandato al legislador para
que determine cómo y en qué condiciones se debe proteger los datos personales. Recordemos que la
Constitución señala que “el tratamiento y protección de estos datos se efectuará en la forma y condiciones que
determine la ley”9.

Si bien existe reserva legal o remisión para dar contenido al derecho de autodeterminación informativa, la
doctrina ha enfatizado que el texto constitucional no carece de contenido, pues es dable entender que los
derechos ARCO (acceso, rectificación, cancelación y oposición), constituirían un mínimo asociado al
núcleo esencial del derecho, conforme al artículo 19 N° 26 de la Carta Magna.

Dado lo anterior, el Recurso de Protección sí es procedente en el caso de este derecho fundamental, toda vez que
el artículo 20 de la Constitución no hace distinción.

2. Ley N° 19.628 sobre Protección de la vida privada

La Ley N° 19.628 de 1999 denominada “Sobre Protección de la Vida Privada” regula la protección de los datos
personales en Chile. Lo primero que se debe notar es que su denominación no ha sido la mejor, pues da la
impresión de regular toda la esfera de intimidad personal, en circunstancia que tiene por objeto la “protección de
datos de carácter personal”, como era el nombre del proyecto de ley que dio origen a esta norma. Es por esto que
no es infrecuente advertir que al citarla se utilizan indistintamente cualquiera de estas denominaciones, siendo
que la primera es la denominación correcta.

Compliance

6
Compliance

El origen de la Ley N° 19.628 es una moción parlamentaria de fecha 05 de enero de 1993. El texto de la ley
contiene diversos elementos que son necesarios tener presente.
En primer lugar, la ley dispone que el tratamiento de los datos personales solo puede efectuarse cuando esta u
otras disposiciones legales lo autoricen o el titular consienta expresamente en ello. Por lo tanto, las únicas bases
de tratamiento son la ley y el consentimiento (artículo 1).
En cuanto al consentimiento, la ley exige que sea por escrito, informado respecto al propósito del tratamiento, para
luego indicar que son excepciones al mismo consentimiento (art. 4):

El tratamiento de datos personales que provengan o que se recolecten de fuentes accesibles al público.
Cuando sean de carácter económico, financiero, bancario o comercial.
Se contengan en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales
como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o
fecha de nacimiento, o sean necesarios para comunicaciones comerciales de respuesta directa o
comercialización o venta directa de bienes o servicios.
El tratamiento de datos personales que realicen personas jurídicas privadas para el uso exclusivo suyo, de
sus asociados y de las entidades a que están afiliadas, con fines estadísticos, de tarificación u otros de
beneficio general de aquéllos.

Dado lo anterior, la norma contiene una serie de excepciones amplias al consentimiento, que permitirán eludir la
obligación de requerir la autorización del titular para tratar sus datos. Con todo, estas excepciones resultan
ambiguas y amplias, sin tener reconocimiento o delineamiento en la jurisprudencia nacional. Por eso la
recomendación, para un adecuado cumplimiento de la legislación nacional, es obtener el consentimiento del
titular previo al tratamiento de sus datos personales, en caso que no exista facultad legal para hacerlo. A mayor
abundamiento, para el tratamiento de datos sensibles, estas excepciones jamás aplicarán, pues siempre debe
requerirse el consentimiento del titular (art. 10).
Junto con lo anterior, similar a los derechos ARCO pero no de forma idéntica, la ley establece ciertos derechos
para el titular del dato, tales como:
Compliance

Una vez realizada la solicitud o ejercido su derecho por parte del titular del dato, el responsable del banco de
datos tendrá dos días hábiles para responder.
En caso que el responsable del registro o banco de datos no se pronunciare sobre la solicitud del requirente
dentro de dos días hábiles, o la denegare por una causa distinta de la seguridad de la nación o el interés
nacional, el titular de los datos tendrá derecho a recurrir al juez de letras en lo civil del domicilio del responsable,
solicitando amparo a los derechos consagrados en el artículo precedente (art. 16).
Esta acción es conocida como el habeas data en Chile 11.
El titular, en su reclamación, debe señalar claramente la infracción cometida y los hechos que la configuran,
acompañando los medios de prueba que los acrediten. El responsable del banco de datos deberá presentar sus
descargos dentro del quinto día hábil luego de la notificación de la reclamación. El tribunal fijará una audiencia,
para dentro del quinto día hábil, a fin de recibir la prueba ofrecida y no acompañada.
En caso de acogerse la reclamación, la misma sentencia fijará un plazo prudencial para dar cumplimiento a lo
resuelto y podrá aplicar por regla general una multa de 1 - 10 UTM, o 10 a 50 unidades tributarias mensuales si se
tratare de una infracción a obligaciones relacionadas con aquellas de carácter económico, financiero, bancario o
comercial.
Compliance

