CPLT. Informe Jurídico IDI-Proyecto de Ley 10.21

INFORME SOBRE INFRAESTRUCTURA DE DATOS INTEGRADOS Y SU
COMPATIBILIDAD BAJO EL PROYECTO DE LEY DE DATOS PERSONALES

(BOLETINES REFUNDIDOS 11144-07 Y 11092-07)
DJ/UNR 10.2021
En el marco del convenio de colaboración y transferencia de recursos entre la Universidad

Adolfo Ibáñez y el Consejo para la Transparencia, suscrito con fecha 11 de diciembre de
2020, y aprobado en virtud de Resolución Exenta N°328 de 28 de diciembre de 2020, del
Consejo para la Transparencia (el “Convenio”), la Unidad de Normativa y Regulación de
este organismo ha elaborado el presente informe referido a la compatibilidad del proyecto
de ley que busca modificar la Ley N°19.628 sobre Protección de la Vida Privada,
correspondiente a los Boletines refundidos N°11144-07 y N°11092-07 (el “Proyecto de Ley”),
con la implementación en Chile de un sistema de infraestructura de datos integrados (en
adelante, “sistema IDI”).
Este trabajo se ha estructurado en tres secciones. Una primera sección que contempla una
mención general al sistema de infraestructura de datos integrados a tomar de referencia; así
como una revisión de aspectos generales que son relevantes para el análisis desde un punto
de vista de protección de datos personales. En la segunda sección de este trabajo, se hace
una revisión comparada, desde una perspectiva de protección de datos personales, de los
modelos de sistemas IDI existentes en Reino Unido, Nueva Zelandia, y Canadá. Por último,
en la tercera sección y final, se analiza la figura del sistema IDI desde la óptica del Proyecto
de Ley y donde nos referimos a aquellas materias específicas que, de ser aprobado, podrían
resultar de mayor impacto para su implementación en nuestro país. Esta sección concluye
con nuestras consideraciones finales y algunas recomendaciones para abordar las
contingencias observadas.
Cabe señalar que el Proyecto de Ley corresponde a un texto que todavía no constituye ley
de la República y, en ese contexto, no ha sido todavía interpretado judicial ni
administrativamente por los órganos competentes. Por su parte, al tener tal calidad, las
normas citadas pueden ser susceptibles de modificación en el transcurso del proceso
legislativo restante.
Para elaborar este informe se celebraron dos reuniones con el equipo de la Universidad
Adolfo Ibáñez contraparte del Convenio, y se compartieron una serie de documentos de
apoyo. El texto del Proyecto de Ley utilizado en este trabajo corresponde a aquel aprobado
por la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado en primer
trámite constitucional.
Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 1

www.consejotransparencia.cl
Resumen ejecutivo:
1. Los sistemas de infraestructura de datos integrados buscan potenciar el uso de datos

administrativos para objetivos de investigación de interés público. Estos sistemas se
han replicado en varias jurisdicciones alrededor del mundo, en donde se han
dispuesto diversos resguardos legales y técnicos para garantizar la seguridad y
confidencialidad en el manejo de los datos.
2. La implementación de un sistema como este involucra necesariamente el
tratamiento de datos personales y sensibles de aquellos individuos cuyos datos
figuren en las bases de datos almacenadas por los organismos públicos que formen
parte del sistema. Este tratamiento de datos personales, en cada una de las fases que
comprende el sistema IDI, deberá sujetarse a las disposiciones del Proyecto de Ley
que regulen el tratamiento de datos personales en Chile una vez que este entre en
vigencia.
3. Ahora bien, de nuestra revisión hemos concluido que existe una necesidad
apremiante de que se avance rápidamente en la promulgación del Proyecto de Ley.
Un proyecto de la envergadura del sistema IDI requiere de un marco legal robusto
de protección de datos personales, no solo por la necesidad de resguardar los
derechos de los titulares, sino que también por la necesidad de que el sistema IDI
sea ampliamente aceptado y respaldado por la ciudadanía.
4. Finalmente, del análisis efectuado ha sido posible observar una serie de
contingencias de mayor o menor envergadura que deberán ser abordadas para
asegurar que la futura implementación de un sistema IDI en Chile resulte
compatible con la regulación que propone el Proyecto de Ley. A partir de esto,
hemos identificado alternativas para abordar dichos alcances, incluyendo las
siguientes:
a) En relación a las bases de licitud que habiliten el tratamiento:
i. Que, sujeto a estándares adecuados de protección, se avance en la consagración
-por norma de rango legal- de atribuciones y facultades suficientes que habiliten
el tratamiento de datos personales, fundamentalmente para el organismo
encargado del sistema, amparado en la base de licitud establecida en el artículo
20 del Proyecto, o aquella relativa a la ejecución o cumplimiento de una
obligación legal o lo disponga la ley. Esta consagración deberá tener en
consideración las categorías especiales de datos personales que se requerirán
tratar, tomando en cuenta los requisitos propios de la base en cada categoría.
ii. Que se avance en una modificación de la regulación dispuesta para la base de
licitud de interés legítimo, acercándose a una redacción como la que establece el
Reglamento Europeo de Protección de Datos; así como que se aclare su
aplicación respecto del tratamiento de datos sensibles y datos de niños, niñas y
adolescentes para investigaciones que atiendan fines de interés público.

b) En relación a las cesiones de datos personales en el sistema IDI:
i. Que se avance en ajustes normativos para poder circunscribir las cesiones de
datos entre organismos públicos en las habilitantes del Proyecto de Ley, así como
evaluar la incorporación de una habilitante vinculada a la utilización de datos
para propósitos estadísticos o de investigación que atiendan fines de interés
público.
ii. Que, sujeto a estándares adecuados de protección, se consagre en el Proyecto de
Ley habilitantes, dentro del artículo 22, que permitan la cesión de datos desde el
órgano encargado hacia investigadores de carácter privado debidamente
acreditados.
c) En relación a las obligaciones de tratamiento para los responsables de datos:
i. Que se promueva el reconocimiento, en el Proyecto de Ley, de las Evaluaciones
de Impacto de Protección de Datos, tomando como ejemplo su reconocimiento
en el Reglamento Europeo de Protección de Datos.
ii. Que, en el funcionamiento del sistema IDI, se avance en el establecimiento de
requisitos o condiciones diferenciadas para el acceso a los datos integrados
según criterios de sensibilidad, detalle, volumen, u otro que sea relevante.
iii. Que se siga profundizando en el análisis de los sistemas implementados por
otros países pioneros en esta materia desde un punto de vista regulatorio, de
forma de poder tomar las mejores prácticas, sin perder de vista la realidad
nacional, sus recursos y su tradición jurídica continental.

TABLA DE CONTENIDO
I. LA INFRAESTRUCTURA DE DATOS INTEGRADOS ................................................. 5
1. Descripción general ............................................................................................................ 5
2. Aspectos generales de protección de datos personales en Chile................................ 6
II. MODELOS COMPARADOS DE SISTEMAS IDI DESDE UNA PERSPECTIVA
DE DATOS PERSONALES ........................................................................................................... 7
1. Reino Unido ......................................................................................................................... 8
a) Regulación relevante en datos personales .................................................................. 8
b) Protocolos para el uso de datos integrados................................................................. 9
2. Nueva Zelandia.................................................................................................................. 10
a) Regulación relevante en datos personales ................................................................ 10
b) Protocolos para el uso de datos integrados............................................................... 11
3. Canadá ................................................................................................................................. 12
a) Regulación relevante en datos personales ................................................................ 12
c) Protocolos para el uso de datos integrados............................................................... 14
III. ANÁLISIS DEL SISTEMA IDI BAJO EL PROYECTO DE LEY DE DATOS
PERSONALES ............................................................................................................................... 14
1. Aspectos del Proyecto de Ley que podrían impactar en la factibilidad de
implementar una infraestructura de datos integrados en Chile....................................... 14
a) Aspectos generales: ámbito de aplicación, flujo de datos personales, entidades
involucradas y su calidad bajo el Proyecto de Ley. ........................................................ 14
b) El tratamiento de datos personales y las bases de legalidad aplicable en el
contexto del sistema IDI....................................................................................................... 17
c) Categorías de datos personales particulares establecidas en el Proyecto de Ley.
22
d) La cesión de datos personales en el Proyecto de Ley. ............................................. 25
e) Principios del tratamiento de datos personales y obligaciones de los
responsables. .......................................................................................................................... 27
f) Seguridad y confidencialidad en el tratamiento de datos personales................. 30
g) Anonimización y seudonimización. .......................................................................... 32
2. Consideraciones finales y propuestas para abordar los alcances realizados ......... 34
a) Aspectos generales de protección de datos personales .......................................... 34
b) Aspectos particulares del Proyecto de Ley ............................................................... 35

I. LA INFRAESTRUCTURA DE DATOS INTEGRADOS
1. Descripción general
Un “sistema de infraestructura de datos integrados” podemos entenderlo, en términos

generales y para efectos de este informe, como un sistema que opera mediante la
centralización, en una única entidad de derecho público (en adelante, “organismo
encargado” o “centralizador”), de datos administrativos originalmente en poder de diversos
organismos públicos, los cuales son luego almacenados, cruzados y, en ciertas
circunstancias, anonimizados o seudonimizados (en cuyo caso siguen siendo datos
personales); todo, con la finalidad ulterior de permitir su acceso seguro a investigadores y
otras reparticiones públicas con el propósito de ser analizados para servir de insumo en el
desarrollo de investigaciones de interés público o diseño y evaluación de políticas públicas;
y cuyos resultados son anonimizados para efectos de su divulgación. De esta forma, los
datos del sistema IDI no son utilizados para la toma de decisiones respecto de individuos
particulares o de trámites específicos.
En consideración a la gran dificultad técnica de la anonimización efectiva en los términos

dispuestos en el Proyecto de Ley, las distintas alternativas para el diseño de un sistema como
este, y la conveniencia de analizar la mayor cantidad de hipótesis de aplicación de la
normativa sobre tratamiento de datos personales hemos estimado, para efectos de este
trabajo en particular, que el órgano público encargado del sistema IDI podría llegar a
disponibilizar a los investigadores tanto datos anonimizados (o sea, datos no personales a
los que no se les aplica la regulación sobre datos personales) por una parte, como datos no
anonimizados o seudonimizados (o, en otras palabras, datos personales a los que sí se les
aplica dicha regulación) por otra. Esta circunstancia se expresa más adelante en la sección
III de este trabajo y, particularmente, en la etapa número 4 “Disponibilización a
investigadores” de la Figura N°1. Etapas del sistema IDI.
Por otra parte, entendemos a los “datos administrativos” de forma amplia como aquellos
datos que son recogidos y tratados por los diferentes órganos de la administración del
Estado y que, en la lógica de un sistema IDI, serán entregados o cedidos a una entidad
encargada de integrarlos y de operar el sistema. Estos datos pueden cubrir toda clase de
información, incluyendo datos personales -conforme la definición que veremos más
adelante- e información recogida directamente por los organismos desde los ciudadanos y
las organizaciones en el contexto de sus atribuciones y funciones establecidas en la ley como,
por ejemplo, cuando estas realizan transacciones, prestan un servicio público, realizan
encuestas o deben llevar un registro mandatado por el legislador.
En este escenario, identificamos que en torno a un sistema IDI confluyen diversos actores,
incluyendo ciudadanos y empresas; órganos de la administración del Estado; e
investigadores privados. Por su parte, conforme señalan sus proponentes, de la
implementación de un sistema como este se pueden generar diversos beneficios para el país
y sus ciudadanos, permitiendo la elaboración de mejores políticas públicas y de
conocimiento útil y relevante.

