Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CPLT. Informe Jurídico IDI-Proyecto de Ley 10.21
CPLT. Informe Jurídico IDI-Proyecto de Ley 10.21
DJ/UNR 10.2021
Este trabajo se ha estructurado en tres secciones. Una primera sección que contempla una
mención general al sistema de infraestructura de datos integrados a tomar de referencia; así
como una revisión de aspectos generales que son relevantes para el análisis desde un punto
de vista de protección de datos personales. En la segunda sección de este trabajo, se hace
una revisión comparada, desde una perspectiva de protección de datos personales, de los
modelos de sistemas IDI existentes en Reino Unido, Nueva Zelandia, y Canadá. Por último,
en la tercera sección y final, se analiza la figura del sistema IDI desde la óptica del Proyecto
de Ley y donde nos referimos a aquellas materias específicas que, de ser aprobado, podrían
resultar de mayor impacto para su implementación en nuestro país. Esta sección concluye
con nuestras consideraciones finales y algunas recomendaciones para abordar las
contingencias observadas.
Cabe señalar que el Proyecto de Ley corresponde a un texto que todavía no constituye ley
de la República y, en ese contexto, no ha sido todavía interpretado judicial ni
administrativamente por los órganos competentes. Por su parte, al tener tal calidad, las
normas citadas pueden ser susceptibles de modificación en el transcurso del proceso
legislativo restante.
Para elaborar este informe se celebraron dos reuniones con el equipo de la Universidad
Adolfo Ibáñez contraparte del Convenio, y se compartieron una serie de documentos de
apoyo. El texto del Proyecto de Ley utilizado en este trabajo corresponde a aquel aprobado
por la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado en primer
trámite constitucional.
1. Descripción general
Por otra parte, entendemos a los “datos administrativos” de forma amplia como aquellos
datos que son recogidos y tratados por los diferentes órganos de la administración del
Estado y que, en la lógica de un sistema IDI, serán entregados o cedidos a una entidad
encargada de integrarlos y de operar el sistema. Estos datos pueden cubrir toda clase de
información, incluyendo datos personales -conforme la definición que veremos más
adelante- e información recogida directamente por los organismos desde los ciudadanos y
las organizaciones en el contexto de sus atribuciones y funciones establecidas en la ley como,
por ejemplo, cuando estas realizan transacciones, prestan un servicio público, realizan
encuestas o deben llevar un registro mandatado por el legislador.
En este escenario, identificamos que en torno a un sistema IDI confluyen diversos actores,
incluyendo ciudadanos y empresas; órganos de la administración del Estado; e
investigadores privados. Por su parte, conforme señalan sus proponentes, de la
implementación de un sistema como este se pueden generar diversos beneficios para el país
y sus ciudadanos, permitiendo la elaboración de mejores políticas públicas y de
conocimiento útil y relevante.
Según señalamos, este análisis busca relacionar la implementación de un sistema IDI con el
Proyecto de Ley; para lo cual resulta necesario tener presente ciertos aspectos básicos y
generales sobre protección de datos personales que son esenciales para contextualizar este
trabajo.
En primer lugar, cabe señalar que desde el año 2018 la Constitución Política de la República
consagra expresamente la garantía fundamental de protección de datos personales,
estableciendo que la Constitución asegura a todas las personas “El respeto y protección a la
vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales.
El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la
ley”. Esta consagración implicó la creación de una reserva legal especial que se sumó a la
reserva legal general de las normas que regulen o complementen garantías constitucionales,
establecida en el numeral 26 del artículo 19, relacionada con el numeral 2 del artículo 63
sobre materias de ley, ambos de la Constitución Política. En aplicación de esta reserva, las
normas que regulen el tratamiento y protección de datos personales deberán siempre
adoptar la forma de una ley, excluyéndose por tanto las formas infralegales de regulación.