La falta de entrega oportuna de la información o el retardo en efectuar la modificación, en la forma que decrete el
tribunal, serán castigados con multa de 2 a 50 UTM y si el responsable del banco de datos requerido fuere un
organismo público, el tribunal podrá sancionar al jefe del Servicio con la suspensión de su cargo por un lapso de
cinco a quince días.
Junto con lo anterior, el responsable del banco de datos personales deberá indemnizar el daño patrimonial y
moral que el tratamiento ilícito hubiera causado al titular del dato. Para lo anterior, el titular podrá demandarlo
conjuntamente con la reclamación de la infracción. El monto de la indemnización será establecido
prudencialmente por el juez, considerando las circunstancias del caso y la gravedad de los hechos.

3. Otras normas que mencionan la Protección de la vida privada

A propósito de la insuficiencia de la Ley N° 19.628 para resguardar íntegramente los derechos de los titulares de
datos, existen otras leyes y normativa que directa o indirectamente han regulado materias asociadas a la
protección de datos. Incluso, en virtud de esta dispersión de normas, se ha señalado que la protección de datos
en Chile se presenta “de forma limitada, inorgánica y poco sistemática, lo que dificulta su protección ante los
riesgos del desarrollo tecnológico”12.
En este sentido, se pueden mencionar a modo de ejemplo las siguientes normas:
Ley N° 20.575 de 2012 que Establece el Principio de Finalidad en el Tratamiento de Datos Personales (Ley
Dicom).
Salud: Ley N° 20.584 de 2012 sobre Derechos y deberes que tienen las personas en relación con acciones
vinculadas a su atención en salud; Ley N° 20.120 de 2006 sobre la investigación científica en el ser humano,
su genoma, y prohíbe la clonación humana en materia de datos de salud.
Firma electrónica: Ley N° 19.799 de 2002 sobre documentos electrónicos, firma electrónica y servicios de
certificación de dicha firma.
Derecho laboral: artículo 154 bis del Código del Trabajo.
Tránsito: Ley N° 18.290 que Fija el texto refundido, coordinado y sistematizado de la ley del tránsito.
Compliance

Figuras penales: Ley N° 19.223 de 1993 que Tipifica figuras penales relativas a la informática.
Derecho público: Ley N° 21.180 de 2019 sobre Transformación Digital del Estado; Resolución N° 304 de
2020 del Consejo para la Transparencia que aprueba el “Texto actualizado y refundido de las
recomendaciones del Consejo para la Transparencia sobre protección de datos personales por parte de los
órganos de la Administración del Estado y sustituye texto que indica”.
Mercado financiero: en junio de 2021, la Comisión para el Mercado Financiero (CMF) publicó una Política
de estándares y principios generales en materia de conducta de mercado referido a la protección del cliente
financiero, siendo uno de los principios establecidos la protección de la información de los clientes.
Protección del consumidor: con fecha 10 de agosto de 2021, el Congreso despachó el proyecto de ley “pro-
consumidor”. En lo que interesa, el proyecto de ley entrega facultades al Sernac en materia de protección de
datos, en base al nuevo artículo 15 bis que se incluirá en la Ley N° 19.496 sobre Protección de los Derechos
de los Consumidores, el cual dispone: “Artículo 15 bis.- Las disposiciones contenidas en los artículos 2 bis
letra b), 58 y 58 bis de la presente ley, serán aplicables respecto de los datos personales de los
consumidores, en el marco de las relaciones de consumo, salvo que las facultades contenidas en dichos
artículos se encuentren en el ámbito de competencias legales de otro órgano".
Compliance

Realidad del compliance en Chile en materia de protección

de datos
En este apartado conoceremos qué sucede actualmente con el compliance en relación a la protección de datos,
qué falta y las modificaciones legales que podrían cambiar sustantivamente este escenario en Chile.

Si bien en el último informe de la Universidad del Desarrollo se expone que la protección de datos es la cuarta
materia con mayor relevancia para los agentes del mercado en la implementación del compliance (superado por
penal, libre competencia y protección al consumidor)1, lo cierto es que en Chile aún no existe una cultura
empresarial preventiva en materia de datos.
Lo anterior se puede explicar por diversas razones, las cuales están estrechamente ligadas con una deficiente
política y estructura normativa al respecto. De hecho, es dable sostener que los agentes que han implementado
un modelo de prevención en la materia son, en general, filiales o agencias de sociedades extranjeras que por sus
políticas internas o legislaciones locales más desarrolladas, han optado por implementar dicha política en toda la
matriz.
Ahora bien, como fue posible advertir en las secciones anteriores, en Chile no existe una agencia encargada de
velar, fiscalizar, investigar y sancionar conductas que infrinjan la Ley N° 19.628.

