Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción a la Unidad 5
Objetivos
Conocer la regulación de los datos personales en Chile.
Identificar las debilidades del compliance en nuestro país en materia de datos personales.
Analizar el proyecto de ley que tiene por finalidad modificar la Ley N° 19.628.
Compliance
Glosario Unidad 5
Datos personales: los relativos a cualquier información concerniente a personas naturales, identificadas o
identificables.
Dato sensible: aquellos datos personales que se refieren a las características físicas o morales de las
personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el
origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de
salud físicos o psíquicos y la vida sexual.
Responsable del tratamiento de protección de datos: responsable del registro o banco de datos, la
persona natural o jurídica privada, o el respectivo organismo público, a quien compete las decisiones
relacionadas con el tratamiento de los datos de carácter personal.
Titular del dato personal: la persona natural a la que se refieren los datos de carácter personal.
Tratamiento de datos personales: cualquier operación o complejo de operaciones o procedimientos
técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar,
seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar
datos de carácter personal, o utilizarlos en cualquier otra forma.
Compliance
Introducción
La forma de procesar los datos personales ha cambiado drásticamente a lo largo de los años. Históricamente, el
tratamiento de la información personal se hacía por medios escritos. El almacenamiento, tratamiento, transferencia
y la elaboración de perfiles se hacían individualmente y con procesos que demandaban bastante tiempo y
esfuerzo (piénsese en las fichas individuales). Esto limitaba los riesgos para los sujetos cuyos datos eran
analizados. Sin embargo, los sistemas informáticos introdujeron cambios significativos. La digitalización masiva y
desarrollos de internet, big data, internet de las cosas1, aprendizaje automático y la inteligencia artificial
condujeron a formas sin precedentes de recopilar, almacenar y analizar inmensas cantidades de información.
Las empresas y los organismos públicos han debido reconocer que el acceso y el control de la información de las
personas es esencial para los sistemas económicos y políticos actuales. Sin embargo, a medida que los datos
personales se van convirtiendo en un bien más preciado para el comercio y la seguridad, los individuos van
perdiendo el control efectivo sobre su propia información. La nueva tendencia de recopilación de información se
ha denominado capitalismo de la vigilancia (surveillance capitalism).
El capitalismo de la vigilancia es algo que debe preocupar, ya que:
“Reclama unilateralmente la experiencia humana como materia prima gratuita para traducirla en datos de
comportamiento. Aunque algunos de estos datos se aplican a la mejora de los servicios, el resto se declara como
un excedente de comportamiento patentado, que se introduce en procesos de fabricación avanzados conocidos
como ‘inteligencia de las máquinas’, y se fabrica en productos de predicción que anticipan lo que usted hará
ahora, pronto y después. Por último, estos productos de predicción se comercializan en un nuevo tipo de mercado
que yo llamo mercados futuros del comportamiento. Los capitalistas de la vigilancia se han enriquecido
enormemente con estas operaciones comerciales, ya que muchas empresas están dispuestas a apostar por
nuestro comportamiento futuro"2.
-- Zuboff, 2019. --
Chile no escapa a esta realidad, siendo cada vez más frecuente que los datos personales de las personas sean
solicitados para acceder a distintos bienes y servicios, e incluso sin que el titular comprenda el propósito del
tratamiento y si ha consentido en él. En este sentido, tradicionalmente, el control de los sujetos sobre sus datos se
ha basado en el consentimiento individual, como la mejor manera de equilibrar las necesidades de los
responsables del tratamiento de datos y la autonomía del individuo. Sin embargo, el tratamiento moderno de los
datos ha hecho que sea complejo para los sujetos comprender cómo se recoge, utiliza, trata y comparte su
información. Además, se ha vuelto difícil conocer la forma de ejercer los derechos individuales, sobre todo porque
la mayoría de las veces no se sabe con certeza dónde está la información, quiénes son los responsables del
tratamiento y con qué finalidad se utiliza 3.