No obstate estas críticas, en la medida que el Proyecto de Ley no sea aprobado por el
Congreso Nacional, cualquier iniciativa que tenga como fin la creación de un sistema IDI
deberá ser también analizado, a nivel de datos personales, desde la óptica de su ajuste con
la LPVP.
Por último, en cuanto al Proyecto de Ley, cabe mencionar que este se encuentra actualmente
en discusión en la Comisión de Hacienda del Senado en su primer trámite constitucional.
Luego de no haber tenido movimiento legislativo por más de un año, recientemente se
retomó su discusión en dicha comisión el día 29 de junio de 2021, circunstancia en la cual
los senadores debatieron sobre la futura autoridad y su presupuesto. En términos
sustantivos, este proyecto busca modificar la LPVP, creando una autoridad de control
administrativa y mejorando el estándar de protección de datos personales acercándolo al
dispuesto por el Reglamento Europeo de Protección de Datos. Entre las modificaciones que
se contemplan, se pueden destacar:
La implementación de sistemas IDI, dada sus ventajas, se han replicado en varios países
alrededor del mundo bajo diversas perspectivas y modelos. En este contexto, se ha
determinado adecuado para este análisis revisar los modelos implementados en Reino
1. Reino Unido
El Administrative Data Research (“ADR UK”) es una asociación fundada por la Economic
& Social Research Council y compuesta por la ADR de Inglaterra, la ADR de Irlanda del
Norte, la ADR de Escocia, la ADR de Gales y la Oficina Nacional de Estadísticas (“ONS”), y
que es coordinada por un Centro Estratégico (“Strategic Hub”). Esta tiene dentro de sus
valores el uso responsable y ético de los datos.
Las categorías de datos almacenados comprenden datos del censo de Reino Unido; de
encuestas; de estudios longitudinales; micro datos de empresas; datos cualitativos y de
métodos mixtos; entre otros.
La Digital Economy Act establece un marco normativo que permite la cesión de datos
personales entre distintos órganos públicos con el objetivo de mejorar los servicios públicos
mediante el uso de los datos asegurando, a su vez, la privacidad de la información. Por su
parte, esta ley también establece un mecanismo legal para que investigadores puedan tener
acceso a los datos administrativos de forma segura, el cual se encuentra detallado en el
Capítulo 5 de la Parte 5 de dicha norma, relativo a la cesión para objetivos de investigación
(Sharing for research purposes). En efecto, su artículo 64 señala, a grandes rasgos que,
información en poder de una autoridad pública en relación con sus funciones puede ser
divulgada a otra persona para los propósitos de investigación que esté llevando a cabo o
que se vayan a realizar. Si la información es de carácter personal, no se puede divulgar, a
menos que se cumplan una serie de condiciones, tales como:
i. Que la información que identifica a una persona sea procesada antes de la divulgación
para que la identidad de la persona no se especifique en la información, y que no sea
razonablemente probable que la identidad de la persona se deduzca de ella.
ii. Que cada persona que esté involucrada en el tratamiento de la información para su
divulgación tome medidas razonables para (i) minimizar el riesgo de divulgación
accidental de la información; y (ii) evite la divulgación deliberada de dicha información.
En relación con este último punto cabe destacar que se han dictado varios códigos de
conducta relativos a la Digital Economy Act que son importantes para las entidades
participantes. Estos códigos se pueden encontrar en
https://www.gov.uk/government/publications/digital-economy-act-2017-part-5-codes-
of-practice.
Por otro lado, se encuentra la Data Protection Act de 2018 que es la norma general de
tratamiento de datos personales en Reino Unido y que implementa el Reglamento Europeo
de Protección de Datos en la legislación local. El cumplimiento de esta norma es vigilado y
fiscalizado por la Oficina del Comisionado de la Información (Information Commissioner’s
Office o ICO). Cabe destacar que la ICO dictó, en diciembre de 2020, la versión final de su
código de conducta sobre cesiones de datos (Data Sharing Code of Practice), que contiene
una sección particular relativa a la transferencia de datos personales entre organismos
públicos, y que se relaciona directamente con lo establecido en la Digital Economy Act.