Esto representa una carencia sensible en Chile, pues en los ordenamientos comparados se ha demostrado
que son las agencias, a través de procedimientos sancionatorios, y no los titulares accionando
individualmente, que han logrado aplicar sanciones relevantes a los responsables de los datos.

Unido con lo anterior, actualmente es cada titular quien debe accionar individualmente para intentar probar la
infracción a sus derechos, y asimismo, intentar obtener una indemnización de los daños causados. La baja
litigiosidad en materia de datos, a través del habeas data, se explica por la excesiva carga que se le impone al
individuo. Lo anterior se repite en todo bien jurídico colectivo, como son la protección de los consumidores, medio
ambiente y libre competencia. Todas estas ramas del derecho, junto con la protección de datos, suponen
intereses colectivos, pues la afección de un titular probablemente suponga la de muchos otros. Solo piénsese en
el volumen de datos que se maneja solo en el comercio electrónico. En este sentido, no solo se ejerce la acción
en interés individual, sino que de manera refleja o indirectamente se defenderá el interés ajeno 2.

Compliance

11
Compliance

El hecho de exigir al individuo accionar de manera individual merma la protección del bien jurídico, tanto por
razones fácticas, psicológicas y culturales. La fácticas dicen relación con los tiempos de espera excesivos, los
altos costos de un litigio incluyendo abogados y posibles peritos del área. El carácter psicológico se explica
porque existe un desincentivo natural a litigar contra empresas o agentes de mercado de relevante capacidad
económica, y además, que el daño individualmente considerado puede ser insignificante o de poco valor,
inhibiendo el accionar del individuo. Por último, el elemento cultural afecta la intención de litigar, pues muchas
veces la única posibilidad de obtener una reparación es a través de la vía judicial, la que supone los distintivos
antes expuestos3.
Otro elemento a considerar, junto con la baja litigiosidad, es que las multas previstas en la ley son bajas (no
superando las 50 UTM; aprox. CLP 2.700.000).

Por lo tanto, la falta de una agencia especializada, multas irrelevantes, baja litigiosidad y falta de
incentivos normativos para implementar una política preventiva, promueve bajos niveles de compliance en
Chile en materia de protección de datos.

Sin embargo, a continuación, revisaremos un proyecto de ley que actualmente se encuentra en trámite legislativo
y que podría cambiar sustantivamente este escenario en Chile.
Compliance

Modificaciones legales que materializarán el compliance en materia de

protección de datos en Chile

La realidad del compliance en Chile, en materia de protección de datos, debería cambiar de forma radical cuando
sea publicado el proyecto de ley que tiene por finalidad modificar sustancialmente la Ley N° 19.628 (boletines N°
11.144-07 y 11.092-07 refundidos).

Este proyecto de ley (en adelante PDL) se encuentra en primer trámite constitucional
e intenta actualizar la normativa nacional a los estándares previstos en el Reglamento
General Europeo de Protección de Datos4 (conocido tradicionalmente como GDPR
por sus siglas en inglés).

Si bien de la actual Ley N° 19.628 es posible desprender algunos principios, el PDL innova al enunciar de forma
expresa los siguientes principios que regirán el tratamiento de datos:

Principio de licitud del tratamiento. Los datos personales solo pueden tratarse con sujeción a la ley.
Principio de finalidad. Los datos personales deben ser recolectados con fines específicos, explícitos y lícitos.
El tratamiento de los datos personales debe limitarse al cumplimiento de estos fines.
Principio de proporcionalidad. Los datos personales que se traten deben limitarse a aquellos que resulten
necesarios en relación con los fines del tratamiento.
Principio de calidad. Los datos personales deben ser exactos, completos y actuales, en relación con los fines
del tratamiento.
Principio de responsabilidad. Quienes realicen tratamiento de los datos personales serán legalmente
responsables del cumplimiento de los principios, obligaciones y deberes de conformidad a la ley.
Principio de seguridad. En el tratamiento de los datos personales, el responsable debe garantizar estándares
adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado o ilícito, y contra su pérdida,
filtración, daño accidental o destrucción. Las medidas de seguridad deben ser apropiadas y acordes con el
tratamiento que se vaya a efectuar y con la naturaleza de los datos.
Principio de transparencia e información. Las políticas y las prácticas sobre el tratamiento de los datos
personales deben estar permanentemente accesibles y a disposición de cualquier interesado de manera
precisa, clara, inequívoca y gratuita.
Principio de confidencialidad. El responsable de datos personales y quienes tengan acceso a ellos deberán
guardar secreto o confidencialidad acerca de los mismos. El responsable establecerá controles y medidas
adecuadas para preservar el secreto o confidencialidad.
Compliance