1. Constitución política
La primera norma que se debe tener presente en esta materia es el artículo 19 N° 4 de la Constitución Política de
Chile. Si bien la protección de datos no había sido incluida dentro del catálogo original de derechos
fundamentales, en el año 2018 la Ley N° 21.096 incorporó a dicha disposición un nuevo derecho constitucional,
esto es, la protección de datos personales. Dicho precepto actualmente dispone:
Tiene sentido que se haya incluido en este artículo de la Constitución, pues la doctrina ya había vinculado la
protección de los datos personales con la vida privada 4. De hecho, también existía jurisprudencia del Tribunal
Constitucional al respecto 5. La iniciativa para incluir este derecho a nivel constitucional nace de una moción
parlamentaria en 2014 (boletín N° 9.384-07), y en cuyo fundamento se destaca que la protección de los datos
personales a nivel comparado ya encontraba acogida en cuerpos constitucionales, a diferencia de Chile 6. De
hecho, para respaldar la moción, se esgrimió que “es importante destacar que el reconocimiento de este derecho
a nivel constitucional, refrendaría el criterio de nuestro Tribunal Constitucional, el cual siguiendo la tendencia
jurisprudencial de varias altas cortes europeas, ha elevado a la calidad de derecho fundamental de la protección
de datos personales”7.
Por otro lado, la idea de consagrar constitucionalmente el derecho tuvo por objeto
proveer de sustento normativo a la dimensión positiva del derecho, esto es, el
derecho de todo sujeto a controlar sus datos personales (también conocido como el
derecho a la autodeterminación informática).
Por el otro lado, la fase negativa del derecho explica la garantía asociada al derecho de la intimidad y privacidad,
esto es, a no ser sujeto de interferencias ilegítimas de terceros8. Desde este punto de vista, se explica la
autonomía del derecho a la protección de datos como una garantía vinculada pero no idéntica a aquellas
contempladas hasta el momento en el artículo 19 N° 4 de la Constitución.
Compliance
Ahora bien, la técnica legislativa del nuevo derecho constitucional otorga un amplio mandato al legislador para
que determine cómo y en qué condiciones se debe proteger los datos personales. Recordemos que la
Constitución señala que “el tratamiento y protección de estos datos se efectuará en la forma y condiciones que
determine la ley”9.
Si bien existe reserva legal o remisión para dar contenido al derecho de autodeterminación informativa, la
doctrina ha enfatizado que el texto constitucional no carece de contenido, pues es dable entender que los
derechos ARCO (acceso, rectificación, cancelación y oposición), constituirían un mínimo asociado al
núcleo esencial del derecho, conforme al artículo 19 N° 26 de la Carta Magna.
Dado lo anterior, el Recurso de Protección sí es procedente en el caso de este derecho fundamental, toda vez que
el artículo 20 de la Constitución no hace distinción.
Compliance
6
Compliance
El origen de la Ley N° 19.628 es una moción parlamentaria de fecha 05 de enero de 1993. El texto de la ley
contiene diversos elementos que son necesarios tener presente.
En primer lugar, la ley dispone que el tratamiento de los datos personales solo puede efectuarse cuando esta u
otras disposiciones legales lo autoricen o el titular consienta expresamente en ello. Por lo tanto, las únicas bases
de tratamiento son la ley y el consentimiento (artículo 1).
En cuanto al consentimiento, la ley exige que sea por escrito, informado respecto al propósito del tratamiento, para
luego indicar que son excepciones al mismo consentimiento (art. 4):
El tratamiento de datos personales que provengan o que se recolecten de fuentes accesibles al público.
Cuando sean de carácter económico, financiero, bancario o comercial.
Se contengan en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales
como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o
fecha de nacimiento, o sean necesarios para comunicaciones comerciales de respuesta directa o
comercialización o venta directa de bienes o servicios.
El tratamiento de datos personales que realicen personas jurídicas privadas para el uso exclusivo suyo, de
sus asociados y de las entidades a que están afiliadas, con fines estadísticos, de tarificación u otros de
beneficio general de aquéllos.
Dado lo anterior, la norma contiene una serie de excepciones amplias al consentimiento, que permitirán eludir la
obligación de requerir la autorización del titular para tratar sus datos. Con todo, estas excepciones resultan
ambiguas y amplias, sin tener reconocimiento o delineamiento en la jurisprudencia nacional. Por eso la
recomendación, para un adecuado cumplimiento de la legislación nacional, es obtener el consentimiento del
titular previo al tratamiento de sus datos personales, en caso que no exista facultad legal para hacerlo. A mayor
abundamiento, para el tratamiento de datos sensibles, estas excepciones jamás aplicarán, pues siempre debe
requerirse el consentimiento del titular (art. 10).