Según informa la ICO, cuando los organismos realizan las transferencias de datos bajo la
Digital Economy Act, deben respetar en todo momento la regulación de la Data Protectión
Act y los códigos de conducta que hayan sido dictados.
Uno de los valores del ADR UK es el uso responsable y ético de los datos, en virtud del cual
los datos son anonimizados y disponibilizados en proyectos de investigación que tengan un
fin público. La información que se entrega a los investigadores correspondería a datos
anonimizados. Luego, una vez concluida la investigación, los resultados igualmente están
sujetos a comprobación para garantizar la privacidad de los titulares.
2. Nueva Zelandia
Existen tres procesos en el funcionamiento de este sistema IDI: (i) centralización, referido a
la recopilación de datos por Stats NZ; (ii) vinculación, relativo a la vinculación de datos
relativos a una misma persona o empresa; y (iii) anonimización, donde se elimina la
información que permita asociar los datos a determinada persona (se usa la palabra en inglés
“de-identified”). Las categorías de datos de la IDI contemplan datos de salud; educación y
capacitación; beneficios y servicios sociales; sistema judicial; personas y comunidades;
población; ingresos y trabajo; y vivienda.
Del funcionamiento del sistema IDI en Nueva Zelandia, existiría tratamiento de datos
personales por parte de Stats NZ asociado a datos de identificación (ej. nombre, fecha de
nacimiento, edad, sexo, país, número de identificación) que están vinculados con los demás
datos administrativos (ej. información sobre impuestos o educación). Esta información sería
anonimizada antes de ser puesta a disposición de los investigadores y tomadores de
decisiones, de forma que no tengan conocimiento de la identidad de las personas a la cual
hace referencia.
Como marco regulatorio base en Nueva Zelandia identificamos la Privacy Act de 2020 (que
reemplazó a la ley de 1993), la Statistics Act de 1975, y la Public Records Act de 2005.
A nivel de datos personales -propiamente tal- se encuentra la Privacy Act de 2020, que es
fiscalizada por la Oficina del Comisionado de Privacidad (“Office of the Privacy
Commissioner”), un organismo autónomo. El tratamiento de datos personales en el contexto
del sistema IDI debe dar cumplimiento a los trece principios que establece la Privacy Act,
los cuales están referidos a: el propósito de la recolección; la fuente de los datos personales;
la recolección desde los titulares de datos; las formas de recolectar los datos; seguridad y
almacenamiento de datos; acceso a los datos; corrección de datos; calidad de los datos;
retención de datos; límites en el uso de los datos; límites en la divulgación de datos;
divulgación de datos fuera de Nueva Zelandia; e identificadores únicos.
En relación al principio relativo a los limites en la divulgación de datos, cabe señalar que la
regla general que establece la norma es que una agencia (institución) no puede divulgar
información personal salvo que dicha agencia crea de forma razonable, entre otras causales,
que la información va a ser usada para propósitos estadísticos o de investigación, y que no
Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 10
www.consejotransparencia.cl
será publicada en una forma que pueda razonablemente esperarse que se identifique a la
persona en cuestión.
Destacamos también que esta normativa contempla una regulación detallada sobre la cesión
de datos personales, así como la figura de Acuerdos de Intercambio de Información
Aprobados (Approved Information Sharing Agreements – AISA) que son acuerdos formales
que permiten que datos personales sean transferidos entre instituciones para efectos de
entregar servicios públicos. En este contexto, cabe señalar que dentro de los acuerdos de
esta clase que han sido aprobados, se encuentra uno suscrito por el Ministerio de Justicia de
ese país y Stats NZ precisamente para efectos de investigación mediante el uso del sistema
IDI. Este acuerdo está disponible en: https://www.privacy.org.nz/privacy-act-
2020/information-sharing/approved-information-sharing-agreements/.