En cuanto a los derechos de los titulares, el PDL sostiene que toda persona actuando por sí o a través de su
representante legal o mandatario, según corresponda, tiene derecho de acceso, rectificación, cancelación,
oposición y portabilidad de sus datos personales. Tales derechos son personales, intransferibles e irrenunciables
y no pueden limitarse por ningún acto o convención. De esta manera, se observa que el PDC recoge los derechos
ARCO, agregando el derecho de portabilidad.
Por otro lado, cabe destacar que el PDL busca ampliar las bases de legitimación para el tratamiento de datos, así
como mejorar la regulación del consentimiento. En este sentido, se propone que el consentimiento del titular debe
ser libre, informado y específico en cuanto a su finalidad o finalidades. El consentimiento debe manifestarse de
manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico
equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.
Con todo, se proponen como nuevas bases de legitimación (en virtud de las cuales no se requiere consentimiento
del titular), las siguientes:

a Cuando los datos han sido recolectados de una fuente de acceso público 5.

b Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero,
bancario o comercial y se realice en conformidad con el PDL.

c Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo
disponga la ley.

d Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato entre el titular y
el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.

e Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un
tercero, siempre que con ello no se afecten los derechos y libertades del titular. En todo caso, el titular podrá
exigir siempre ser informado sobre el tratamiento que lo afecta y cuál es el interés legítimo en base al cual se
efectúa dicho tratamiento 6.

f Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante
los tribunales de justicia.

Adicionalmente, el PDL propone un sistema de protección de datos que exige un importante grado de
compromiso del responsable del tratamiento, para evitar incurrir en las sanciones previstas en dicho instrumento.
Por lo tanto, el compliance se proyecta como un mecanismo de corte preventivo para evitar infringir una normativa
en materia de datos personales, que hace sumamente gravoso para el responsable incurrir en dichas conductas
prohibidas.
Compliance

Propuesta de implementación de un programa de

cumplimiento
A continuación se describirán los elementos previstos del proyecto de ley (PDL) que son importantes para
entender por qué y cómo implementar un adecuado programa de cumplimiento en la materia.

A. Deberes del responsable

Como se anticipó, el PDL busca centrar la responsabilidad del tratamiento en el responsable. Esto quiere decir,
que será el responsable quien deberá garantizar el cumplimiento a las distintas disposiciones del instrumento, y
además ser capaz de demostrar dicho cumplimiento, lo que en doctrina y legislación comparada se ha
denominado el principio de accountability (o principio de responsabilidad proactiva)1. A su vez, será el encargado
quien responderá por incumplimiento a esta ley.
El PDL impone diversos deberes al responsable, entre los que es posible resaltar:

Deber de acreditar la licitud del tratamiento de datos.

Deber de obtener consentimiento por regla general para el tratamiento de datos sensibles (incluido datos de
salud, perfil biológico y biométricos) y datos de categorías especiales (relativos a niños, niñas y
adolescentes).
Deber de implementar mecanismos y herramientas tecnológicas que permitan que el titular ejerza sus
derechos en forma expedita, ágil, eficaz y gratuita.
Deber de responder ante solicitud del titular dentro de 15 días hábiles siguientes a la fecha de ingreso.
Asegurar que los datos personales se recojan de fuentes de acceso lícitas con fines específicos, explícitos y
lícitos, y que su tratamiento se limite al cumplimiento de estos fines.
Comunicar o ceder información exacta, completa y actual.
Cancelar o anonimizar los datos personales del titular cuando fueron obtenidos para la ejecución de
medidas precontractuales.
Cumplir con los principios y obligaciones que rigen el tratamiento de los datos personales.
Deber de secreto o confidencial.
Deber de información y transparencia.
Deber de protección desde el diseño y por defecto. Este deber es particularmente importante desde la óptica
del compliance, pues el responsable debe aplicar medidas técnicas y organizativas apropiadas, así como
por defecto, con anterioridad y durante el tratamiento de datos con el fin de cumplir los principios del
tratamiento de datos y los derechos de titular establecidos en esta ley. Esta obligación se aplicará al número
de datos recogidos, a la extensión del tratamiento, al plazo de conservación de los datos y a su accesibilidad.

Deber de adoptar medidas de seguridad.

Deber de reportar las vulneraciones a las medidas de seguridad.
Compliance

B. Agencia de protección de datos

Por primera vez en Chile, y en base a la experiencia internacional, el PDL propone una agencia especializada
que velará por el cumplimiento de la nueva normativa sobre protección de datos. Esto representa una importante
novedad, pues como se ha revisado, una de las carencias más sensible de la Ley N° 19.628 es que actualmente
es el titular del dato quien debe concurrir personalmente al juez de letras en lo civil (habeas data), para exigir el
cumplimento de la normativa y eventual indemnización que proceda (asumiendo todos los costos que ello
conlleva).
En una primera instancia, el PDL proponía ampliar el ámbito de competencia del Consejo para la Transparencia,
creado en la Ley N° 20.285 sobre Acceso a la Información Pública, para que fuera el órgano encargado de velar
por el cumplimiento de la normativa relativa al tratamiento de datos personales. De hecho, se proponía modificar
su nombre a “Consejo para la Transparencia y la Protección de Datos Personales”.