Junto con lo anterior, similar a los derechos ARCO pero no de forma idéntica, la ley establece ciertos derechos
para el titular del dato, tales como:
Compliance
Una vez realizada la solicitud o ejercido su derecho por parte del titular del dato, el responsable del banco de
datos tendrá dos días hábiles para responder.
En caso que el responsable del registro o banco de datos no se pronunciare sobre la solicitud del requirente
dentro de dos días hábiles, o la denegare por una causa distinta de la seguridad de la nación o el interés
nacional, el titular de los datos tendrá derecho a recurrir al juez de letras en lo civil del domicilio del responsable,
solicitando amparo a los derechos consagrados en el artículo precedente (art. 16).
Esta acción es conocida como el habeas data en Chile 11.
El titular, en su reclamación, debe señalar claramente la infracción cometida y los hechos que la configuran,
acompañando los medios de prueba que los acrediten. El responsable del banco de datos deberá presentar sus
descargos dentro del quinto día hábil luego de la notificación de la reclamación. El tribunal fijará una audiencia,
para dentro del quinto día hábil, a fin de recibir la prueba ofrecida y no acompañada.
En caso de acogerse la reclamación, la misma sentencia fijará un plazo prudencial para dar cumplimiento a lo
resuelto y podrá aplicar por regla general una multa de 1 - 10 UTM, o 10 a 50 unidades tributarias mensuales si se
tratare de una infracción a obligaciones relacionadas con aquellas de carácter económico, financiero, bancario o
comercial.
Compliance
La falta de entrega oportuna de la información o el retardo en efectuar la modificación, en la forma que decrete el
tribunal, serán castigados con multa de 2 a 50 UTM y si el responsable del banco de datos requerido fuere un
organismo público, el tribunal podrá sancionar al jefe del Servicio con la suspensión de su cargo por un lapso de
cinco a quince días.
Junto con lo anterior, el responsable del banco de datos personales deberá indemnizar el daño patrimonial y
moral que el tratamiento ilícito hubiera causado al titular del dato. Para lo anterior, el titular podrá demandarlo
conjuntamente con la reclamación de la infracción. El monto de la indemnización será establecido
prudencialmente por el juez, considerando las circunstancias del caso y la gravedad de los hechos.
Figuras penales: Ley N° 19.223 de 1993 que Tipifica figuras penales relativas a la informática.
Derecho público: Ley N° 21.180 de 2019 sobre Transformación Digital del Estado; Resolución N° 304 de
2020 del Consejo para la Transparencia que aprueba el “Texto actualizado y refundido de las
recomendaciones del Consejo para la Transparencia sobre protección de datos personales por parte de los
órganos de la Administración del Estado y sustituye texto que indica”.
Mercado financiero: en junio de 2021, la Comisión para el Mercado Financiero (CMF) publicó una Política
de estándares y principios generales en materia de conducta de mercado referido a la protección del cliente
financiero, siendo uno de los principios establecidos la protección de la información de los clientes.
Protección del consumidor: con fecha 10 de agosto de 2021, el Congreso despachó el proyecto de ley “pro-
consumidor”. En lo que interesa, el proyecto de ley entrega facultades al Sernac en materia de protección de
datos, en base al nuevo artículo 15 bis que se incluirá en la Ley N° 19.496 sobre Protección de los Derechos
de los Consumidores, el cual dispone: “Artículo 15 bis.- Las disposiciones contenidas en los artículos 2 bis
letra b), 58 y 58 bis de la presente ley, serán aplicables respecto de los datos personales de los
consumidores, en el marco de las relaciones de consumo, salvo que las facultades contenidas en dichos
artículos se encuentren en el ámbito de competencias legales de otro órgano".
Compliance
Si bien en el último informe de la Universidad del Desarrollo se expone que la protección de datos es la cuarta
materia con mayor relevancia para los agentes del mercado en la implementación del compliance (superado por
penal, libre competencia y protección al consumidor)1, lo cierto es que en Chile aún no existe una cultura
empresarial preventiva en materia de datos.
Lo anterior se puede explicar por diversas razones, las cuales están estrechamente ligadas con una deficiente
política y estructura normativa al respecto. De hecho, es dable sostener que los agentes que han implementado
un modelo de prevención en la materia son, en general, filiales o agencias de sociedades extranjeras que por sus
políticas internas o legislaciones locales más desarrolladas, han optado por implementar dicha política en toda la
matriz.