2. Aspectos generales de protección de datos personales en Chile
Según señalamos, este análisis busca relacionar la implementación de un sistema IDI con el
Proyecto de Ley; para lo cual resulta necesario tener presente ciertos aspectos básicos y
generales sobre protección de datos personales que son esenciales para contextualizar este
trabajo.
En primer lugar, cabe señalar que desde el año 2018 la Constitución Política de la República
consagra expresamente la garantía fundamental de protección de datos personales,
estableciendo que la Constitución asegura a todas las personas “El respeto y protección a la
vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales.
El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la
ley”. Esta consagración implicó la creación de una reserva legal especial que se sumó a la
reserva legal general de las normas que regulen o complementen garantías constitucionales,
establecida en el numeral 26 del artículo 19, relacionada con el numeral 2 del artículo 63
sobre materias de ley, ambos de la Constitución Política. En aplicación de esta reserva, las
normas que regulen el tratamiento y protección de datos personales deberán siempre
adoptar la forma de una ley, excluyéndose por tanto las formas infralegales de regulación.
A su turno, cabe destacar que la regulación a nivel legal se encuentra establecida

fundamentalmente en la Ley N°19.628 sobre Protección de la Vida Privada (“LPVP”), que
contiene las condiciones en que se puede efectuar tratamiento de datos personales en Chile.
Esta es una norma que data del año 1999 y que aplica tanto para organismos públicos y
privados, regulando un conjunto de materias. A la LPVP se le han formulado una serie de
críticas, en torno de las cuales se justifica la necesidad de avanzar hacia la promulgación del
Proyecto de Ley. Entre estas críticas, se encuentran:
a) Principios regulados de forma inorgánica y deficiente;

b) Un procedimiento insuficiente de tutela de derechos ARCO (acceso, rectificación,
cancelación y oposición);
c) Ausencia de regulación para el flujo transfronterizo de datos;
d) Un catálogo exiguo de bases de legalidad habilitantes basado únicamente en la ley o
en el consentimiento del titular;
e) Ausencia de regulación sobre categorías de datos relevantes (ej. datos genéticos o de
menores de edad);
f) Un estatuto sancionatorio deficiente sin multas que signifiquen incentivos al
cumplimiento de la norma; y
g) Ausencia de una autoridad de control independiente y con facultades de
fiscalización y supervisión de los responsables de datos personales.
No obstate estas críticas, en la medida que el Proyecto de Ley no sea aprobado por el
Congreso Nacional, cualquier iniciativa que tenga como fin la creación de un sistema IDI
deberá ser también analizado, a nivel de datos personales, desde la óptica de su ajuste con
la LPVP.

Por su parte, el panorama regulatorio a nivel de datos personales se ve complementado por
un sinnúmero de normas adicionales que se encuentran esparcidas en el ordenamiento
jurídico y que, por lo tanto, deberán también ser consideradas en la implementación de un
sistema IDI según corresponda al ámbito específico de aplicación. Ejemplo de estas normas
lo constituyen, por ejemplo, la Ley N°20.575 que establece el principio de finalidad en el
tratamiento de datos personales, o la Ley N°20.584 que regula los derechos y deberes que
tienen las personas en relación con acciones vinculadas a su atención en salud.
Por último, en cuanto al Proyecto de Ley, cabe mencionar que este se encuentra actualmente
en discusión en la Comisión de Hacienda del Senado en su primer trámite constitucional.
Luego de no haber tenido movimiento legislativo por más de un año, recientemente se
retomó su discusión en dicha comisión el día 29 de junio de 2021, circunstancia en la cual
los senadores debatieron sobre la futura autoridad y su presupuesto. En términos
sustantivos, este proyecto busca modificar la LPVP, creando una autoridad de control
administrativa y mejorando el estándar de protección de datos personales acercándolo al
dispuesto por el Reglamento Europeo de Protección de Datos. Entre las modificaciones que
se contemplan, se pueden destacar:
a) Principios. Establecimiento expreso de los principios aplicables al tratamiento de

datos personales, como el de licitud, finalidad, proporcionalidad, información,
seguridad y confidencialidad.
b) Derechos ARCOP. Reforzamiento de los derechos ARCO y reconocimiento del
nuevo derecho de portabilidad de datos.
c) Bases de licitud. La incorporación de nuevas bases de licitud distintas al
consentimiento y la ley, como la ejecución de un contrato en que haya sido parte el
titular, o el interés legítimo del responsable.
d) Nuevas instituciones. Se regulan instituciones hasta ahora no comprendidas en
nuestra legislación, como la cesión de datos entre dos responsables, y la transferencia
internacional de datos personales.
e) Autoridad de control. La creación de un organismo público encargado de velar por
el cumplimiento de la ley con facultades de interpretar, fiscalizar y sancionar
infracciones legales.
f) Multas. La modificación de las multas por incumplimiento de la ley, agregando una
categorización en leves, graves y gravísimas, con montos de hasta UTM 10.000 (más
de 500 millones de pesos o 730,000 USD aproximadamente).
g) Nuevas obligaciones. El establecimiento de nuevas obligaciones para el responsable
de datos.
II. MODELOS COMPARADOS DE SISTEMAS IDI DESDE UNA PERSPECTIVA DE

DATOS PERSONALES
La implementación de sistemas IDI, dada sus ventajas, se han replicado en varios países
alrededor del mundo bajo diversas perspectivas y modelos. En este contexto, se ha
determinado adecuado para este análisis revisar los modelos implementados en Reino

Unido, Nueva Zelandia, y Canadá poniendo énfasis en el derecho a la protección de datos
personales.
1. Reino Unido
El Administrative Data Research (“ADR UK”) es una asociación fundada por la Economic
& Social Research Council y compuesta por la ADR de Inglaterra, la ADR de Irlanda del
Norte, la ADR de Escocia, la ADR de Gales y la Oficina Nacional de Estadísticas (“ONS”), y
que es coordinada por un Centro Estratégico (“Strategic Hub”). Esta tiene dentro de sus
valores el uso responsable y ético de los datos.
En el funcionamiento de la ADR UK se identifican tres grandes etapas, (i) una primera

relativa a la vinculación o centralización de datos de las distintas administraciones públicas
de Reino Unido; (ii) una etapa de disponibilización de los datos integrados y anonimizados
a ciertos investigadores autorizados; y, (iii) una última etapa de publicación del resultado
de las investigaciones. El acceso a los datos está sujeto a distintos requisitos según la
sensibilidad o detalle de los datos que se quieran revisar.
Las categorías de datos almacenados comprenden datos del censo de Reino Unido; de
encuestas; de estudios longitudinales; micro datos de empresas; datos cualitativos y de
métodos mixtos; entre otros.
a) Regulación relevante en datos personales
El funcionamiento de este sistema en Reino Unido -a nivel de datos personales- se ampara

fundamentalmente en la Digital Economy Act de 2017 y en la Data Protection Act de 2018.
La Digital Economy Act establece un marco normativo que permite la cesión de datos
personales entre distintos órganos públicos con el objetivo de mejorar los servicios públicos
mediante el uso de los datos asegurando, a su vez, la privacidad de la información. Por su
parte, esta ley también establece un mecanismo legal para que investigadores puedan tener
acceso a los datos administrativos de forma segura, el cual se encuentra detallado en el
Capítulo 5 de la Parte 5 de dicha norma, relativo a la cesión para objetivos de investigación
(Sharing for research purposes). En efecto, su artículo 64 señala, a grandes rasgos que,
información en poder de una autoridad pública en relación con sus funciones puede ser
divulgada a otra persona para los propósitos de investigación que esté llevando a cabo o
que se vayan a realizar. Si la información es de carácter personal, no se puede divulgar, a
menos que se cumplan una serie de condiciones, tales como:
i. Que la información que identifica a una persona sea procesada antes de la divulgación
para que la identidad de la persona no se especifique en la información, y que no sea
razonablemente probable que la identidad de la persona se deduzca de ella.
ii. Que cada persona que esté involucrada en el tratamiento de la información para su
divulgación tome medidas razonables para (i) minimizar el riesgo de divulgación
accidental de la información; y (ii) evite la divulgación deliberada de dicha información.

iii. Que la divulgación sea realizada por la autoridad pública o por otra persona, distinta de
la autoridad pública, que esté involucrada en el procesamiento de la información para
divulgación.
iv. Que la investigación -para la cual se divulga la información- esté acreditada bajo la
sección 71 de la ley.
v. Que las siguientes personas estén acreditadas en virtud de la sección 71 de la ley (i)
cualquier persona involucrada en el procesamiento de la información para su
divulgación; (ii) cualquier persona a quien se le revele la información; y (iii) cualquier
persona que utilice dicha información con fines de investigación.
vi. Que toda persona que revele la información o participe en su procesamiento para su
divulgación tengan en cuenta los códigos de conducta dictados.
En relación con este último punto cabe destacar que se han dictado varios códigos de
conducta relativos a la Digital Economy Act que son importantes para las entidades
participantes. Estos códigos se pueden encontrar en
https://www.gov.uk/government/publications/digital-economy-act-2017-part-5-codes-
of-practice.
Por otro lado, se encuentra la Data Protection Act de 2018 que es la norma general de
tratamiento de datos personales en Reino Unido y que implementa el Reglamento Europeo
de Protección de Datos en la legislación local. El cumplimiento de esta norma es vigilado y
fiscalizado por la Oficina del Comisionado de la Información (Information Commissioner’s
Office o ICO). Cabe destacar que la ICO dictó, en diciembre de 2020, la versión final de su
código de conducta sobre cesiones de datos (Data Sharing Code of Practice), que contiene
una sección particular relativa a la transferencia de datos personales entre organismos
públicos, y que se relaciona directamente con lo establecido en la Digital Economy Act.
Según informa la ICO, cuando los organismos realizan las transferencias de datos bajo la
Digital Economy Act, deben respetar en todo momento la regulación de la Data Protectión
Act y los códigos de conducta que hayan sido dictados.
b) Protocolos para el uso de datos integrados
Uno de los valores del ADR UK es el uso responsable y ético de los datos, en virtud del cual
los datos son anonimizados y disponibilizados en proyectos de investigación que tengan un
fin público. La información que se entrega a los investigadores correspondería a datos
anonimizados. Luego, una vez concluida la investigación, los resultados igualmente están
sujetos a comprobación para garantizar la privacidad de los titulares.
Finalmente, la ADR UK opera mediante un marco denominado “Five Safes” desarrollado

por la Oficina de Estadísticas Nacional, que tiene por objeto establecer resguardos y medidas
para asegurar que los datos integrados estén seguros. Este marco está compuesto por: (i)
Datos seguros; (ii) Personas seguras; (iii) Instalaciones seguras; (iv) Proyectos seguros; y (v)
Resultados seguros.

Como veremos a continuación, el marco de los “Five Safes” también fue adoptado por
Nueva Zelandia en la implementación de su sistema IDI.
2. Nueva Zelandia
El sistema IDI de Nueva Zelandia (“Integrated Data Infraestructure”) es liderado por el

Departamento de Estadística de Nueva Zelandia (o “Stats NZ”) y está compuesto, entre
otros, por elementos técnicos e institucionales establecidos para proveer normas y
condiciones para la administración de grandes volúmenes de datos; así como seguridad en
el acceso y almacenamiento de datos.
Existen tres procesos en el funcionamiento de este sistema IDI: (i) centralización, referido a
la recopilación de datos por Stats NZ; (ii) vinculación, relativo a la vinculación de datos
relativos a una misma persona o empresa; y (iii) anonimización, donde se elimina la
información que permita asociar los datos a determinada persona (se usa la palabra en inglés
“de-identified”). Las categorías de datos de la IDI contemplan datos de salud; educación y
capacitación; beneficios y servicios sociales; sistema judicial; personas y comunidades;
población; ingresos y trabajo; y vivienda.
Del funcionamiento del sistema IDI en Nueva Zelandia, existiría tratamiento de datos
personales por parte de Stats NZ asociado a datos de identificación (ej. nombre, fecha de
nacimiento, edad, sexo, país, número de identificación) que están vinculados con los demás
datos administrativos (ej. información sobre impuestos o educación). Esta información sería
anonimizada antes de ser puesta a disposición de los investigadores y tomadores de
decisiones, de forma que no tengan conocimiento de la identidad de las personas a la cual
hace referencia.
Como marco regulatorio base en Nueva Zelandia identificamos la Privacy Act de 2020 (que
reemplazó a la ley de 1993), la Statistics Act de 1975, y la Public Records Act de 2005.
A nivel de datos personales -propiamente tal- se encuentra la Privacy Act de 2020, que es
fiscalizada por la Oficina del Comisionado de Privacidad (“Office of the Privacy
Commissioner”), un organismo autónomo. El tratamiento de datos personales en el contexto
del sistema IDI debe dar cumplimiento a los trece principios que establece la Privacy Act,
los cuales están referidos a: el propósito de la recolección; la fuente de los datos personales;
la recolección desde los titulares de datos; las formas de recolectar los datos; seguridad y
almacenamiento de datos; acceso a los datos; corrección de datos; calidad de los datos;
retención de datos; límites en el uso de los datos; límites en la divulgación de datos;
divulgación de datos fuera de Nueva Zelandia; e identificadores únicos.
En relación al principio relativo a los limites en la divulgación de datos, cabe señalar que la
regla general que establece la norma es que una agencia (institución) no puede divulgar
información personal salvo que dicha agencia crea de forma razonable, entre otras causales,
que la información va a ser usada para propósitos estadísticos o de investigación, y que no
será publicada en una forma que pueda razonablemente esperarse que se identifique a la
persona en cuestión.
Destacamos también que esta normativa contempla una regulación detallada sobre la cesión
de datos personales, así como la figura de Acuerdos de Intercambio de Información
Aprobados (Approved Information Sharing Agreements – AISA) que son acuerdos formales
que permiten que datos personales sean transferidos entre instituciones para efectos de
entregar servicios públicos. En este contexto, cabe señalar que dentro de los acuerdos de
esta clase que han sido aprobados, se encuentra uno suscrito por el Ministerio de Justicia de
ese país y Stats NZ precisamente para efectos de investigación mediante el uso del sistema
IDI. Este acuerdo está disponible en: https://www.privacy.org.nz/privacy-act-
2020/information-sharing/approved-information-sharing-agreements/.
Por otro lado, a nivel normativo también es relevante la Statistics Act de 1975, que regula
el funcionamiento de Stats NZ, y que contiene disposiciones sobre confidencialidad y
seguridad de la información (la información publicada no debe permitir identificar a una
persona); el uso de la información estadística; y la clase de datos que la entidad puede
requerir y compilar; entre otros elementos. Además de esto, Stats NZ señala que la base de
licitud en virtud de la cual puede integrar datos personales se encuentra comprendida en
las disposiciones y facultades de la Statistics Act.
Por último, en el esquema regulatorio de este sistema también cabe mencionar la Public
Records Act de 2005 que establece requisitos para crear y mantener registros estadísticos en
los organismos públicos en Nueva Zelandia.
El modelo IDI en Nueva Zelandia contempla un marco denominado Five Safes que busca
regular la forma de utilizar los datos integrados por Stats NZ. Este marco cubre los
siguientes cinco aspectos (i) Personas seguras; (ii) Proyectos seguros; (iii) Entornos seguros;
(iv) Datos seguros; y (v) Resultados seguros.
En relación a “Datos seguros”, la Stats NZ elimina los identificadores únicos y la