Por otro lado, a nivel normativo también es relevante la Statistics Act de 1975, que regula
el funcionamiento de Stats NZ, y que contiene disposiciones sobre confidencialidad y
seguridad de la información (la información publicada no debe permitir identificar a una
persona); el uso de la información estadística; y la clase de datos que la entidad puede
requerir y compilar; entre otros elementos. Además de esto, Stats NZ señala que la base de
licitud en virtud de la cual puede integrar datos personales se encuentra comprendida en
las disposiciones y facultades de la Statistics Act.
Por último, en el esquema regulatorio de este sistema también cabe mencionar la Public
Records Act de 2005 que establece requisitos para crear y mantener registros estadísticos en
los organismos públicos en Nueva Zelandia.
El modelo IDI en Nueva Zelandia contempla un marco denominado Five Safes que busca
regular la forma de utilizar los datos integrados por Stats NZ. Este marco cubre los
siguientes cinco aspectos (i) Personas seguras; (ii) Proyectos seguros; (iii) Entornos seguros;
(iv) Datos seguros; y (v) Resultados seguros.
Cabe destacar también que este modelo presta mucha atención a la integración de los datos
recolectados. De esta forma, se incluye una evaluación de ética y privacidad de los datos en
este proceso (Data Ethics and Privacy Assessment) que informa, entre otras cosas, el origen
de los datos, los propósitos originales de uso, las obligaciones legales y de privacidad
asociadas, y relaciones con clientes. Estas evaluaciones están basadas en el framework Ngā
Tikanga Paihere y en la Privacy Act de 2020.
Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 11
www.consejotransparencia.cl
Por último, otros aspectos adicionales de seguridad se refieren a la implementación de
laboratorios de datos seguros (Stats NZ Data Lab); servidores de acceso remoto;
Evaluaciones de Impacto de Protección de Datos con anterioridad a cada incorporación de
nuevos datos; y evaluaciones de ética y privacidad de datos. Un documento específico sobre
las Evaluaciones de Impacto de Protección de Datos en el contexto de este sistema IDI se
puede encontrar en: https://www.stats.govt.nz/assets/Uploads/Integrated-data-
infrastructure/idi-overarching-pia.pdf.
3. Canadá
El sistema SDLE (“Social Data Linkage Enviroment”) es liderado por Statistics Canadá y
opera en virtud del Repositorio de Registros Derivados (Derived Record Depository o
“DRD”), una base de datos nacional -dinámica y relacional- de datos administrativos y de
encuestas, que contiene identificadores personales básicos de individuos y que está
vinculada a bases de datos de origen. Cuando los datos en las bases de datos de origen se
actualizan, igualmente lo hace la información del DRD.
Este entorno de vinculación de datos no constituye un sistema IDI en sentido estricto, sino
un sistema que facilita el cruce de datos administrativos existentes.
Bajo la operación del DRD, existe tratamiento de datos personales en cuanto se contienen
datos como nombres, apellidos, fechas de nacimiento, número de seguridad social, estado
civil, dirección, teléfono, fecha de fallecimiento, etc., los cuales se vinculan mediante un
identificador único. Los datos que contienen identificadores personales, solo son manejados
por los funcionarios encargados del proceso de vinculación, mientras que los investigadores
solo acceden a datos anonimizados.
A nivel regulatorio podemos identificar -como normas principales- a la Privacy Act de 1985,
y la Statistics Act de 1985.
La Privacy Act de 1985 es la regulación federal en Canadá que norma el tratamiento de datos
personales por parte del gobierno federal de ese país. Esta ley es fiscalizada por la Oficina
del Comisionado de Privacidad de Canadá (“Office of the Privacy Commissioner of
Canada”), un organismo autónomo.
La sección 4 de esta ley establece la regla general sobre la recolección de datos personales,
indicado que ninguna información personal será recolectada por un organismo público
salvo que se relacione directamente con un programa operativo o una actividad de la
institución.