Ahora bien, como fue posible advertir en las secciones anteriores, en Chile no existe una agencia encargada de
velar, fiscalizar, investigar y sancionar conductas que infrinjan la Ley N° 19.628.
Esto representa una carencia sensible en Chile, pues en los ordenamientos comparados se ha demostrado
que son las agencias, a través de procedimientos sancionatorios, y no los titulares accionando
individualmente, que han logrado aplicar sanciones relevantes a los responsables de los datos.
Unido con lo anterior, actualmente es cada titular quien debe accionar individualmente para intentar probar la
infracción a sus derechos, y asimismo, intentar obtener una indemnización de los daños causados. La baja
litigiosidad en materia de datos, a través del habeas data, se explica por la excesiva carga que se le impone al
individuo. Lo anterior se repite en todo bien jurídico colectivo, como son la protección de los consumidores, medio
ambiente y libre competencia. Todas estas ramas del derecho, junto con la protección de datos, suponen
intereses colectivos, pues la afección de un titular probablemente suponga la de muchos otros. Solo piénsese en
el volumen de datos que se maneja solo en el comercio electrónico. En este sentido, no solo se ejerce la acción
en interés individual, sino que de manera refleja o indirectamente se defenderá el interés ajeno 2.
Compliance
11
Compliance
El hecho de exigir al individuo accionar de manera individual merma la protección del bien jurídico, tanto por
razones fácticas, psicológicas y culturales. La fácticas dicen relación con los tiempos de espera excesivos, los
altos costos de un litigio incluyendo abogados y posibles peritos del área. El carácter psicológico se explica
porque existe un desincentivo natural a litigar contra empresas o agentes de mercado de relevante capacidad
económica, y además, que el daño individualmente considerado puede ser insignificante o de poco valor,
inhibiendo el accionar del individuo. Por último, el elemento cultural afecta la intención de litigar, pues muchas
veces la única posibilidad de obtener una reparación es a través de la vía judicial, la que supone los distintivos
antes expuestos3.
Otro elemento a considerar, junto con la baja litigiosidad, es que las multas previstas en la ley son bajas (no
superando las 50 UTM; aprox. CLP 2.700.000).
Por lo tanto, la falta de una agencia especializada, multas irrelevantes, baja litigiosidad y falta de
incentivos normativos para implementar una política preventiva, promueve bajos niveles de compliance en
Chile en materia de protección de datos.
Sin embargo, a continuación, revisaremos un proyecto de ley que actualmente se encuentra en trámite legislativo
y que podría cambiar sustantivamente este escenario en Chile.
Compliance
La realidad del compliance en Chile, en materia de protección de datos, debería cambiar de forma radical cuando
sea publicado el proyecto de ley que tiene por finalidad modificar sustancialmente la Ley N° 19.628 (boletines N°
11.144-07 y 11.092-07 refundidos).
Este proyecto de ley (en adelante PDL) se encuentra en primer trámite constitucional
e intenta actualizar la normativa nacional a los estándares previstos en el Reglamento
General Europeo de Protección de Datos4 (conocido tradicionalmente como GDPR
por sus siglas en inglés).
Si bien de la actual Ley N° 19.628 es posible desprender algunos principios, el PDL innova al enunciar de forma
expresa los siguientes principios que regirán el tratamiento de datos:
Principio de licitud del tratamiento. Los datos personales solo pueden tratarse con sujeción a la ley.
Principio de finalidad. Los datos personales deben ser recolectados con fines específicos, explícitos y lícitos.
El tratamiento de los datos personales debe limitarse al cumplimiento de estos fines.
Principio de proporcionalidad. Los datos personales que se traten deben limitarse a aquellos que resulten
necesarios en relación con los fines del tratamiento.
Principio de calidad. Los datos personales deben ser exactos, completos y actuales, en relación con los fines
del tratamiento.
Principio de responsabilidad. Quienes realicen tratamiento de los datos personales serán legalmente
responsables del cumplimiento de los principios, obligaciones y deberes de conformidad a la ley.
Principio de seguridad. En el tratamiento de los datos personales, el responsable debe garantizar estándares
adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado o ilícito, y contra su pérdida,
filtración, daño accidental o destrucción. Las medidas de seguridad deben ser apropiadas y acordes con el
tratamiento que se vaya a efectuar y con la naturaleza de los datos.