información identificable antes que los investigadores tengan acceso a los datos. Bajo
“Resultados seguros” los resultados producto de los análisis son revisados para que no
incluyan información que pueda conducir a la identificación de una persona, hogar,
empresa o entidad. A pesar de estos mecanismos, Stats NZ señala que, a partir de
información anonimizada (o “de-identified”) personas específicas igualmente podrían ser
identificadas si es que, con anterioridad, se cuenta con antecedentes de sus características.
Cabe destacar también que este modelo presta mucha atención a la integración de los datos
recolectados. De esta forma, se incluye una evaluación de ética y privacidad de los datos en
este proceso (Data Ethics and Privacy Assessment) que informa, entre otras cosas, el origen
de los datos, los propósitos originales de uso, las obligaciones legales y de privacidad
asociadas, y relaciones con clientes. Estas evaluaciones están basadas en el framework Ngā
Tikanga Paihere y en la Privacy Act de 2020.
Por último, otros aspectos adicionales de seguridad se refieren a la implementación de
laboratorios de datos seguros (Stats NZ Data Lab); servidores de acceso remoto;
Evaluaciones de Impacto de Protección de Datos con anterioridad a cada incorporación de
nuevos datos; y evaluaciones de ética y privacidad de datos. Un documento específico sobre
las Evaluaciones de Impacto de Protección de Datos en el contexto de este sistema IDI se
puede encontrar en: https://www.stats.govt.nz/assets/Uploads/Integrated-data-
infrastructure/idi-overarching-pia.pdf.
3. Canadá
El sistema SDLE (“Social Data Linkage Enviroment”) es liderado por Statistics Canadá y
opera en virtud del Repositorio de Registros Derivados (Derived Record Depository o
“DRD”), una base de datos nacional -dinámica y relacional- de datos administrativos y de
encuestas, que contiene identificadores personales básicos de individuos y que está
vinculada a bases de datos de origen. Cuando los datos en las bases de datos de origen se
actualizan, igualmente lo hace la información del DRD.
Este entorno de vinculación de datos no constituye un sistema IDI en sentido estricto, sino
un sistema que facilita el cruce de datos administrativos existentes.
Bajo la operación del DRD, existe tratamiento de datos personales en cuanto se contienen
datos como nombres, apellidos, fechas de nacimiento, número de seguridad social, estado
civil, dirección, teléfono, fecha de fallecimiento, etc., los cuales se vinculan mediante un
identificador único. Los datos que contienen identificadores personales, solo son manejados
por los funcionarios encargados del proceso de vinculación, mientras que los investigadores
solo acceden a datos anonimizados.
A nivel regulatorio podemos identificar -como normas principales- a la Privacy Act de 1985,
y la Statistics Act de 1985.
La Privacy Act de 1985 es la regulación federal en Canadá que norma el tratamiento de datos
personales por parte del gobierno federal de ese país. Esta ley es fiscalizada por la Oficina
del Comisionado de Privacidad de Canadá (“Office of the Privacy Commissioner of
Canada”), un organismo autónomo.
La sección 4 de esta ley establece la regla general sobre la recolección de datos personales,
indicado que ninguna información personal será recolectada por un organismo público
salvo que se relacione directamente con un programa operativo o una actividad de la
institución.
En relación a la divulgación de información, la sección 8 de esta ley señala que los datos
personales bajo el control de una institución gubernamental no pueden, sin el

consentimiento del titular, ser divulgados salvo, entre otras excepciones, a una persona o
institución para fines estadísticos o de investigación, si el jefe del cedente:
i. Está satisfecho de que el propósito para el cual se divulga la información no se puede

lograr razonablemente a menos que la información se proporcione de una forma que
identifique a la persona con la que se relaciona, y
ii. Obtiene, de la persona u organismo, un compromiso por escrito de que no se hará
ninguna divulgación posterior de la información en una forma que pueda esperarse
razonablemente que identifique a la persona con la que se relaciona.
Por otro lado, la Statistics Act de 1985, que crea Statistics Canada, establece la
confidencialidad de toda la información proporcionada a dicha institución, y que su uso
solo puede ser para fines estadísticos. En esta norma se establecen también regulaciones de
confidencialidad para los funcionarios del organismo, restringiendo la divulgación de los
datos. La regla general se establece en la sección 17, que establece que, salvo por los
propósitos de comunicar información de acuerdo con las condiciones de un convenio
suscrito bajo las secciones 11 o 12 y excepto para fines de un enjuiciamiento, bajo esta ley:
i. Ninguna persona, excepto una persona empleada bajo esta ley, y bajo juramento de la
sección 6, podrá examinar cualquier declaración o información identificable obtenida
para los propósitos de esta norma; y
ii. Ninguna persona que haya prestado juramento bajo la sección 6 divulgará, por cualquier
medio, cualquier información obtenida bajo esta ley de una manera que sea posible, a
partir de la divulgación, relacionar la información obtenida con cualquier individuo
identificable, empresa u organización.
Además de esto, cabe destacar ciertas facultades de Statistics Canada de acceder a

información, que se encuentran en sus secciones 7, 9 y 13. En esta última sección se establece
un norma amplia, estableciendo que una persona que tenga en custodia o a cargo cualquier
clase de documentos o registros que son mantenidos en cualquier departamento u oficina
municipal, corporación, empresa u organización, de la cual se pueda obtener información
solicitada con respecto al objeto de esta ley o que ayude a la completitud o corrección de esa
información, otorgará acceso a la misma para esos propósitos a una persona autorizada por
el Jefe de Estadística para obtener esa información o ayudar a completar o corregir esa
información.
Resulta relevante señalar que el alcance de esta norma ha sido interpretado por la Oficina
del Comisionado de Privacidad de Canadá al conocer de un reclamo realizado por proyectos
de recolección de datos personales impulsados por Statistics Canada. Si bien este análisis no
es específico respecto del sistema SDLE, consideramos que igualmente puede resultar
ilustrativo sobre la forma en que una autoridad de protección de datos analiza las facultades
de un organismo encargado de estadísticas a la luz de la normativa de datos personales, y
que puede servir de experiencia para la forma en que una eventual autoridad de datos
nacional pueda enfrentarse a un sistema IDI en Chile. El análisis realizado se puede revisar
en: https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-
into-federal-institutions/2018-19/pa_20191209_sc/
Statistics Canada contempla diversos mecanismos para mantener los datos del sistema
confidenciales y seguros. Al igual que en Nueva Zelandia, se contempla la realización de
Evaluaciones de Impacto de Protección de Datos. En este punto cabe destacar que el mismo
sistema SDLE efectuó una evaluación de esta clase y cuyo análisis puede revisarse en
https://www.statcan.gc.ca/eng/about/pia/sdle. Dentro de los mayores riesgos
identificados, se observa el tratamiento de datos personales sensibles, de menores de edad,
o de incapaces (legally incompetent individuals). Sin perjuicio de esto, las conclusiones
alcanzadas señalan que no se han identificado problemas pendientes relacionados con la
confidencialidad o seguridad. Como antecedente, agregan que Statistics Canada ha
implementado durante muchos años políticas y prácticas de seguridad que solo
recientemente se están transformando en mejores prácticas en otras organizaciones.
Por último, existen otras medidas de seguridad particulares implementadas, como la

separación de los archivos del SDLE entre archivos de índice de origen (source index files)
y archivos de datos de origen (source data files); medidas de seguridad específicas para el
manejo y acceso a los datos por parte de los trabajadores de Statistics Canada; entre otras.
III. ANÁLISIS DEL SISTEMA IDI BAJO EL PROYECTO DE LEY DE DATOS

PERSONALES
1. Aspectos del Proyecto de Ley que podrían impactar en la factibilidad de implementar

una infraestructura de datos integrados en Chile
a) Aspectos generales: ámbito de aplicación, flujo de datos personales, entidades

involucradas y su calidad bajo el Proyecto de Ley.
Tal como indicamos en un comienzo, los datos administrativos utilizados en un sistema IDI
y que son almacenados por los órganos de la administración del Estado pueden ser de
diversa clase, pudiendo incluso corresponder a datos relativos a personas naturales
identificadas o identificables y que son recolectados en ejercicio de sus funciones públicas,
tales como nombres, fechas de nacimiento, direcciones, información educacional, de salud,
de condenas o infracciones, información tributaria, etc. Estos datos, al referirse a personas
naturales, caen en la categoría de “datos personales” según dispone el artículo 2 letra f) del
Proyecto de Ley, que establece que son datos personales “cualquier información vinculada o
referida a una persona natural identificable o identificable. Se considerará identificable toda persona
cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más
identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos
propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha
persona, excluyendo aquellos casos en que el esfuerzo de identificación sea desproporcionado”. A
contrario sensu, los datos administrativos que no queden comprendidos en la definición
como, por ejemplo, los datos relativos a personas jurídicas no calificaran como datos
personales a la luz del Proyecto de Ley.
Por su parte, el mismo artículo 2 letra ñ) del Proyecto de Ley entiende al “tratamiento de
datos” de forma amplia, como “cualquier operación o conjunto de operaciones o procedimientos
técnicos, de carácter automatizado o no, que permitan recolectar, procesar, almacenar, comunicar,
transmitir o utilizar de cualquier forma datos personales o conjuntos de datos personales”.
Conforme estas definiciones, y en consideración al ámbito de aplicación del Proyecto de Ley

establecido en su artículo 1, cabe concluir que la existencia de datos personales dentro del
conjunto de datos administrativos que sean utilizados en un sistema IDI tendrá como
consecuencia la realización de operaciones que califican de “tratamiento de datos
personales” y, por tanto, que deberán ser llevadas a cabo en Chile por cualquiera de los
participantes (organismos públicos, entidad encargada del sistema, o investigadores) en
cumplimiento a las condiciones que establece el Proyecto de Ley.
Ahora bien, habiendo determinado la aplicación del Proyecto de Ley al uso de datos
personales en el sistema IDI, resulta relevante para la adecuada aplicación de sus normas
entender -al menos de forma general- el flujo que estos datos tendrán en cada etapa,
observando, entre otras cosas, cómo se transferirán los datos personales respecto de cada
organización o individuo y las principales actividades de tratamiento involucradas. De esta
forma, en el sistema IDI se observa que el flujo de datos personales contemplaría, al menos,
las siguientes cinco etapas:
1° Recolección de En una primera etapa los datos personales (como componente