Con todo, recientemente con fecha 07 de octubre de 2021, el Ejecutivo presentó

indicaciones al actual PDL, para reemplazar al Consejo para la Transparencia como
la autoridad de control en materia de protección de datos por una nueva Agencia
autónoma, cuya denominación será “Agencia de Protección de Datos Personales”.

Se propone que la Agencia sea una corporación autónoma de derecho público, de carácter técnico,
descentralizado, con personalidad jurídica y patrimonio propio, que se relacionará con el Presidente de la
República a través del Ministerio de Economía, Fomento y Turismo.
Dentro de las funciones más relevantes de la Agencia se pueden mencionar las siguientes:

Dictar instrucciones y normas generales y obligatorias con el objeto de regular las operaciones de
tratamiento de datos personales.
Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de protección
de los datos personales, así como las instrucciones y normas generales que emita la propia agencia.
Fiscalizar el cumplimiento de las disposiciones de la ley, sus reglamentos y las instrucciones y normas
generales que se dicten respecto de los tratamientos de datos personales, pudiendo requerir la entrega de
cualquier documento, libro o antecedente y toda la información que fuere necesaria para el cumplimiento de
su función fiscalizadora.
Determinar las infracciones e incumplimientos en que incurran quienes realicen tratamiento de datos
personales, respecto de los principios y obligaciones establecidos en la ley, sus reglamentos y las
instrucciones y normas generales que emita la agencia, pudiendo citar a declarar y tomar declaraciones al
titular, a los representantes legales, administradores, asesores y dependientes de quien trate datos
personales, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho
que sea relevante para resolver un procedimiento sancionatorio.
Ejercer la potestad sancionadora sobre las personas naturales o jurídicas que traten datos personales con
infracción a la ley, sus reglamentos y a instrucciones y normas generales, aplicando las sanciones
establecidas en la ley.
Compliance

Resolver las solicitudes y reclamos que formulen los titulares de datos en contra de quienes traten datos
personales, sus reglamentos o las instrucciones y normas generales.
Proponer al Presidente de la República y al Congreso Nacional, en su caso, las normas legales y
reglamentarias para asegurar a las personas la debida protección de sus datos personales y perfeccionar la
regulación sobre el tratamiento y uso de esta información.
Prestar asistencia técnica, relacionarse y colaborar con los órganos públicos en la dictación y ejecución de
las políticas y normas internas de estos organismos, así como en el diseño e implementación de políticas y
acciones destinadas a velar por la protección de los datos personales.
Suscribir convenios de cooperación y colaboración con entidades públicas o privadas, nacionales,
extranjeras o internacionales, que tengan competencia o estén relacionados al ámbito de los datos
personales.
Participar, recibir cooperación y colaborar con organismos internacionales en materias de protección de
datos personales.
Certificar, registrar y supervisar los modelos de prevención de infracciones y los programas de cumplimiento
y administrar el Registro Nacional de Cumplimiento y Sanciones.

Como se observa, se entrega un robusto y amplio catálogo de competencias para la nueva agencia, con
facultades de fiscalizar, sancionar, investigar, asistir, proponer, cooperar y recibir cooperación internacional en el
ámbito de su competencia.
Además, resulta importante notar para esta unidad, la última competencia, en cuanto a certificar, registrar y
supervisar los modelos de prevención de infracciones y los programas de cumplimiento.

C. Régimen de responsabilidad y sanciones

El principio básico en cuanto a la responsabilidad es que el responsable de datos será sancionado cuando en sus
operaciones de tratamiento de datos personales infrinja los principios, derechos y obligaciones establecidos en la
ley, independiente que dicho responsable sea una persona natural o jurídica, de derecho público o privado.
Asimismo, una vez que se encuentre firme y ejecutoriada la resolución de la agencia que resuelva favorablemente
el reclamo de un titular de datos (imponiendo la multa respectiva), el responsable del tratamiento deberá
indemnizar el daño patrimonial y moral causado al titular, quien podrá interponer la respectiva acción de
perjuicios.
A diferencia de la actual Ley N° 19.629, el PDL propone multas considerables, a propósito de lo cual el
compliance será fundamental para todo responsable de datos. En este sentido, las multas se clasifican de la
siguiente manera:

Multas leves: 1 a 100 UTM (aprox. CLP 50.000 -5.000.000).