Principio de transparencia e información. Las políticas y las prácticas sobre el tratamiento de los datos
personales deben estar permanentemente accesibles y a disposición de cualquier interesado de manera
precisa, clara, inequívoca y gratuita.
Principio de confidencialidad. El responsable de datos personales y quienes tengan acceso a ellos deberán
guardar secreto o confidencialidad acerca de los mismos. El responsable establecerá controles y medidas
adecuadas para preservar el secreto o confidencialidad.
Compliance
En cuanto a los derechos de los titulares, el PDL sostiene que toda persona actuando por sí o a través de su
representante legal o mandatario, según corresponda, tiene derecho de acceso, rectificación, cancelación,
oposición y portabilidad de sus datos personales. Tales derechos son personales, intransferibles e irrenunciables
y no pueden limitarse por ningún acto o convención. De esta manera, se observa que el PDC recoge los derechos
ARCO, agregando el derecho de portabilidad.
Por otro lado, cabe destacar que el PDL busca ampliar las bases de legitimación para el tratamiento de datos, así
como mejorar la regulación del consentimiento. En este sentido, se propone que el consentimiento del titular debe
ser libre, informado y específico en cuanto a su finalidad o finalidades. El consentimiento debe manifestarse de
manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico
equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.
Con todo, se proponen como nuevas bases de legitimación (en virtud de las cuales no se requiere consentimiento
del titular), las siguientes:
a Cuando los datos han sido recolectados de una fuente de acceso público 5.
b Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero,
bancario o comercial y se realice en conformidad con el PDL.
c Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo
disponga la ley.
d Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato entre el titular y
el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.
e Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un
tercero, siempre que con ello no se afecten los derechos y libertades del titular. En todo caso, el titular podrá
exigir siempre ser informado sobre el tratamiento que lo afecta y cuál es el interés legítimo en base al cual se
efectúa dicho tratamiento 6.
f Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante
los tribunales de justicia.
Adicionalmente, el PDL propone un sistema de protección de datos que exige un importante grado de
compromiso del responsable del tratamiento, para evitar incurrir en las sanciones previstas en dicho instrumento.
Por lo tanto, el compliance se proyecta como un mecanismo de corte preventivo para evitar infringir una normativa
en materia de datos personales, que hace sumamente gravoso para el responsable incurrir en dichas conductas
prohibidas.
Compliance
Se propone que la Agencia sea una corporación autónoma de derecho público, de carácter técnico,
descentralizado, con personalidad jurídica y patrimonio propio, que se relacionará con el Presidente de la
República a través del Ministerio de Economía, Fomento y Turismo.
Dentro de las funciones más relevantes de la Agencia se pueden mencionar las siguientes:
Dictar instrucciones y normas generales y obligatorias con el objeto de regular las operaciones de
tratamiento de datos personales.
Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de protección
de los datos personales, así como las instrucciones y normas generales que emita la propia agencia.
Fiscalizar el cumplimiento de las disposiciones de la ley, sus reglamentos y las instrucciones y normas
generales que se dicten respecto de los tratamientos de datos personales, pudiendo requerir la entrega de
cualquier documento, libro o antecedente y toda la información que fuere necesaria para el cumplimiento de
su función fiscalizadora.
Determinar las infracciones e incumplimientos en que incurran quienes realicen tratamiento de datos
personales, respecto de los principios y obligaciones establecidos en la ley, sus reglamentos y las
instrucciones y normas generales que emita la agencia, pudiendo citar a declarar y tomar declaraciones al
titular, a los representantes legales, administradores, asesores y dependientes de quien trate datos
personales, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho
que sea relevante para resolver un procedimiento sancionatorio.
Ejercer la potestad sancionadora sobre las personas naturales o jurídicas que traten datos personales con
infracción a la ley, sus reglamentos y a instrucciones y normas generales, aplicando las sanciones
establecidas en la ley.
Compliance
Resolver las solicitudes y reclamos que formulen los titulares de datos en contra de quienes traten datos
personales, sus reglamentos o las instrucciones y normas generales.
Proponer al Presidente de la República y al Congreso Nacional, en su caso, las normas legales y
reglamentarias para asegurar a las personas la debida protección de sus datos personales y perfeccionar la
regulación sobre el tratamiento y uso de esta información.
Prestar asistencia técnica, relacionarse y colaborar con los órganos públicos en la dictación y ejecución de
las políticas y normas internas de estos organismos, así como en el diseño e implementación de políticas y
acciones destinadas a velar por la protección de los datos personales.