datos. del grupo “datos administrativos”) son recolectados por los
distintos organismos públicos en ejercicio de sus funciones y en
conformidad a las reglas generales que establece el Proyecto de
Ley.
2° Cesión y En esta etapa, los datos personales recolectados en la etapa 1° son
centralización de cedidos o transferidos, por las distintas reparticiones del Estado
datos. asociadas al sistema IDI, a un organismo público encargado de
centralizarlos y cruzarlos.
3° Vinculación o En una tercera etapa, el órgano encargado del sistema IDI
cruce de datos. procede a vincular los datos obtenidos desde los distintos
órganos públicos (incluidos los datos que el organismo ya posee
en conformidad con sus funciones) con el fin de integrarlos y que
resulten útiles para su utilización posterior en investigación.
4° Disponibilización En esta etapa, los datos ya integrados son disponibilizados para
a investigadores. que, luego de una serie de procedimientos de seguridad y
verificación previos, sean utilizados por investigadores u
organismos públicos en el desarrollo de proyectos de interés
público o diseño de políticas públicas. El acceso a estos datos
podría involucrar datos personales (datos no anonimizados o
seudonimizados) o datos no personales (datos anonimizados),
en cuyo caso podríamos estar frente a una cesión o transferencia
de datos conforme la definición del artículo 2 letra v) del
Proyecto de Ley.
Cabe destacar que estos dos escenarios (de datos personales y no

personales) no obstan a que antes de la disponibilización el
organismo encargado haya procedido a la seudonimización de
los datos integrados, los cuales, como veremos más adelante
conforme la definición de este concepto, siguen siendo datos
personales para este organismo particular.
5° Anonimización Finalmente, una vez efectuadas las acciones de investigación
para divulgación. respectiva por los investigadores privados u órganos públicos,
los resultados obtenidos por éstos son revisados por el organismo
encargado de forma de asegurar que los datos que se divulguen
estén anonimizados y, por lo tanto, no puedan ser asociados a
una persona natural.
Figura N°1. Etapas del sistema IDI.
Tomando en consideración este flujo, se puede advertir que desde la perspectiva de datos
personales es posible reconocer a distintos actores cuya calidad y funciones dentro del
sistema IDI es particular y que resulta relevante tener en consideración:
i. Órgano encargado o centralizador. En primer lugar, está el órgano público encargado

o centralizador que conforma la institucionalidad del sistema IDI y que tiene la función
de almacenar y centralizar los datos personales obtenidos desde los órganos de la
administración del Estado, integrarlos y luego gestionar su acceso o disponibilización a
los investigadores y demás entidades públicas.
ii. Órganos públicos. En segundo lugar, están los mismos órganos públicos que tienen la
función de, en el cumplimiento de sus actividades regulares, recolectar, tratar y
almacenar distintas clases de datos personales, y que en este sistema serían los
encargados de cederlos al órgano encargado del sistema IDI.
iii. Investigadores privados y órganos públicos investigadores. En tercer lugar, están los
investigadores y otros organismos públicos que requieren al órgano encargado el acceso
y uso de los datos integrados para efectos de realizar investigaciones con un fin de
interés público. Como ya dijimos, este acceso podría ser a datos personales (por ejemplo,
datos seudonimizados) o datos no personales (datos anonimizados).
iv. Titulares de datos personales. Por último, tenemos a los titulares de datos personales
que corresponderán a todas las personas naturales a las cuales los datos personales que
son almacenados por el órgano encargado se refieren, y que son a quienes el Proyecto
de Ley protege en sus disposiciones.
Tener claridad de los intervinientes en este flujo de datos permite ir definiendo la calidad
que, según el Proyecto de Ley, tendrá cada uno de ellos. Bajo la legislación de datos
personales, el principal obligado corresponde al “responsable de datos”. Esta figura está
definida por el Proyecto de Ley como “toda persona natural o jurídica, pública o privada, que

decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los
datos son tratados directamente por ella o a través de un tercero mandatario o encargado”.
En este contexto, y en el entendido que ninguno de los intervinientes tratará los datos “por
cuenta” de otro responsable, tenemos que concluir que tanto los organismos públicos que
comunicarán los datos, como el organismo encargado del sistema IDI, y los investigadores
que luego intervengan, actuarán todos en la calidad -individual y separada- de responsables
de datos bajo el Proyecto de Ley. Como veremos más adelante, esta calificación resulta del
todo relevante al establecerse, bajo el Proyecto de Ley, una serie de obligaciones para los
responsables de datos.
b) El tratamiento de datos personales y las bases de legalidad aplicable en el contexto

del sistema IDI.
En términos generales, los responsables de datos solo pueden hacer tratamiento de datos
personales cuando están habilitados por una fuente o base de licitud. Las bases de licitud
que reconoce el Proyecto de Ley son diversas y, en ciertas circunstancias, atienden a la
calidad del responsable de datos o a la calidad de datos que se tratan.
Como señalamos anteriormente, en el sistema IDI que estamos revisando los organismos
públicos y los investigadores participarán como responsables de los datos personales que
traten y, en ese contexto, requerirán estar habilitados por una base de licitud de las que
establece el Proyecto de Ley so pena de hacer un tratamiento de datos indebido. Esto es
coherente con el principio de licitud que establece el artículo 3 que señala expresamente que
“los datos personales sólo pueden tratarse con sujeción a la ley”.
En este contexto, resulta necesario revisar las bases de licitud que podrían ser aplicadas por
estos responsables. Conforme se contempla un estatuto particular para los organismos
públicos1, hemos dividido este examen en dos secciones.
i. Bases de legalidad para el órgano público encargado del sistema IDI y los organismos
públicos investigadores.
Los organismos públicos en el sistema IDI pueden actuar en el tratamiento de datos

personales de tres formas diferentes: (i) como órganos públicos que transfieren o ceden
datos personales al órgano encargado (etapa 2° de la Figura N°1); (ii) como órgano
encargado del sistema IDI que recolecta e integra los datos y luego los disponibiliza (etapas
3° y 4° de la Figura N°1); y (iii) como organismo consumidor de datos integrados para
efectos de investigación (etapa 5° de la Figura N°1).
En relación al primer caso, existe una acción de transferencia o cesión de datos personales,
lo cual se encuentra definido en el artículo 2 del Proyecto de Ley como “transferencia de datos
1
El Proyecto de Ley define órganos públicos como “las autoridades, órganos del Estado y organismos,
descritos y regulados por la Constitución Política de la República, y los comprendidos en el inciso segundo del
artículo 1 de la ley N° 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado”.
personales por parte del responsable de datos a otro responsable de datos”. La figura de la cesión
tiene un estatuto particular para los organismos públicos y que veremos más adelante, por
lo que, en estricto rigor y, para efectos del tratamiento “cesión” que realicen en el contexto
del sistema IDI, ellos deberán estar a dicha normativa.
Respecto a los dos otros casos, relativos al organismo encargado del sistema IDI y los
organismos consumidores de datos, ellos realizarán actividades de tratamiento de datos
personales en un sentido amplio que, para estos efectos, deberán estar amparadas por una
base de licitud general. El artículo 20 del Proyecto de Ley establece la base de licitud general
para el tratamiento de datos por órganos públicos indicando que “es lícito el tratamiento de
los datos personales que efectúan los órganos públicos cuando se realiza para el cumplimiento de sus
funciones legales, dentro del ámbito de sus competencias, de conformidad a las normas establecidas
en la ley, y a las disposiciones previstas en este Título. En esas condiciones, los órganos actúan como
responsables de datos y no requieren el consentimiento del titular para tratar sus datos personales”.
Además de esta base de licitud, cabe destacar que el Proyecto de Ley también establece otras
bases de carácter general para cualquier tipo de responsable público o privado. Estas se
encuentran en sus artículos 12 y 13 y corresponden a las siguientes:
- Cuando se haya obtenido el consentimiento del titular;
- Cuando los datos son recolectados de una fuente de acceso público;
- Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter

económico, financiero, bancario o comercial y se realice de conformidad con las
normas del Título III del Proyecto de Ley;
- Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una

obligación legal o lo disponga la ley;
- Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un

contrato entre el titular y el responsable, o para la ejecución de medidas
precontractuales adoptadas a solicitud del titular;
- Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del

responsable o de un tercero, siempre que con ello no se afecten los derechos y
libertades del titular. Respecto de esta base de legalidad, cabe destacar que el artículo
16 quinquies señala que “se entiende que existe un interés legítimo en el tratamiento de
datos personales que realicen las personas naturales o jurídicas, públicas o privadas, incluidos
los organismos públicos, cuando el tratamiento se realiza exclusivamente con fines históricos,
estadísticos, científicos y para estudios o investigaciones que atiendan fines de interés
público”; y
- Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa

de un derecho ante los tribunales de justicia.

Bajo esta perspectiva, los organismos públicos (tanto el encargado del sistema IDI como
aquellos que utilicen los datos para la realización de investigaciones) podrán hacer
tratamiento de datos personales en el contexto del sistema, en cuanto se amparen en una de
estas bases de licitud señaladas. A nuestro juicio, las bases de licitud que podrían servir para
habilitar los tratamientos de datos bajo el sistema IDI -sin necesidad de obtener previamente
el consentimiento de los titulares de datos- dependerán del establecimiento de disposiciones
de rango legal que otorguen a dichos responsables de datos de suficientes facultades o
atribuciones en relación con el sistema IDI. De esta forma, observamos -a nivel general- que
existirían dos escenarios plausibles de aplicación que hemos graficado en la siguiente tabla
junto con las bases de licitud que serían potencialmente aplicables:
Bases de licitud para el órgano público encargado del sistema IDI y para los
organismos públicos investigadores
Escenarios regulatorios Posible base de licitud Antecedente normativo
posibles aplicable al escenario en el Proyecto de Ley
regulatorio descrito
PRIMER ESCENARIO: El 1. La base de licitud relativa al Artículo 20 del Proyecto
tratamiento de datos tratamiento de datos de Ley (Título IV “Del
personales o -al menos- la efectuado en cumplimiento de tratamiento de datos
realización de funciones funciones legales, dentro del personales por los
relacionadas con el sistema ámbito de sus competencias y órganos públicos”).
IDI (que implican en conformidad a las normas
necesariamente un establecidas en el Proyecto de
tratamiento de datos) está Ley.
consagrado en una norma de 2. La base de licitud relativa a Artículo 13 letra c) del
rango legal del organismo un tratamiento de datos Proyecto de Ley (Título
público respectivo. necesario para la ejecución o el II “Del tratamiento de
cumplimiento de una los datos personales y
Por ejemplo, se establece por obligación legal o que lo de las categorías
ley que el Instituto Nacional disponga la ley. especiales de datos
de Estadísticas (“INE”) estará Párrafo Primero “Del
encargado de administrar el consentimiento del
sistema IDI con un catálogo titular, de las
de facultades incluyendo obligaciones y deberes
expresamente el tratamiento del responsable y del
de los datos personales que se tratamiento de datos en
encuentren comprendidos en general”).
los datos administrativos
comunicados por los otros
órganos públicos que
conforman el Estado.
SEGUNDO ESCENARIO: El 1. La base de licitud relativa al Artículo 13 letra e)
tratamiento de datos tratamiento de datos necesario (Título II “Del
personales o la realización de para la satisfacción de interés tratamiento de los datos
funciones relacionadas con el legítimos del responsable o un personales y de las
sistema IDI (que impliquen tercero, siempre que con ello categorías especiales de
necesariamente un no se afecten los derechos y datos Párrafo Primero
tratamiento de datos) no estálibertades del titular. Esto, “Del consentimiento del
consagrado en una norma de teniendo presente lo que titular, de las
rango legal del organismo establece el artículo 16 obligaciones y deberes
público respectivo. quinquies del Proyecto de del responsable y del
Ley, en cuanto a tratarse de un tratamiento de datos en
tratamiento realizado general”).
exclusivamente con fines
históricos, estadísticos,
científicos y para estudios o
investigaciones que atiendan
fines de interés público.
Figura N°2. Base de licitud para organismos públicos.
Dada la entidad del tratamiento que realizará el organismo encargado del sistema IDI,
estimamos que -en principio- para dicha entidad resultará más complejo poder justificar tal
tratamiento únicamente amparado en la base de licitud relativa al “interés legítimo”, por lo
cual, nuestra sugerencia es que se avance con facultades explícitas de tratamiento en una
norma de rango legal, o en su defecto, de atribuciones que den claridad al menos de que,
para su realización, se deberá hacer necesariamente un tratamiento de datos personales en
las condiciones que requiere el sistema IDI. Esto, de forma tal de poder amparar el
tratamiento de datos ya sea en el artículo 20 del Proyecto de Ley, o en la base de licitud
relativa a la ejecución o cumplimiento de una obligación legal o lo disponga la ley.
Por su parte, sería recomendable que estas facultades hagan mención específica a las
categorías especiales de datos personales que podrán ser tratados en el contexto del sistema
IDI (sobre todo respecto de datos sensibles y datos relativos a niños, niñas y adolescentes),
con el fin de evitar toda clase de problemas interpretativos futuros que pudieran surgir en
cuanto al alcance de ellas. Estas categorías especiales de datos son revisadas más adelante.
ii. Bases de legalidad para los investigadores que actúen como privados.
Al no poseer la calidad de organismos públicos y, en consecuencia, no siéndoles aplicables

el artículo 20 del Proyecto de Ley, los investigadores que actúen como privados en el
tratamiento de datos personales del sistema IDI -para fines de investigación de interés
público- deberán amparar ese tratamiento en alguna de las bases descritas en los artículos
12 y 13 del Proyecto de Ley, y que fueron referidas anteriormente. En la misma línea que el
análisis anterior, las bases de licitud aplicables en este caso dependerán fundamentalmente
de la existencia o no de disposiciones de rango legal que otorguen facultades a los
investigadores privados para llevar a cabo este tratamiento, pudiendo configurarse dos
escenarios que se describen en la tabla siguiente:

Bases de licitud para los investigadores que actúen como privados
Escenarios regulatorios Posible base de licitud Antecedente normativo
posibles aplicable al escenario en el Proyecto de Ley
regulatorio descrito
PRIMER ESCENARIO: El 1. La base de licitud relativa a Artículo 13 letra c) del
tratamiento de datos un tratamiento de datos Proyecto de Ley (Título
personales o -al menos- la necesario para la ejecución o el II “Del tratamiento de
realización de funciones de cumplimiento de una los datos personales y
investigación relacionadas obligación legal o que lo de las categorías
con el sistema IDI (que disponga la ley. especiales de datos
implican necesariamente un Párrafo Primero “Del
tratamiento) está consagrado consentimiento del
en una norma de rango legal. titular, de las
obligaciones y deberes
Por ejemplo, en el tenor del del responsable y del
artículo 38 del Proyecto de tratamiento de datos en
Ley que Crea una nueva general”).
institucionalidad del sistema
estadístico nacional (Boletín
N°110372-03) referente a un
“acceso especial a
investigadores” a datos y
estadísticas del INE.
SEGUNDO ESCENARIO: El 1. La base de licitud relativa al Artículo 13 letra e)
tratamiento de datos tratamiento de datos necesario (Título II “Del
personales o la realización de para la satisfacción de interés tratamiento de los datos
funciones de investigación legítimos del responsable o un personales y de las
relacionadas con el sistema tercero, siempre que con ello categorías especiales de
IDI (que impliquen no se afecten los derechos y datos Párrafo Primero
necesariamente un libertades del titular. Esto, “Del consentimiento del
tratamiento) no está teniendo presente lo que titular, de las
consagrado en una norma de establece el artículo 16 obligaciones y deberes
rango legal. quinquies del Proyecto de del responsable y del
Ley, en cuanto a tratarse de un tratamiento de datos en
tratamiento realizado general”).
exclusivamente con fines
históricos, estadísticos,
científicos y para estudios o
investigaciones que atiendan
fines de interés público.
Figura N°3. Base de licitud para investigadores privados.
Al igual que para el caso de los órganos públicos, y sin perjuicio de la existencia de una base
de licitud asociada al “interés legítimo”, por facilidad en su aplicación y menor espacio
interpretativo es preferible que el tratamiento de los investigadores privados sea establecido
o considerado mediante una norma de rango legal como la que está contemplada en el
Proyecto de Ley que Crea una nueva institucionalidad del sistema estadístico nacional.
Ahora bien, como elementos para mejorar ese artículo 38 sugerimos la mención expresa del
sistema IDI y de que los investigadores van a poder, bajo las condiciones y resguardos que
se determinen, efectuar el tratamiento de los datos personales contenidos en los datos que
posea el INE. En caso de que corresponda, también se podría evaluar incorporar en ese
artículo que el tratamiento alcanzará ciertas categorías de datos particulares, como, por
ejemplo, datos relativos a niños, niñas y adolescentes, los cuales estarán sujetos a resguardos
adicionales.
Por último y como comentario general respecto de la base de licitud “interés legítimo”, es
importante señalar que esta base está tomada de lo dispuesto por el Reglamento Europeo
de Protección de Datos, sin embargo su incorporación en Chile tiene ciertos matices que la
hacen diferente de su par europeo. En efecto, el artículo 6 número 1 letra f) de ese
Reglamento establece que el tratamiento será licito si “el tratamiento es necesario para la
satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero,
siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales, en particular cuando
el interesado sea un niño”. Como se observa, existen diferencias en el nivel de afectación
aceptable del titular de datos que sería prudente abordar desde el punto de vista legislativo
en el Proyecto de Ley, de forma de generar mejores condiciones para que su operación
práctica sea efectivamente viable.
c) Categorías de datos personales particulares establecidas en el Proyecto de Ley.
En el Proyecto de Ley se reconocen categorías de datos personales particulares que, por su

relevancia, tienen reglas y bases de tratamiento específicas y que, según estos sean
incorporados dentro de los datos administrativos que serán tratados en el contexto del
sistema IDI, deberán ser tomadas en especial consideración. A continuación,
individualizamos estas categorías junto con las bases de licitud o reglas que mayor
aplicación pueden tener en el contexto del sistema IDI.
i. Datos personales sensibles (art. 16). Bajo el artículo 2 letra g) del Proyecto de Ley, los
datos personales sensibles corresponden a “aquellos datos personales que revelen el origen
étnico o racial, la afiliación política, sindical o gremial, hábitos personales, las convicciones
ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico
humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual
y a la identidad de género de una persona natural”. Además de otras bases de licitud
específicas, estos datos pueden tratarse:
- Cuando se haya obtenido el consentimiento del titular; y
- Cuando lo autorice o mandate expresamente la ley.
ii. Datos personales relativos a la salud y al perfil biológico humano (art. 16 bis). Estos
datos incluyen a los datos genéticos, proteómicos o metabólicos y, entre otras bases
particulares, pueden ser tratados:
- Cuando se haya obtenido el consentimiento del titular;

- Cuando sean utilizados con fines históricos, estadísticos o científicos, para estudios
o investigaciones que atienda fines de interés público o vayan en beneficio de la
salud humana. Los resultados los estudios e investigaciones científicas que utilicen
datos personales relativos a la salud o al perfil biológico, puede ser publicados o
difundidos libremente, debiendo previamente anonimizarse los datos que se
publiquen; y
- Cuando la ley así lo permita e indique expresamente la finalidad que deberá tener
dicho tratamiento.
Este artículo establece, en su inciso final, una aplicación extensiva de estas excepciones
al consentimiento del titular que resulta relevante en el contexto analizado. Este señala
“las excepciones para tratar datos sin el consentimiento mencionado en este artículo se entienden
aplicables al tratamiento de datos que no revisten el carácter especial a que se refiere este
precepto”.
iii. Datos personales biométricos (art. 16 ter). El artículo 16 ter los define como “aquellos
obtenidos a partir de un tratamiento técnico específico, relativo a las características físicas,
fisiológicas o conductuales de una persona que permitan o confirmen la identificación única de
ella, tales como la huella digital, el iris, los rasgos de la mano o faciales y la voz”. Sin perjuicio
de otras bases, estos datos pueden ser tratados:
- Cuando se haya obtenido el consentimiento del titular y sujeto a ciertos deberes
especiales de información;
- Cuando sean utilizados con fines históricos, estadísticos o científicos, para estudios
o investigaciones que atienda fines de interés público o vayan en beneficio de la
salud humana; y
- Cuando la ley así lo permita e indique expresamente la finalidad que deberá tener
dicho tratamiento.
iv. Datos personales relativos a los niños, niñas y adolescentes (art. 16 quater). Estos solo
pueden ser tratados atendiendo a su interés superior y respetando su autonomía
progresiva. Se consideran niños o niñas los menores de catorce años, y adolescentes, a
los mayores de catorce y menores de dieciocho años.
Los datos personales de niños se pueden tratar:

- Cuando se haya obtenido el consentimiento de los padres o representantes legales o
quien tiene a cargo el cuidado personal;
- Cuando lo haya autorizado o mandatado la ley.
Los datos personales de adolescentes se pueden tratar de acuerdo con las normas de
autorización previstas para los adultos, salvo el tratamiento de datos sensibles de
menores de 16 años, que solo se pueden tratar:
- Cuando se haya obtenido el consentimiento de los padres o representantes legales o
quien tiene a cargo el cuidado personal;
- Cuando lo haya autorizado o mandatado la ley.

v. Datos personales con fines históricos, estadísticos, científicos y de estudios o
investigaciones (art. 16 quinquies). Tal como señalamos anteriormente, esta norma
establece la existencia de un “interés legítimo” en el tratamiento de datos personales
exclusivamente con fines históricos, estadísticos, científicos y para estudios o
investigaciones que atiendan fines de interés público.
Esta norma establece que los responsables de datos deben adoptar y acreditar que han
cumplido con “todas las medidas de calidad y seguridad necesarias para resguardar que los
datos se utilicen exclusivamente para tales fines. Cumplidas estas condiciones, el responsable
podrá almacenar y utilizar los datos por un periodo indeterminado de tiempo”. Agrega que “los
responsables que hayan tratado datos personales exclusivamente con estas finalidades podrán
efectuar publicaciones con los resultados y análisis obtenidos, debiendo previamente adoptar las
medidas necesarias para anonimizar los datos que se publiquen”.
vi. Datos de geolocalización (art. 16 sexies). Estos datos no están definidos en el Proyecto
de Ley. En cuanto a las bases de licitud aplicables se remite a los artículos 12 y 13, las
cuales fueron señaladas anteriormente. Para esta clase de datos se agregan ciertos
deberes de información a favor del titular, como por ejemplo, indicando si los datos se
comunicarán o cederán a un tercero para la prestación de un servicio con valor añadido.
Según se puede observar, el Proyecto de Ley contempla un catálogo importante de

categorías especiales de datos con bases de licitud particulares, las cuales deberán ser
evaluadas en detalle conforme los datos que se incorporen al sistema IDI guarden
características que los hagan parte de tales categorías. Sin perjuicio de esto, podemos
observar desde ya que, dentro de las bases de licitud mencionadas anteriormente (distintas
al consentimiento), se comprenden hipótesis que guardan cierta similitud con las bases
identificadas como aplicables en relación a datos personales de carácter general y que
pueden servir -bajo análisis particulares y según sea el caso- de fundamento para realizar el
tratamiento en el contexto de las categorías especiales señaladas. Nos estamos refiriendo a
aquellas vinculadas al cumplimiento de funciones legales (artículo 20), al establecimiento
de atribuciones o facultades en una norma de rango legal (artículo 13 letra c), o asociadas al
interés legítimo del responsable en un contexto de fines exclusivos de investigación (artículo
13 letra e).
Por su parte, hay que señalar que no se advierte con claridad si la base de licitud de “interés
legítimo” vinculada a investigaciones que atiendan fines de interés público podría servir
para amparar el tratamiento de datos sensibles y de datos relativos a niños, niñas y
adolescentes, en cuanto dicha hipótesis no se encuentra mencionada en el artículo 16 ni en
el artículo 16 quater, respectivamente. Tampoco parece que esto sea posible derivar de lo
dispuesto en el artículo 16 quinquies. Abonaría una posición a favor el hecho de que el
artículo 16 bis -sobre datos relativos al perfil biológico humano- establece que las bases de
licitud contenidas allí son de aplicación más allá de esa categoría de datos (“las excepciones
para tratar datos sin el consentimiento mencionado en este artículo se entienden aplicables al
tratamiento de datos que no revisten el carácter especial a que se refiere este precepto”). Sin embargo,
igualmente cabe preguntarse si la aplicación extensiva de esas bases resulta aplicable solo a

datos personales que no forman parte de ninguna categoría especial, o serian también
aplicables a datos de otras categorías, como la de datos sensibles en general.
En este contexto, la sugerencia para abordar este punto sería establecer aclaraciones
específicas en los artículos 16 y 16 quater, en torno a la aplicación de la base de licitud interés
legítimo del responsable en casos de investigación científica para el tratamiento de datos
sensibles y datos relativos a niños, niñas y adolescentes.
d) La cesión de datos personales en el Proyecto de Ley.
Según dijimos, bajo el Proyecto de Ley la cesión de datos personales corresponde a la