Multas graves: 101 a 5.000 UTM (aprox. CLP hasta 250 millones).
Multas gravísimas: 5.001 a 10.000 UTM (aprox. CLP hasta 500 millones).
Compliance

Además de las multas, se contempla una sanción accesoria, consiste en que si se imponen multas por
infracciones gravísimas reiteradas, en un período de 24 meses, la agencia podrá disponer la suspensión de las
operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un término de
30 días. Durante este período el responsable deberá adoptar las medidas necesarias con el objeto de adecuar
sus operaciones y actividades a las exigencias dispuestas en la resolución que ordenó la suspensión.
Si el responsable no da cumplimiento a lo dispuesto en la resolución de suspensión temporal, esta medida se
podrá prorrogar indefinidamente, por períodos sucesivos de 30 días, hasta que el responsable cumpla con lo
ordenado. Como se observa, esta sanción accesoria, si bien es difícil de configurar, resulta bastante gravosa, en
especial, si se considera la magnitud del comercio electrónico cuyo suministro básico para operar son
precisamente los datos personales de los usuarios.
Para la determinación de las sanciones, se considerarán circunstancias atenuantes y agravantes.

Serán atenuantes Serán agravantes

1) Las acciones unilaterales de reparación que realice 1) La reincidencia en los últimos treinta meses por
el responsable y los acuerdos reparatorios convenidos infracción a la ley.
con los titulares de datos que fueron afectados.
2) El carácter continuado de la infracción.
2) La colaboración que el infractor preste en la
investigación administrativa practicada por la agencia. 3) El haber puesto en riesgo la seguridad de los
titulares de los datos personales.
3) La ausencia de sanciones previas del responsable
de datos.

4) La autodenuncia ante la agencia, comunicando las

medidas adoptadas para el cese de los hechos que
originaron la infracción o las medidas de mitigación
implementadas, según corresponda.

5) El haber cumplido diligentemente sus deberes de

dirección y supervisión para la protección de los datos
personales sujetos a tratamiento, lo que se verificará
con el certificado expedido respecto al modelo de
prevención implementado.

Por último, resaltar que la reincidencia es especialmente grave, pues conforme al PDL, la agencia podrá aplicar
una multa de hasta tres veces el monto correspondiente, además de la sanción accesoria de suspensión del
tratamiento de datos cuando procesa.

D. Programas de cumplimiento
Todo lo anterior sirve para comprender el verdadero sentido e importancia de un programa de cumplimiento en
materia de protección de datos, conforme a lo que se propone en el PDL.
Compliance

El PDL establece que los responsables de datos podrán voluntariamente adoptar un modelo de prevención de
infracciones. Configuran un modelo de prevención de infracciones cualesquiera de los siguientes mecanismos o
instrumentos:

a Designación de un encargado de prevención o delegado de protección de datos personales.

b Adopción de un programa de cumplimiento o de prevención de infracciones.

Encargado de prevención o delegado de protección de datos

Será facultativo para el responsable de datos designar un encargado de prevención o delegado de protección de
datos personales (en adelante DPD). El DPD deberá ser designado por la máxima autoridad directiva o
administrativa del responsable de datos (directorio, un socio administrador o a la máxima autoridad de la empresa
o servicio).
Son elementos esenciales del DPD:

Autonomía: autónomo respecto de la administración, en las materias relacionadas con la protección de

datos.
No necesita tener dedicación exclusiva pero las otras funciones que ejerza no pueden ser incompatibles con
el cargo.
El DPD debe ser una persona que reúna los requisitos de idoneidad, capacidad y conocimientos específicos
para el ejercicio de sus funciones.
El DPD debe contar con los medios y facultades suficientes para el desempeño de sus funciones, debiendo
otorgarle los recursos materiales necesarios para realizar adecuadamente sus labores, en consideración al
tamaño y capacidad económica de la entidad.

Entre las funciones que se propone para el DPD se mencionan:

a Informar y asesorar al responsable de datos, a los terceros encargados o mandatarios y a los dependientes
del responsable, respecto de las disposiciones legales y reglamentarias relativas al derecho a la protección
de los datos personales y a la regulación de su tratamiento.

b Promover y participar en la política que dicte el responsable de datos respecto de la protección y el

tratamiento de los datos personales.

c Supervisar el cumplimiento de la presente ley y de la política que dicte el responsable, dentro del ámbito de
su competencia.

d Preocuparse de la formación permanente de las personas que participan en las operaciones de tratamiento
de datos.

e Desarrollar un plan anual de trabajo y rendir cuenta de sus resultados.

f Responder las consultas y solicitudes de los titulares de datos.