Suscribir convenios de cooperación y colaboración con entidades públicas o privadas, nacionales,
extranjeras o internacionales, que tengan competencia o estén relacionados al ámbito de los datos
personales.
Participar, recibir cooperación y colaborar con organismos internacionales en materias de protección de
datos personales.
Certificar, registrar y supervisar los modelos de prevención de infracciones y los programas de cumplimiento
y administrar el Registro Nacional de Cumplimiento y Sanciones.
Como se observa, se entrega un robusto y amplio catálogo de competencias para la nueva agencia, con
facultades de fiscalizar, sancionar, investigar, asistir, proponer, cooperar y recibir cooperación internacional en el
ámbito de su competencia.
Además, resulta importante notar para esta unidad, la última competencia, en cuanto a certificar, registrar y
supervisar los modelos de prevención de infracciones y los programas de cumplimiento.
Además de las multas, se contempla una sanción accesoria, consiste en que si se imponen multas por
infracciones gravísimas reiteradas, en un período de 24 meses, la agencia podrá disponer la suspensión de las
operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un término de
30 días. Durante este período el responsable deberá adoptar las medidas necesarias con el objeto de adecuar
sus operaciones y actividades a las exigencias dispuestas en la resolución que ordenó la suspensión.
Si el responsable no da cumplimiento a lo dispuesto en la resolución de suspensión temporal, esta medida se
podrá prorrogar indefinidamente, por períodos sucesivos de 30 días, hasta que el responsable cumpla con lo
ordenado. Como se observa, esta sanción accesoria, si bien es difícil de configurar, resulta bastante gravosa, en
especial, si se considera la magnitud del comercio electrónico cuyo suministro básico para operar son
precisamente los datos personales de los usuarios.
Para la determinación de las sanciones, se considerarán circunstancias atenuantes y agravantes.
1) Las acciones unilaterales de reparación que realice 1) La reincidencia en los últimos treinta meses por
el responsable y los acuerdos reparatorios convenidos infracción a la ley.
con los titulares de datos que fueron afectados.
2) El carácter continuado de la infracción.
2) La colaboración que el infractor preste en la
investigación administrativa practicada por la agencia. 3) El haber puesto en riesgo la seguridad de los
titulares de los datos personales.
3) La ausencia de sanciones previas del responsable
de datos.
Por último, resaltar que la reincidencia es especialmente grave, pues conforme al PDL, la agencia podrá aplicar
una multa de hasta tres veces el monto correspondiente, además de la sanción accesoria de suspensión del
tratamiento de datos cuando procesa.
D. Programas de cumplimiento
Todo lo anterior sirve para comprender el verdadero sentido e importancia de un programa de cumplimiento en
materia de protección de datos, conforme a lo que se propone en el PDL.
Compliance
El PDL establece que los responsables de datos podrán voluntariamente adoptar un modelo de prevención de
infracciones. Configuran un modelo de prevención de infracciones cualesquiera de los siguientes mecanismos o
instrumentos:
a Informar y asesorar al responsable de datos, a los terceros encargados o mandatarios y a los dependientes
del responsable, respecto de las disposiciones legales y reglamentarias relativas al derecho a la protección
de los datos personales y a la regulación de su tratamiento.
c Supervisar el cumplimiento de la presente ley y de la política que dicte el responsable, dentro del ámbito de
su competencia.
d Preocuparse de la formación permanente de las personas que participan en las operaciones de tratamiento
de datos.
i. La identificación del tipo de información que la entidad trata, el ámbito territorial en que opera, la categoría,
clase o tipos de datos o bases de datos que administra, y la caracterización de los titulares de datos.
ii. La identificación de las actividades o procesos de la entidad, sean habituales o esporádicos, en cuyo
contexto se genere o incremente el riesgo de comisión de las infracciones a la ley.
iii. El establecimiento de protocolos, reglas y procedimientos específicos que permitan a las personas que
intervengan en las actividades o procesos indicados en la letra anterior, programar y ejecutar sus tareas o
labores de una manera que prevenga la comisión de las referidas infracciones.
iv. Mecanismos de reporte hacia las autoridades para el caso de contravenir lo dispuesto en la presente ley.
v. La existencia de sanciones administrativas internas, así como de procedimientos de denuncia o castigo de
responsabilidades de las personas que incumplan el sistema de prevención de infracciones.