transferencia de datos personales por parte del responsable de datos a otro responsable de
datos. En el contexto del sistema IDI y del tratamiento de datos personales, podemos
encontrar la existencia de cesiones de datos en dos etapas: 2° Cesión y centralización de
datos, y 4° Disponibilización a investigadores (según se detallan en la Figura N°1. Etapas
del sistema IDI). En ambas circunstancias la cesión de datos será originada por un órgano
público, ya sea por los órganos que cederán sus datos para que sean integrados por el órgano
encargado en el sistema; o por el órgano encargado cuando, luego de hacer la integración
de datos, los disponibiliza para la realización de investigaciones de interés público.
En este orden de cosas, resulta relevante la regulación que el Proyecto de Ley establece en
su artículo 22 sobre “Comunicación o cesión de datos por un órgano público”. Esta norma
dispone ciertos requisitos para la cesión según el destinatario es un órgano público o no.
i. Cesión de datos desde un órgano público hacía un órgano público. Esta clase de
cesiones se pueden realizar:
- Cuando resulte necesaria para el cumplimiento de sus funciones legales y ambos
órganos actúen dentro del ámbito de sus competencias. La cesión se debe realizar
para un tratamiento específico y el cesionario no puede utilizar los datos para otros
fines.
- Cuando los datos se requieran para un tratamiento que tengan por finalidad otorgar
beneficios al titular.
- Cuando los datos se requieran para evitar duplicidad de trámites para los
ciudadanos o reiteración de requerimientos de información o documentos para los
mismos titulares.
El órgano público receptor de los datos solo puede conservarlos por el tiempo necesario
para efectuar el tratamiento específico para el cual fueron requeridos, luego de lo cual
deberán ser cancelados (eliminados) o anonimizados. Estos datos se podrán almacenar
por un tiempo mayor cuando el órgano público requiere atender reclamaciones o
impugnaciones, realizar actividades de control o seguimiento, o sirvan para dar garantía
de las decisiones adoptadas.
ii. Cesión de datos desde un órgano público hacía una persona o entidad privada. Esta
clase de cesiones se pueden realizar:
- Cuando se cuente con el consentimiento del titular.
- Cuando la cesión sea necesaria para cumplir las funciones del organismo público en
materia de fiscalización o inspección.
Según se observa, existen requisitos particulares para que los organismos públicos realicen
cesiones de datos personales.
En el contexto del sistema IDI, la cesión entre organismos públicos (etapas 2° Cesión y
centralización de datos y 4° Disponibilización a investigadores), podría quedar configurada
bajo la habilitante que permite la cesión “cuando resulte necesaria para el cumplimiento de
sus funciones legales y ambos órganos actúen dentro del ámbito de sus competencias”, para
lo cual se deberán hacer los ajustes normativos en disposiciones de rango legal según
corresponda, por ejemplo, mediante el establecimiento de atribuciones específicas que
permitan expresamente al órgano encargado para requerir datos personales a otros órganos
de la administración para fines del sistema IDI, y que dichos órganos tengan -a
continuación- la obligación de hacer la cesión. Esto podría ser similar a lo que se establece
en el artículo 30 de la Ley N°20.403 que faculta hoy a la Subsecretaria de Hacienda para
requerir, recabar y procesar datos personales relacionados con el ámbito previsional. En este
contexto, a mayor especificidad de la norma legal sobre este aspecto, mayores serán las
facilidades de que los organismos públicos se adhieran sin dificultad al sistema.
No obstante esta habilitante, estimamos que sería adecuado evaluar la incorporación de,
sujeto a estrictos mecanismos de seguridad, una disposición que otorgue mayor flexibilidad
en la cesión entre organismos públicos cuando su utilización esté vinculada a propósitos
estadísticos o de investigación. La regulación dispuesta para los órganos públicos en Chile
es variada y abundante, por lo que disponer únicamente de la habilitante del párrafo
anterior, sin una facultad expresa del órgano encargado, requerirá análisis particulares que
implicarán costos de transacción y que pueden llegar a perjudicar que se transfieran los
datos necesarios. En este contexto, se pueden tomar como alternativa los mecanismos que
han implementado otros países, como Nueva Zelandia o Canadá y que revisamos
anteriormente.
Por su parte, en el caso de cesiones de datos desde el organismo encargado a los

investigadores privados (etapa 4° Disponibilización a investigadores), se advierte que las
habilitantes contempladas en el artículo 22 del Proyecto de Ley son limitadas y, en principio,
no alcanzarían para justificar una cesión de este tipo. Sin perjuicio de esto, cabe destacar que
el Proyecto de Ley contempla una regulación general para la cesión de datos personales en
su artículo 15, que incluye como habilitante de una cesión “cuando existe un interés legítimo
del cedente o cesionario, en los términos previstos en la letra e) del artículo 13”, lo cual podría servir
para justificar una cesión como la que estamos analizando en este caso. De cualquier forma,
dado el carácter especial y específico del artículo 22 y el hecho de que el artículo 15 no es
nombrado dentro de la remisión que hace el artículo 21 (transcrito más adelante), no nos
parece del todo evidente que una cesión de un organismo público pudiera fundarse en dicho
artículo 15, por lo que la sugerencia, para evitar todo problema interpretativo, sería avanzar
con una modificación del actual artículo 22 del Proyecto de Ley, habilitando expresamente
una cesión de datos en este contexto.

Por otro lado, cabe destacar que el artículo 26 del Proyecto de Ley establece que “las
condiciones, modalidades e instrumentos para la comunicación o cesión de datos personales entre
organismos públicos y con personas u organismos privados” se regulará mediante un reglamento.
Esta podría ser una instancia donde -eventualmente- se podrían llegar a abordar algunos
aspectos de las contingencias señaladas anteriormente, no obstante que se deberá evaluar
con cuidado su legalidad y alcance a la luz de la existencia de la reserva legal del artículo 19
numeral 4 de la Constitución Política, y que indicamos en la primera parte de este trabajo.
De esta forma, en el evento que el Proyecto de Ley sea promulgado en su estado actual, y se
concluya la no aplicación de los artículos 15 y 26, podemos estimar que el órgano encargado
requerirá implementar todas las medidas necesarias para que, en la etapa 4° de
Disponibilización a investigadores, solo se permita el acceso a datos anonimizados, al no
disponer de habilitante para una cesión de datos personales.
Por último, y desde una mirada de Derecho Administrativo, cabe destacar que la
Contraloría General de la República ha señalado que la solicitud de datos entre organismos
públicos debe estar amparada por una atribución para dicho requerimiento. En ese contexto,
el organismo encargado del sistema IDI deberá tener facultades para poder exigir que otros
organismos le hagan entrega de esta información. Para mayor detalle sobre esta
interpretación de la Contraloría, véase los dictámenes N°70.293 de 2021; N°25.682 de 2019;
y N°1.780 de 2013.
e) Principios del tratamiento de datos personales y obligaciones de los responsables.
Luego de haber revisado los aspectos relativos a las bases de licitud y la cesión de datos
personales que son necesarios para el funcionamiento del sistema IDI, corresponde
referirnos a aquellos principios que informan el tratamiento de datos en general, y que, en
el contexto de este sistema, deberán ser observados principalmente por el organismo
encargado de centralizar y cruzar los datos que sean recolectados, al tener una injerencia
esencial en su funcionamiento y la posterior disponibilización de los mismos. De esta forma,
encontramos que el artículo 21 del Proyecto de Ley establece que “el tratamiento de datos
personales que realicen los órganos públicos se rige por los principios establecidos en el artículo 3 de
esta ley y los principios generales que rigen la Administración del Estado, especialmente los principios
de coordinación, probidad y eficiencia”.
Los principios del tratamiento de datos consagrados en el artículo 3 del Proyecto de Ley,
desde la óptica del órgano encargado, son los siguientes:
i. Principio de licitud del tratamiento, conforme el cual el órgano encargado solo puede
tratar los datos con sujeción a la ley.
ii. Principio de finalidad, conforme al cual el órgano encargado deberá tratar los datos
según esté determinado por las funciones legales que, dentro de las materias de su
competencia, se encuentre desempeñado en el contexto del sistema IDI.
iii. Principio de proporcionalidad, según el cual el órgano encargado deberá limitar el
tratamiento de datos personales a aquellos que resulten necesarios en relación con los
fines del tratamiento.

iv. Principio de calidad, conforme el cual los datos personales que trate el órgano
encargado deben ser exactos, completos y actuales, en relación con los fines del
tratamiento.
v. Principio de responsabilidad, en virtud del cual el órgano encargado del sistema IDI
será legalmente responsable del cumplimiento de los principios, obligaciones y deberes
de conformidad a la ley.
vi. Principio de seguridad, en virtud del cual el órgano encargado debe garantizar
estándares adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado
o ilícito, y contra su perdida, filtración, daño accidental o destrucción. Estas medidas
deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la
naturaleza de los datos.
vii. Principio de transparencia e información, según el cual el organismo encargado
requerirá mantener de forma accesible a cualquier interesado las políticas y prácticas
sobre el tratamiento de los datos personales.
viii. Principio de confidencialidad, en virtud del cual el organismo encargado, y quienes
tengan acceso a los datos personales, deberán guardar secreto o confidencialidad acerca
de los mismo. El organismo deberá establecer controles y medidas adecuadas para
preservar el secreto o confidencialidad.
Estos principios son de aplicación transversal a los responsables de datos, por lo que
deberán ser también aplicados por parte de los órganos públicos que cedan sus datos al
órgano encargado, así como aquellas entidades que luego accedan a los datos una vez
integrados para llevar a cabo investigaciones de interés público.
En relación a las obligaciones de los responsables propiamente tal que deberá cumplir el
organismo encargado del sistema IDI para el tratamiento de datos personales, el mismo
artículo 21 del Proyecto de Ley establece, para los organismos públicos, que “Sin perjuicio de
las demás normas establecidas en el presente Título, son aplicables al tratamiento de datos que
efectúen los órganos públicos, las disposiciones establecidas en los artículos 2°, 14, 14 bis, 14 ter, 14
quater, 14 quinquies, 14 sexies y 15 bis, los artículos del Párrafo Segundo y Tercero del Título II, los
artículos del Título V y los artículos del Título VII de esta ley. Asimismo, le son aplicables los
artículos 4°, 5°, 6°, 7° y 8°, en conformidad a lo dispuesto en el artículo 23”. Este artículo se remite
a múltiples disposiciones que contienen variadas obligaciones, incluyendo:
i. Obligaciones de información y transparencia (artículo 14 y 14 ter). El organismo

encargado del sistema IDI debe informar y mantener a disposición:
- Los antecedentes que acrediten la licitud del tratamiento de datos;
- La política de tratamiento de datos personales adoptada, la fecha y versión de esta;
- La individualización del responsable de datos y su representante legal y la
identificación del encargado de prevención, si existiere;
- El domicilio postal, la dirección de correo electrónico, el formulario de contacto o la
identificación del medio tecnológico equivalente mediante el cual se notifican al
responsable las solicitudes de los titulares;
- Las categorías, clases o tipos de datos que trata el responsable; la descripción
genérica del universo de personas que comprenden sus bases de datos; los
destinatarios a los que se prevé comunicar o ceder los datos; las finalidades de los
tratamientos que realiza y los tratamientos que se basan en la satisfacción de
intereses legítimos;
- La política y las medidas de seguridad adoptadas para proteger las bases de datos
personas que administra;
- El derecho que le asiste al titular para solicitar ante el responsable, acceso,
rectificación, cancelación, oposición y portabilidad de sus datos personales, de
conformidad a la ley; y
- El derecho que le asiste al titular de recurrir ante el Consejo para la Transparencia y
la Protección de Datos Personales, en caso de que el responsable rechace o no
responda oportunamente las solicitudes que le formule.
ii. Obligaciones generales de tratamiento (artículo 14). El organismo encargado del

sistema IDI debe:
- Asegurar que los datos personales se recojan de fuentes de acceso lícitas, con fines
específicos, explícitos y lícitos, y que su tratamiento se limite al cumplimiento de
estos fines;
- Comunicar o ceder, en conformidad a la ley, información exacta, completa y actual;
- Cumplir con los demás principios y obligaciones que rigen el tratamiento de datos;
iii. Obligaciones asociadas al deber de protección desde el diseño y por defecto (artículo
14 quater). El organismo encargado del sistema IDI debe:
- Aplicar medidas técnicas y organizativas apropiadas con anterioridad y durante el
tratamiento de datos con el fin de cumplir los principios del tratamiento de datos y
los derechos del titular establecidos en la ley. Estas medidas deben considerar el
estado de la técnica, los costos de implementación y la naturaleza, ámbito, contexto
y fines del tratamiento de datos, así como los riesgos.
- Aplicar las medidas técnicas y organizativas para garantizar que, por defecto, sólo
sean objeto de tratamiento los datos personales que sean necesarios para los fines
específicos y determinados del tratamiento.
Respecto de esta obligación en el contexto del sistema IDI, es importante destacar que
un mecanismo que puede contribuir a la protección desde el diseño, son las
Evaluaciones de Impacto de Protección de Datos (DPIA, por sus siglas en inglés) y que,
como vimos, son utilizadas a nivel comparado como forma de proteger de mejor manera
los derechos de los titulares de datos. En términos generales, los DPIA son procesos de
evaluación que permiten identificar y reducir potenciales riesgos involucrados en cierto
tratamiento de datos personales. Sin perjuicio de esto, cabe señalar que las DPIA no
están consideradas actualmente en el Proyecto de Ley, no obstante que estimamos que
podrían ser implementadas voluntariamente como mejores prácticas por el organismo
encargado del sistema.
iv. Obligaciones asociadas al tratamiento de datos por un tercero mandatario o encargado