Compliance

Programa de cumplimiento o de prevención de infracciones (en

adelante PDC)
El PDL exige que los PDC contengan, a los menos, los siguientes elementos:

a Designación de un encargado de prevención o delegado de protección de datos personales.

b Definición de medios y facultades del encargado de prevención o delegado de protección de datos.

c Establecimiento de un programa de cumplimiento que deberá contemplar, a lo menos, lo siguiente:

i. La identificación del tipo de información que la entidad trata, el ámbito territorial en que opera, la categoría,
clase o tipos de datos o bases de datos que administra, y la caracterización de los titulares de datos.
ii. La identificación de las actividades o procesos de la entidad, sean habituales o esporádicos, en cuyo
contexto se genere o incremente el riesgo de comisión de las infracciones a la ley.
iii. El establecimiento de protocolos, reglas y procedimientos específicos que permitan a las personas que
intervengan en las actividades o procesos indicados en la letra anterior, programar y ejecutar sus tareas o
labores de una manera que prevenga la comisión de las referidas infracciones.
iv. Mecanismos de reporte hacia las autoridades para el caso de contravenir lo dispuesto en la presente ley.
v. La existencia de sanciones administrativas internas, así como de procedimientos de denuncia o castigo de
responsabilidades de las personas que incumplan el sistema de prevención de infracciones.

Cabe destacar que al optar por un PDC, este deberá ser certificado por la agencia en materia de protección
de datos y la duración de la certificación durará tres años. Finalmente, se propone crear un registro público
donde consten las entidades que posean una certificación.

Cabe recordar que el PDL considera como una circunstancia atenuante acreditar el cumplimiento diligente de los
deberes de dirección y supervisión del responsable de datos, lo que se verificará con el certificado expedido
respecto al modelo de prevención implementado. Por otro lado, se considerará como una infracción gravísima
entregar información falsa, incompleta o manifiestamente errónea en el proceso de registro o certificación del
modelo de prevención de infracciones.

Notas finales
El compliance en materia de protección de datos aun no es una política extendida entre los agentes económicos
en nuestro país. A pesar de ser un derecho fundamental, y existir una ley al respecto desde 1999, una inarticulada
y desfasada regulación no genera los incentivos necesarios para que los responsables de datos adopten políticas
preventivas en la materia.
Lo anterior, como se ha explicado, responde a la falta de una agencia especializada, multas de baja cuantía, baja
litigiosidad debido a la excesiva carga de los individuos afectados, y la falta de beneficios concretos para
implementar una política preventiva en materia de protección de datos.
Compliance

Esta realidad debería cambiar sustancialmente en caso que se apruebe el proyecto de ley que busca elevar el
estándar de la protección de datos en Chile. Dicho proyecto se construye en base al principio de accountability, en
donde es el responsable quien tiene el deber de actuar conforme a sus deberes y acreditar, en caso de ser
necesario, que su actuar ha sido negligente. Junto con el resto de los elementos del proyecto de ley (principios,
bases de legitimación, multas, agencia, modelos de prevención, entre otros), se crea un sistema que protege al
titular del dato, evitando que asuma personalmente los costos asociados a un habeas data.

En todo caso, el modelo de prevención de infracciones previsto por el proyecto de ley no es del todo adecuado.
En primer lugar, no resulta razonable que el modelo de prevención de infracciones consistía (a elección del
responsable) en la designación de un encargado de prevención o la adopción de un programa de cumplimiento.
Lo anterior, porque lo segundo comprende lo primero. Además, un programa de cumplimiento no puede consistir
únicamente en la designación de un oficial de cumplimiento, porque difícilmente por sí solo podrá constituir un
programa eficaz y suficiente.
Junto con lo anterior, para que el modelo pueda ser considerado una atenuante de la infracción del responsable
del dato, dicho modelo debe ser certificado por la agencia. Pareciera que la certificación del modelo no debería
consistir únicamente en la comprobación de la designación de un oficial de cumplimiento, en base a los criterios
que establece el proyecto de ley.
Por otro lado, el proyecto no ha previsto una de las herramientas más importantes en materia de compliance, el
cual es la evaluación de impacto relativa a la protección de datos (data protection impact assessment o DPIA por
sus siglas en inglés).
La relevancia de este mecanismo preventivo de análisis por parte del responsable, se observa en el propio
GDPR, el cual en su preámbulo 84 sostiene:
Compliance

“A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las
operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas,
debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la
protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho
riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que
deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente
Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de
tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de
tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento” (el
destacado es nuestro)5.
-- Considerando 84, Reglamento General Europeo de Protección de Datos. --

Ahora bien, a pesar de estas deficiencias, el proyecto de ley continúa en trámite legislativo (primer trámite
constitucional), por lo que probablemente sea objeto de diversas mejoras y modificaciones. En este sentido, dicho
proyecto de ley constituye en elemento esencial para consolidar el compliance en materia de datos personales en
nuestro país.
Compliance