Cabe destacar que al optar por un PDC, este deberá ser certificado por la agencia en materia de protección
de datos y la duración de la certificación durará tres años. Finalmente, se propone crear un registro público
donde consten las entidades que posean una certificación.
Cabe recordar que el PDL considera como una circunstancia atenuante acreditar el cumplimiento diligente de los
deberes de dirección y supervisión del responsable de datos, lo que se verificará con el certificado expedido
respecto al modelo de prevención implementado. Por otro lado, se considerará como una infracción gravísima
entregar información falsa, incompleta o manifiestamente errónea en el proceso de registro o certificación del
modelo de prevención de infracciones.
Notas finales
El compliance en materia de protección de datos aun no es una política extendida entre los agentes económicos
en nuestro país. A pesar de ser un derecho fundamental, y existir una ley al respecto desde 1999, una inarticulada
y desfasada regulación no genera los incentivos necesarios para que los responsables de datos adopten políticas
preventivas en la materia.
Lo anterior, como se ha explicado, responde a la falta de una agencia especializada, multas de baja cuantía, baja
litigiosidad debido a la excesiva carga de los individuos afectados, y la falta de beneficios concretos para
implementar una política preventiva en materia de protección de datos.
Compliance
Esta realidad debería cambiar sustancialmente en caso que se apruebe el proyecto de ley que busca elevar el
estándar de la protección de datos en Chile. Dicho proyecto se construye en base al principio de accountability, en
donde es el responsable quien tiene el deber de actuar conforme a sus deberes y acreditar, en caso de ser
necesario, que su actuar ha sido negligente. Junto con el resto de los elementos del proyecto de ley (principios,
bases de legitimación, multas, agencia, modelos de prevención, entre otros), se crea un sistema que protege al
titular del dato, evitando que asuma personalmente los costos asociados a un habeas data.
En todo caso, el modelo de prevención de infracciones previsto por el proyecto de ley no es del todo adecuado.
En primer lugar, no resulta razonable que el modelo de prevención de infracciones consistía (a elección del
responsable) en la designación de un encargado de prevención o la adopción de un programa de cumplimiento.
Lo anterior, porque lo segundo comprende lo primero. Además, un programa de cumplimiento no puede consistir
únicamente en la designación de un oficial de cumplimiento, porque difícilmente por sí solo podrá constituir un
programa eficaz y suficiente.
Junto con lo anterior, para que el modelo pueda ser considerado una atenuante de la infracción del responsable
del dato, dicho modelo debe ser certificado por la agencia. Pareciera que la certificación del modelo no debería
consistir únicamente en la comprobación de la designación de un oficial de cumplimiento, en base a los criterios
que establece el proyecto de ley.
Por otro lado, el proyecto no ha previsto una de las herramientas más importantes en materia de compliance, el
cual es la evaluación de impacto relativa a la protección de datos (data protection impact assessment o DPIA por
sus siglas en inglés).
La relevancia de este mecanismo preventivo de análisis por parte del responsable, se observa en el propio
GDPR, el cual en su preámbulo 84 sostiene:
Compliance
“A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las
operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas,
debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la
protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho
riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que
deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente
Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de
tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de
tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento” (el
destacado es nuestro)5.
-- Considerando 84, Reglamento General Europeo de Protección de Datos. --
Ahora bien, a pesar de estas deficiencias, el proyecto de ley continúa en trámite legislativo (primer trámite
constitucional), por lo que probablemente sea objeto de diversas mejoras y modificaciones. En este sentido, dicho
proyecto de ley constituye en elemento esencial para consolidar el compliance en materia de datos personales en
nuestro país.
Compliance
Resumen Unidad 5
La primera norma que se debe tener presente en la regulación de la protección de datos en Chile, es el
artículo 19 N° 4 de la Constitución Política de Chile. Si bien la protección de datos no había sido incluida
dentro del catálogo original de derechos fundamentales, en el año 2018 la Ley N° 21.096 incorporó a dicha
disposición un nuevo derecho constitucional, esto es, la protección de datos personales.
La Ley N° 19.628 de 1999 denominada “Sobre Protección de la Vida Privada” regula la protección de los
datos personales en Chile. La ley dispone que el tratamiento de los datos personales solo puede efectuarse
cuando una ley lo autorice o el titular consienta expresamente en ello. Esta ley ha quedado ampliamente
superada por la realidad del tratamiento de datos.