(artículo 15 bis). Según dispone el artículo 2 letra y) del Proyecto de Ley, el mandatario
o encargado corresponde a “la persona natural o jurídica que trate datos personales, por cuenta
del responsable de datos”. A su turno, el artículo 15 bis dispone de una serie de condiciones
y requisitos para poder hacer un tratamiento de datos mediante la figura del
mandatario, los cuales deberán ser cumplidos por el organismo encargado del sistema
IDI en la medida que requiera esta clase de tratamientos (por ejemplo, almacenamiento
de datos mediante el uso de un proveedor de servicios de tecnología). Entre las
obligaciones, destaca la necesidad de suscribir un contrato entre ambas partes que
establezca el objeto del encargo, la duración de este, la finalidad del tratamiento, el tipo
de datos personales tratados, las categorías de titulares a quienes conciernen los datos,
y los derechos y obligaciones de las partes.
v. Obligaciones asociadas a las transferencias internacionales de datos personales

(Título V). El Título V del Proyecto de Ley detalla las condiciones en las cuales los
responsables de datos van a estar habilitados para la realización de transferencias
internacionales de datos personales. En la medida que el organismo encargado del
sistema IDI contemple la realización de esta clase de actividades de tratamiento, deberá
estar a la regulación que dispone dicho Título.
f) Seguridad y confidencialidad en el tratamiento de datos personales.
La confidencialidad y seguridad de los datos personales que sean tratados en el contexto

del sistema IDI resulta esencial tanto para el adecuado funcionamiento del sistema, como
para el resguardo de los derechos de los titulares de datos. Como ya indicamos, la protección
de datos constituye un derecho fundamental conforme establece el artículo 19 numeral 4 de
nuestra Constitución Política.
En este escenario, y bajo la remisión del artículo 21 respecto de los órganos públicos, el
órgano encargado del sistema IDI deberá, en el tratamiento de datos, cumplir con los
siguientes deberes:
i. Deber de secreto o confidencialidad (artículo 14 bis). Bajo este deber, el organismo

encargado está obligado a mantener secreto o confidencialidad de los datos personales,
salvo cuando el titular los hubiere hecho manifiestamente públicos.
Este artículo también establece que, en caso de que el responsable haya realizado alguna
acción sobre datos personales obtenidos de fuentes de acceso público2, tales como
organizarlos o clasificarlos bajo algún criterio, o combinarlos o complementarlos con
otros datos, “los datos personales que resulten de dicha acción se encontrarán protegidos bajo el
presente deber de secreto o confidencialidad”. Si bien en principio estimamos que esta
obligación podría no tener relación con el organismo encargado por cuanto la
recolección de datos no ocurriría respecto de fuentes de esta clase, igualmente es
importante considerarla pues las actividades de tratamiento se refieren precisamente a
aquellas que va a realizar dicha entidad (“cruzar” e “integrar” los datos).
2
Según dispone la letra i) del artículo 2 del Proyecto de Ley, las fuentes de acceso público son “todas aquellas
bases de datos o conjuntos de datos personales, cuyo acceso o consulta puede ser efectuada en forma lícita
por cualquier persona, siempre que no existan restricciones o impedimentos legales para su acceso u
utilización, tales como listas de colegios profesionales, diario oficial, medios de comunicación o los registros
públicos que disponga la ley”.
Por otro lado, cabe destacar que se establece que este deber de secreto o confidencialidad
no obsta a las comunicaciones o cesiones de datos que deba realizar el responsable en
conformidad a la ley, lo cual deja abierta la posibilidad de las cesiones que comprende
el sistema IDI y que ya revisamos. Por último, el responsable debe adoptar las medidas
necesarias con el objeto de que sus dependientes o las personas naturales o jurídicas que
ejecuten operaciones de tratamiento bajo su responsabilidad, cumplan el deber de
secreto o confidencialidad.
ii. Deber de seguridad y de reporte de vulneraciones (artículo 14 quinquies y 14 sexies).

El organismo encargado debe adoptar las medidas necesarias para resguardar el
cumplimiento del principio de seguridad, considerando el estado actual de la técnica y
los costos de aplicación, junto con la naturaleza, alcance, contexto y fines del tratamiento,
así como la probabilidad de los riesgos y la gravedad de sus efectos en relación con el
tipo de datos tratados. Las medidas deben asegurar la confidencialidad, integridad,
disponibilidad y resiliencia de los sistemas de tratamiento de datos. Asimismo, deberán
evitar la alteración, destrucción, pérdida, tratamiento o acceso no autorizado.
En el artículo 14 sexies se establece una obligación de reporte de las vulneraciones a las

medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración
accidental o ilícita de los datos personales que trate o la comunicación o acceso no
autorizado a dichos datos, cuando exista un riesgo razonable para los derechos y
libertades de los titulares. Según la categoría de datos afectados, estos reportes deberán
ser dirigidos solo al Consejo para la Transparencia y la Protección de Datos Personales
o, a esta entidad y a los titulares de datos afectados.
Cabe destacar que el cumplimiento de estas obligaciones está relacionado con otras
obligaciones que, si bien se encuentran en otros cuerpos normativos, pueden servir para
apoyar el cumplimiento del Proyecto de Ley en este punto. Como ejemplo de ellas
encontramos el artículo 29 de la Ley N°17.374 que fija nuevo texto refundido, coordinado y
actualizado del DFL N°313 de 1960, que aprobara la ley orgánica de dirección estadística y
censos y crea el Instituto Nacional de Estadísticas sobre secreto estadístico; o lo dispuesto
por el Decreto N°83 de 2005 del Ministerio Secretaría General de la Presidencia que aprueba
norma técnica para los órganos de la administración del Estado sobre seguridad y
confidencialidad de los documentos electrónicos.
Por su parte, cabe destacar que dentro de los mecanismos que se han implementado a nivel
comparado para abordar aspectos de seguridad en relación con el acceso a los datos
integrados, se encuentra el marco de referencia de Nueva Zelandia de “Five Safes”
compuesto por los ámbitos de (i) Personas seguras; (ii) Proyectos seguros; (iii) Entornos
seguros; (iv) Datos seguros; y (v) Resultados seguros. Si bien este trabajo no busca
profundizar en mecanismos para abordar cada obligación del Proyecto de Ley, del detalle
de este marco de referencia estimamos relevante recoger -a modo ejemplar- las siguientes
medidas que podrían colaborar en el cumplimiento de los artículos 14 bis y 14 quinquies del
Proyecto de Ley:

- Mecanismos de evaluación previa y adecuada de los investigadores privados a los
cuales se les dará acceso a los datos, que incluya revisión de referencias y
antecedentes que acrediten su capacidad de trabajar con los datos.
- Mecanismos de evaluación de los proyectos respecto de los cuales se solicita el
acceso, para verificar que son de interés público y que se ajustan al estándar
requerido.
- Según corresponda, requerir a los investigadores la realización de Evaluaciones de
Impacto de Protección de Datos en un formato establecido por el organismo
encargado.
- Llevar a cabo Evaluaciones de Impacto de Protección de Datos con anterioridad a
cualquier nuevo procedimiento o medida que involucre un tratamiento de datos
personales importante, como, por ejemplo, una nueva cesión de datos por parte de
un organismo público para efectos de su integración.
- La realización de capacitaciones en protección de datos personales para los
investigadores privados y los organismos públicos que accedan a los datos
integrados.
- La implementación de infraestructura física y tecnológica apropiada y que sea
auditada periódicamente, como laboratorios con nulo o limitado acceso a internet o
a la manipulación de terceros mediante dispositivos tecnológicos, o donde no se
permita la descarga de información (ej. mediante el uso de pendrives).
- Permitir únicamente el acceso a aquellos datos que sean estrictamente necesarios
para el proyecto de investigación que sea aprobado previamente y, en ese grupo, con
preferencia a aquellos que no constituyen datos personales.
- Aplicación de técnicas robustas de seudonimización que separe lógica y físicamente
a los identificadores de los demás datos que sean tratados por el órgano encargado
del sistema IDI.
- Suscripción de acuerdos de confidencialidad por parte de los investigadores a título
personal y también de parte de las instituciones que estén involucradas.
- Obligación de presentar a evaluación previa los resultados obtenidos ante el
organismo encargado y antes de cualquier divulgación a terceros.
- Prohibición de generar resultados que puedan llegar a identificar a personas
naturales.
g) Anonimización y seudonimización.
La anonimización o disociación se encuentra definida en la letra k) del artículo 2 del

Proyecto de Ley como “procedimiento irreversible en virtud del cual un dato personal no puede
vincularse o asociarse a una persona determinada, ni permitir su identificación, por haberse destruido
o eliminado el nexo con la información que vincula, asocia o identifica a esa persona. Un dato
anonimizado deja de ser un dato personal”. A su turno, se define la seudonimización como “el
tratamiento de datos personales que se efectúa de manera tal que ya no puedan atribuirse a un titular
sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté
sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se
atribuyan a una persona natural identificada o identificable”.

Al describir el funcionamiento del sistema IDI, advertimos que existirán al menos dos
instancias que comprenderían la anonimización de datos personales. En la etapa “4°
Disponibilización a investigadores”, en cuyo caso los datos cruzados serían anonimizados
para permitir su acceso a los investigadores privados o los órganos públicos; y en la etapa
“5° Anonimización para divulgación”, respecto de los resultados obtenidos por los
investigadores antes que se permita su divulgación a terceros (conforme Figura N°1. Etapas
del sistema IDI).
Según establece la definición del Proyecto de Ley, un dato anonimizado deja de ser dato
personal, por lo que su tratamiento deja de estar sujeto a dicha normativa. En ese contexto,
por ejemplo, el tratamiento de datos anonimizados por un investigador no estará sujeto al
Proyecto de Ley, no obstante las demás precauciones que se puedan tomar para que tal
condición de “anonimización” se mantenga también a nivel de resultados.
Ahora bien, es importante advertir que el Proyecto de Ley contempla obligatoriamente la

anonimización de datos en relación con algunas bases de licitud:
i. En relación a la base de licitud “interés legítimo”. En efecto, el artículo 16 quinquies,

relativo a la existencia de un interés legítimo cuando el tratamiento se realiza
exclusivamente con fines históricos, estadísticos, científicos y para estudios o
investigaciones que atienda fines de interés público, establece que “los responsables que
hayan tratado datos personales exclusivamente con estas finalidades podrán efectuar
publicaciones con los resultados y análisis obtenidos, debiendo previamente adoptar las medidas
necesarias para anonimizar los datos que se publiquen”.
ii. En relación al tratamiento de datos personales relativos a la salud y al perfil biológico
humano. El artículo 16 bis, establece que esta clase de datos se puede tratar sin el
consentimiento del titular, cuando sean utilizados con fines históricos, estadísticos o
científicos, para estudios o investigaciones que atiendan fines de interés público o vayan
en beneficio de la salud humana. En este contexto, se agrega que “los resultados de los
estudios e investigaciones científicas que utilicen datos personales relativos a la salud o al perfil
biológico, pueden ser publicados o difundidos libremente, debiendo previamente anonimizarse los
datos que se publiquen”.
iii. En relación al tratamiento de datos biométricos. El artículo 16 ter establece que esta
clase de datos podrán tratarse sin el consentimiento del titular en los casos que establece
el artículo que regula el tratamiento de datos personales relativos a la salud y al perfil
biológico humano, y por tanto, se aplicaría lo dispuesto en el artículo 16 bis revisado
anteriormente. En dicho contexto, los resultados de estudios que utilicen datos
personales de carácter biométrico pueden ser publicados o difundidos, debiendo
previamente anonimizarse los datos que se publiquen.
Según se observa, la obligación de anonimización está relacionada específicamente con la

publicación y difusión de resultados obtenidos a partir del tratamiento de datos personales
en contextos de investigación que atienda fines de interés público, lo cual, como ya vimos
en el apartado de bases de licitud, se relaciona profundamente con los tratamientos que
comprende el sistema IDI.