Resumen Unidad 5
La primera norma que se debe tener presente en la regulación de la protección de datos en Chile, es el
artículo 19 N° 4 de la Constitución Política de Chile. Si bien la protección de datos no había sido incluida
dentro del catálogo original de derechos fundamentales, en el año 2018 la Ley N° 21.096 incorporó a dicha
disposición un nuevo derecho constitucional, esto es, la protección de datos personales.
La Ley N° 19.628 de 1999 denominada “Sobre Protección de la Vida Privada” regula la protección de los
datos personales en Chile. La ley dispone que el tratamiento de los datos personales solo puede efectuarse
cuando una ley lo autorice o el titular consienta expresamente en ello. Esta ley ha quedado ampliamente
superada por la realidad del tratamiento de datos.
En Chile no existe una agencia encargada de velar, fiscalizar, investigar y sancionar conductas que infrinjan
la Ley N° 19.628. Esto representa una carencia sensible en Chile, pues en los ordenamientos comparados
se ha demostrado que son las agencias, a través de procedimientos sancionatorios, y no los titulares
accionando individualmente, que han logrado aplicar sanciones relevantes a los responsables de los datos.
La implementación del compliance en materia de datos personales es aún incipiente en nuestro país, dado
que no existen los incentivos adecuados para que los agentes económicos comprendan la importancia de
resguardar la información de las personas.
La realidad del compliance en Chile, en materia de protección de datos, debería cambiar de forma radical
cuando sea publicado el proyecto de ley que tiene por finalidad modificar sustancialmente la Ley N° 19.628
(boletines N° 11.144-07 y 11.092-07 refundidos). Este se encuentra en primer trámite constitucional e intenta
actualizar la normativa nacional a los estándares previstos en el Reglamento General Europeo de Protección
de Datos (conocido tradicionalmente como GDPR por sus siglas en inglés).
El proyecto de ley propone, entre otras cosas, una agencia especializada que velará por el cumplimiento de
la nueva normativa sobre protección de datos. Esto representa una importante novedad, ya que una de las
carencias de la Ley N° 19.628 es que actualmente es el titular del dato quien debe accionar personalmente
(habeas data), para exigir el cumplimento de la normativa y eventual indemnización que proceda
(asumiendo todos los costos que ello conlleva).
El proyecto de ley establece que los responsables de datos podrán voluntariamente adoptar un modelo de
prevención de infracciones. Configuran este modelo cualesquiera de los siguientes mecanismos o
instrumentos:
a) Designación de un encargado de prevención o delegado de protección de datos personales.
b) Adopción de un programa de cumplimiento o de prevención de infracciones.
Compliance

Bibliografía Unidad 5
Alvarado Ávalos, Francisco. (2014). Las fuentes de acceso público a datos personales. Revista Chilena de
Derecho y Tecnología, vol. 3, N° 2, pp. 205-226.
Álvarez Valenzuela, Daniel. (2020). La protección de datos personales en contextos de pandemia y la
constitucionalización del derecho a la autodeterminación informativa. Revista Chilena de Derecho y
Tecnología, vol. 9, N° 1, pp. 1-4.
Barrio Andrés, Moisés. (2020). Manual de Derecho Digital. Tirant Lo Blanch, Valencia.
Benussi Díaz, Carlo. (2020). Obligaciones de seguridad en el tratamiento de datos personales en Chile:
Escenario actual y desafíos regulatorios pendientes. Revista Chilena de Derecho y Tecnología, vol. 9, N° 1,
pp. 227-279.
Contreras Vásquez, Pablo., y Trigo Kramcsák, Pablo. (2020). ¿Abriendo la caja de Pandora? El interés
legítimo en la reforma a la Ley 19.628 sobre Protección de la Vida Privada. Revista Chilena de Derecho y
Tecnología, Vol. 9, N° 1, pp. 185-206.
Contreras Vásquez, Pablo y Trigo Kramcsák, Pablo. (2019). Interés legítimo y tratamiento de datos
personales: Antecedentes comparados y regulación en Chile. Revista Chilena de Derecho y Tecnología, vol.
8, N° 1, pp. 69-106.
Corral Talciani, Hernán. (2001). De los derechos de las personas sobre los responsables de bancos de
datos: el habeas data chileno. En Jorge Wahl Silva (director), Tratamiento de datos personales y protección
de la vida privada. Cuadernos de Extensión Jurídica, Ediciones Universidad de los Andes.
Jervis Ortiz, Paula. (2015). Internet de las cosas y protección de datos personales. Revista de Derecho y
Tecnología, vol. 4, N° 2, pp. 9-51.
Universidad del Desarrollo. (2019). Estudio: Compliance en las empresas chilenas. Pág. 28. Disponible en:
https://derecho.udd.cl/cdre/files/2021/03/ESTUDIO-COMPLIANCE-EN-CHILE-2019-vf.pdf
Valls, Mario. (2001). Manual de Derecho Ambiental. Buenos Aires: Ugermer Editor.
Zuboff S. (2019). The age of surveillance capitalism: the fight for the future at the new frontier of power.
London: Profile Books.