En Chile no existe una agencia encargada de velar, fiscalizar, investigar y sancionar conductas que infrinjan
la Ley N° 19.628. Esto representa una carencia sensible en Chile, pues en los ordenamientos comparados
se ha demostrado que son las agencias, a través de procedimientos sancionatorios, y no los titulares
accionando individualmente, que han logrado aplicar sanciones relevantes a los responsables de los datos.
La implementación del compliance en materia de datos personales es aún incipiente en nuestro país, dado
que no existen los incentivos adecuados para que los agentes económicos comprendan la importancia de
resguardar la información de las personas.
La realidad del compliance en Chile, en materia de protección de datos, debería cambiar de forma radical
cuando sea publicado el proyecto de ley que tiene por finalidad modificar sustancialmente la Ley N° 19.628
(boletines N° 11.144-07 y 11.092-07 refundidos). Este se encuentra en primer trámite constitucional e intenta
actualizar la normativa nacional a los estándares previstos en el Reglamento General Europeo de Protección
de Datos (conocido tradicionalmente como GDPR por sus siglas en inglés).
El proyecto de ley propone, entre otras cosas, una agencia especializada que velará por el cumplimiento de
la nueva normativa sobre protección de datos. Esto representa una importante novedad, ya que una de las
carencias de la Ley N° 19.628 es que actualmente es el titular del dato quien debe accionar personalmente
(habeas data), para exigir el cumplimento de la normativa y eventual indemnización que proceda
(asumiendo todos los costos que ello conlleva).
El proyecto de ley establece que los responsables de datos podrán voluntariamente adoptar un modelo de
prevención de infracciones. Configuran este modelo cualesquiera de los siguientes mecanismos o
instrumentos:
a) Designación de un encargado de prevención o delegado de protección de datos personales.
b) Adopción de un programa de cumplimiento o de prevención de infracciones.
Compliance
Bibliografía Unidad 5
Alvarado Ávalos, Francisco. (2014). Las fuentes de acceso público a datos personales. Revista Chilena de
Derecho y Tecnología, vol. 3, N° 2, pp. 205-226.
Álvarez Valenzuela, Daniel. (2020). La protección de datos personales en contextos de pandemia y la
constitucionalización del derecho a la autodeterminación informativa. Revista Chilena de Derecho y
Tecnología, vol. 9, N° 1, pp. 1-4.
Barrio Andrés, Moisés. (2020). Manual de Derecho Digital. Tirant Lo Blanch, Valencia.
Benussi Díaz, Carlo. (2020). Obligaciones de seguridad en el tratamiento de datos personales en Chile:
Escenario actual y desafíos regulatorios pendientes. Revista Chilena de Derecho y Tecnología, vol. 9, N° 1,
pp. 227-279.
Contreras Vásquez, Pablo., y Trigo Kramcsák, Pablo. (2020). ¿Abriendo la caja de Pandora? El interés
legítimo en la reforma a la Ley 19.628 sobre Protección de la Vida Privada. Revista Chilena de Derecho y
Tecnología, Vol. 9, N° 1, pp. 185-206.
Contreras Vásquez, Pablo y Trigo Kramcsák, Pablo. (2019). Interés legítimo y tratamiento de datos
personales: Antecedentes comparados y regulación en Chile. Revista Chilena de Derecho y Tecnología, vol.
8, N° 1, pp. 69-106.
Corral Talciani, Hernán. (2001). De los derechos de las personas sobre los responsables de bancos de
datos: el habeas data chileno. En Jorge Wahl Silva (director), Tratamiento de datos personales y protección
de la vida privada. Cuadernos de Extensión Jurídica, Ediciones Universidad de los Andes.
Jervis Ortiz, Paula. (2015). Internet de las cosas y protección de datos personales. Revista de Derecho y
Tecnología, vol. 4, N° 2, pp. 9-51.
Universidad del Desarrollo. (2019). Estudio: Compliance en las empresas chilenas. Pág. 28. Disponible en:
https://derecho.udd.cl/cdre/files/2021/03/ESTUDIO-COMPLIANCE-EN-CHILE-2019-vf.pdf
Valls, Mario. (2001). Manual de Derecho Ambiental. Buenos Aires: Ugermer Editor.
Zuboff S. (2019). The age of surveillance capitalism: the fight for the future at the new frontier of power.
London: Profile Books.