A su vez, dada la descripción del sistema IDI, no vemos que estas obligaciones supongan
una dificultad mayor pues van en la misma línea de su funcionamiento. Sin perjuicio de
esto, es importante observar que el Proyecto de Ley contiene una definición particular de
anonimización que deberá ser considerada especialmente por el órgano encargado del
sistema, de forma de poder hacer una aplicación conforme con lo que requiere la ley y que,
en definitiva, va a requerir de la implementación de procedimientos técnicos y
administrativos robustos para efectivizar y operativizar dicha anonimización, teniendo en
cuenta sobre todo el cambiante estado de la técnica y el desarrollo tecnológico.
Por último, cabe indicar que la seudonimización constituye, en el contexto del Proyecto de
Ley, principalmente un mecanismo de seguridad de los datos personales tratados, y por lo
tanto, una forma en la cual el órgano encargado del sistema IDI podrá, en conjunto con otras
medidas pertinentes, dar cumplimiento a sus obligaciones de confidencialidad y seguridad
que el proyecto dispone para los responsables de datos.
2. Consideraciones finales y propuestas para abordar los alcances realizados
Luego de haber revisado el sistema IDI desde la óptica de aquellas materias del Proyecto de
Ley que, a nuestro juicio, tienen la potencialidad de generar un mayor impacto en su
implementación en Chile, corresponde que abordemos de forma sucinta algunas
consideraciones finales y propuestas para abordar las distintas contingencias que se
esbozaron a lo largo de este trabajo.
a) Aspectos generales de protección de datos personales
i. Sobre el Proyecto de Ley y la LPVP
Luego de haber realizado el análisis descrito, podemos esgrimir la necesidad apremiante de

que en nuestro país se avance con la tramitación legislativa del Proyecto de Ley hasta su
total promulgación y publicación. De los antecedentes revisados, queda de manifiesto que
un proyecto de la envergadura de un sistema IDI requiere de un sistema robusto de
protección de datos personales, no solo por la imperiosa necesidad de resguardar los
derechos específicos de los titulares de datos bajo un estándar adecuado que atienda a las
formas actuales de tratamiento, sino que también por la necesidad de que un sistema como
este sea ampliamente aceptado y respaldado por toda la ciudadanía.
Sin perjuicio de lo anterior, paralelamente hay que considerar que, según la velocidad con
que se generen avances para llevar a efecto el sistema IDI en relación a la velocidad de
tramitación del Proyecto de Ley, deberá evaluarse la conveniencia y necesidad de hacer un
ejercicio similar al desarrollado en este trabajo, pero respecto de la LPVP vigente. Si bien es
un texto legal con una serie de deficiencias, es el texto vigente en Chile en esta materia y que
contiene ciertas obligaciones de tratamiento que son aplicables a los responsables de datos.
ii. Sobre otras normas y proyectos de ley que resulten atingentes

Por su parte, cabe destacar que cualquier implementación de un sistema IDI, ya sea se
encuentre o no vigente el Proyecto de Ley, deberá tener presente las distintas normas
particulares y sectoriales del ordenamiento jurídico que puedan tener implicancia en su
funcionamiento desde un punto de vista de protección de datos personales. De forma
meramente ejemplar, identificamos los siguientes cuerpos normativos:
- Ley N°20.584 que regula los derechos y deberes que tienen las personas en relación
acciones vinculadas a su atención en salud.
- Ley N°20.575 que establece el principio de finalidad en el tratamiento de datos
personales.
- Ley N°21.180 sobre transformación digital del Estado.
- Decreto Ley N°830 Código Tributario.
- Decreto con Fuerza de Ley N°3 que fija texto refundido, sistematizado y concordado
de la ley general de bancos y de otros cuerpos legales que se indican.
El ejercicio anterior también corresponderá hacerlo respecto de aquellos proyectos de ley en

tramitación que puedan tener influencia en la implementación de un sistema IDI, ya sea
para trata de promover su avance en caso de ser necesario, o de levantar -antes de su
promulgación- todos aquellos problemas o dificultades que se puedan atisbar. Entre estos
proyectos advertimos, al menos:
- Proyecto de ley que establece normas sobre delitos informáticos, deroga la ley
N°19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al convenio de
Budapest (Boletín 12.192-25).
- Proyecto de Ley que Crea una nueva institucionalidad del sistema estadístico
nacional (Boletín N°110372-03).
- Futuro proyecto de ley que cree una nueva agencia nacional de ciberseguridad.
b) Aspectos particulares del Proyecto de Ley
Según analizamos, en el Proyecto de Ley existen ciertos aspectos que requieren ser
abordados para posibilitar o mejorar las condiciones de implementación de un sistema IDI
en Chile en los términos que fue descrito al inicio de este trabajo. Con este fin, consideramos
recomendable avanzar, el menos, en los siguientes puntos.
i. En relación a las bases de licitud que habiliten el tratamiento de datos
- Se debería avanzar, sujeto a estándares adecuados de protección, en la consagración

-por norma de rango legal- de atribuciones y facultades que permitan el tratamiento
de datos personales en el contexto del sistema IDI, fundamentalmente para el órgano
que sea encargado de la centralización y cruce, de forma de poder configurar
habilitantes del tratamiento basadas en la base de licitud del artículo 20 del Proyecto
de Ley, o en la base de licitud relativa a la ejecución o cumplimiento de una
obligación legal o lo disponga la ley. Idealmente se deberán consagrar atribuciones
explícitas de recolección y entrega de datos, su integración, y posterior
disponibilización en los términos del sistema IDI. Estas facultades deberán tener en
consideración las categorías especiales de datos personales que se requerirán tratar
bajo el sistema, tomando en cuenta los requisitos propios de la base en cada categoría
(por ejemplo, en el caso de los datos biométricos, la base de licitud vinculada a la ley
requiere que esta “indique expresamente la finalidad que deberá tener dicho tratamiento”).
- Por su parte, dado que también existen aspectos del tratamiento que podrían verse
amparados por la base de licitud relativa al “interés legítimo” del responsable (sobre
todo para el caso de investigadores privados), estimamos recomendable avanzar
hacia una configuración de esta base que se acerque a lo que dispone el Reglamento
Europeo de Protección de Datos, particularmente en lo que tiene que ver con el nivel
de afectación del titular de datos.
- También respecto del interés legítimo, estimamos apropiado avanzar en una

evaluación en detalle de la situación de las categorías especiales de datos
contempladas en el Proyecto de Ley, particularmente lo que tiene que ver con los
datos de carácter sensible y los datos de niños, niñas y adolescentes, en donde la
norma propuesta hasta ahora no otorgaría suficiente claridad sobre la aplicación de
la base de licitud de interés legítimo del responsable en contextos de una
investigación que atienda fines de interés público.
ii. En relación a las cesiones de datos personales.
- En el caso de las cesiones de datos entre organismos públicos, estimamos que

deberán hacerse los ajustes regulatorios -preferentemente en la normativa legal del
órgano encargado del sistema- que permitan circunscribirlas en la habilitante del
Proyecto de Ley que admite las cesiones necesarias para el cumplimiento de las
funciones legales y ambos órganos actúan dentro del ámbito de sus competencias.
Sin perjuicio de esto, sería recomendable evaluar la posibilidad de incorporar
disposiciones que otorguen flexibilidad en cesiones de datos cuando su utilización
esté vinculada a propósitos estadísticos o de investigación asociados a fines de
interés público.
- Respecto de las cesiones de datos desde el órgano encargado hacia los investigadores
privados, consideramos que -en principio- el catálogo de habilitante no resultaría
suficiente para justificar cesiones de datos personales de esta clase y, por lo tanto, se
requeriría una modificación en el Proyecto de Ley que otorgue la posibilidad de
realizarlas sin problemas, sujeto a estándares adecuados de protección y
acreditación previa de los cesionarios.
- Por último, estimamos apropiado revisar en detalle la forma en la cual se irán

efectuado -en la práctica- las cesiones de datos una vez el sistema se implemente.
Dada la relevancia que esta clase de datos tiene para los derechos de los titulares,
sugerimos que su cesión vaya sujeta a medidas rigurosas de cuidado y que cada
cesión sea paulatina, verificando en cada caso los riesgos a los derechos que puedan
presentarse (por ejemplo, mediante Evaluaciones de Impacto de Protección de

Datos), así como la regulación sectorial que también pudiera ser atingente de
analizar.
iii. En relación a las obligaciones de tratamiento para los responsables de datos
- Estimamos relevante promover el reconocimiento, en el Proyecto de Ley, de las

Evaluaciones de Impacto de Protección de Datos y su establecimiento como un
requisito necesario para llevar a cabo ciertas actividades de tratamiento que
pudieran resultar en un riesgo para los derechos de los titulares, tales como el
tratamiento masivo de datos administrativos para efectos de su integración.
- En materia de confidencialidad y seguridad nos remitimos a las recomendaciones

expresadas en la sección correspondiente. Sin perjuicio de esto, recomendamos -para
el funcionamiento del sistema- que se avance en el establecimiento de requisitos o
condiciones diferenciadas para el acceso a los datos integrados según criterios de
sensibilidad, detalle, volumen, u otro que sea relevante.
- Por último, creemos esencial seguir profundizando en los sistemas implementados

por otros países pioneros en esta materia desde un punto de vista regulatorio, de
forma de poder tomar las mejores prácticas, sin perder de vista la realidad nacional,
sus recursos y su tradición jurídica continental.


CPLT. Informe Jurídico IDI-Proyecto de Ley 10.21

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CPLT. Informe Jurídico IDI-Proyecto de Ley 10.21

Cargado por

Copyright:

Formatos disponibles

INFORME SOBRE INFRAESTRUCTURA DE DATOS INTEGRADOS Y SU

COMPATIBILIDAD BAJO EL PROYECTO DE LEY DE DATOS PERSONALES

En el marco del convenio de colaboración y transferencia de recursos entre la Universidad

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 1

1. Los sistemas de infraestructura de datos integrados buscan potenciar el uso de datos

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 2

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 3

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 4

Un “sistema de infraestructura de datos integrados” podemos entenderlo, en términos

En consideración a la gran dificultad técnica de la anonimización efectiva en los términos

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 5

A su turno, cabe destacar que la regulación a nivel legal se encuentra establecida

a) Principios regulados de forma inorgánica y deficiente;

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 6

a) Principios. Establecimiento expreso de los principios aplicables al tratamiento de

II. MODELOS COMPARADOS DE SISTEMAS IDI DESDE UNA PERSPECTIVA DE

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 7

En el funcionamiento de la ADR UK se identifican tres grandes etapas, (i) una primera

a) Regulación relevante en datos personales

El funcionamiento de este sistema en Reino Unido -a nivel de datos personales- se ampara

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 8

b) Protocolos para el uso de datos integrados

Finalmente, la ADR UK opera mediante un marco denominado “Five Safes” desarrollado

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 9

El sistema IDI de Nueva Zelandia (“Integrated Data Infraestructure”) es liderado por el

a) Regulación relevante en datos personales

b) Protocolos para el uso de datos integrados

En relación a “Datos seguros”, la Stats NZ elimina los identificadores únicos y la

a) Regulación relevante en datos personales

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 12

i. Está satisfecho de que el propósito para el cual se divulga la información no se puede

Además de esto, cabe destacar ciertas facultades de Statistics Canada de acceder a

Por último, existen otras medidas de seguridad particulares implementadas, como la

III. ANÁLISIS DEL SISTEMA IDI BAJO EL PROYECTO DE LEY DE DATOS

1. Aspectos del Proyecto de Ley que podrían impactar en la factibilidad de implementar

a) Aspectos generales: ámbito de aplicación, flujo de datos personales, entidades

Conforme estas definiciones, y en consideración al ámbito de aplicación del Proyecto de Ley

1° Recolección de En una primera etapa los datos personales (como componente

Cabe destacar que estos dos escenarios (de datos personales y no

Figura N°1. Etapas del sistema IDI.

i. Órgano encargado o centralizador. En primer lugar, está el órgano público encargado

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 16

b) El tratamiento de datos personales y las bases de legalidad aplicable en el contexto

Los organismos públicos en el sistema IDI pueden actuar en el tratamiento de datos

- Cuando los datos son recolectados de una fuente de acceso público;

- Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter

- Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una

- Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un

- Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del

- Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 18

Al no poseer la calidad de organismos públicos y, en consecuencia, no siéndoles aplicables

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 20

c) Categorías de datos personales particulares establecidas en el Proyecto de Ley.

En el Proyecto de Ley se reconocen categorías de datos personales particulares que, por su

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 22

Los datos personales de niños se pueden tratar:

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 23

Según se puede observar, el Proyecto de Ley contempla un catálogo importante de

Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 24

d) La cesión de datos personales en el Proyecto de Ley.

Según dijimos, bajo el Proyecto de Ley la cesión de datos personales corresponde a la

Por su parte, en el caso de cesiones de datos desde el organismo encargado a los