En relación a la divulgación de información, la sección 8 de esta ley señala que los datos
personales bajo el control de una institución gubernamental no pueden, sin el
Por otro lado, la Statistics Act de 1985, que crea Statistics Canada, establece la
confidencialidad de toda la información proporcionada a dicha institución, y que su uso
solo puede ser para fines estadísticos. En esta norma se establecen también regulaciones de
confidencialidad para los funcionarios del organismo, restringiendo la divulgación de los
datos. La regla general se establece en la sección 17, que establece que, salvo por los
propósitos de comunicar información de acuerdo con las condiciones de un convenio
suscrito bajo las secciones 11 o 12 y excepto para fines de un enjuiciamiento, bajo esta ley:
i. Ninguna persona, excepto una persona empleada bajo esta ley, y bajo juramento de la
sección 6, podrá examinar cualquier declaración o información identificable obtenida
para los propósitos de esta norma; y
ii. Ninguna persona que haya prestado juramento bajo la sección 6 divulgará, por cualquier
medio, cualquier información obtenida bajo esta ley de una manera que sea posible, a
partir de la divulgación, relacionar la información obtenida con cualquier individuo
identificable, empresa u organización.
Resulta relevante señalar que el alcance de esta norma ha sido interpretado por la Oficina
del Comisionado de Privacidad de Canadá al conocer de un reclamo realizado por proyectos
de recolección de datos personales impulsados por Statistics Canada. Si bien este análisis no
es específico respecto del sistema SDLE, consideramos que igualmente puede resultar
ilustrativo sobre la forma en que una autoridad de protección de datos analiza las facultades
de un organismo encargado de estadísticas a la luz de la normativa de datos personales, y
que puede servir de experiencia para la forma en que una eventual autoridad de datos
nacional pueda enfrentarse a un sistema IDI en Chile. El análisis realizado se puede revisar
en: https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-
into-federal-institutions/2018-19/pa_20191209_sc/
Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 13
www.consejotransparencia.cl
b) Protocolos para el uso de datos integrados
Statistics Canada contempla diversos mecanismos para mantener los datos del sistema
confidenciales y seguros. Al igual que en Nueva Zelandia, se contempla la realización de
Evaluaciones de Impacto de Protección de Datos. En este punto cabe destacar que el mismo
sistema SDLE efectuó una evaluación de esta clase y cuyo análisis puede revisarse en
https://www.statcan.gc.ca/eng/about/pia/sdle. Dentro de los mayores riesgos
identificados, se observa el tratamiento de datos personales sensibles, de menores de edad,
o de incapaces (legally incompetent individuals). Sin perjuicio de esto, las conclusiones
alcanzadas señalan que no se han identificado problemas pendientes relacionados con la
confidencialidad o seguridad. Como antecedente, agregan que Statistics Canada ha
implementado durante muchos años políticas y prácticas de seguridad que solo
recientemente se están transformando en mejores prácticas en otras organizaciones.
Tal como indicamos en un comienzo, los datos administrativos utilizados en un sistema IDI
y que son almacenados por los órganos de la administración del Estado pueden ser de
diversa clase, pudiendo incluso corresponder a datos relativos a personas naturales
identificadas o identificables y que son recolectados en ejercicio de sus funciones públicas,
tales como nombres, fechas de nacimiento, direcciones, información educacional, de salud,
de condenas o infracciones, información tributaria, etc. Estos datos, al referirse a personas
naturales, caen en la categoría de “datos personales” según dispone el artículo 2 letra f) del
Proyecto de Ley, que establece que son datos personales “cualquier información vinculada o
referida a una persona natural identificable o identificable. Se considerará identificable toda persona
cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más
identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos
propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha
persona, excluyendo aquellos casos en que el esfuerzo de identificación sea desproporcionado”. A
contrario sensu, los datos administrativos que no queden comprendidos en la definición
como, por ejemplo, los datos relativos a personas jurídicas no calificaran como datos
personales a la luz del Proyecto de Ley.
Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 14
www.consejotransparencia.cl
Por su parte, el mismo artículo 2 letra ñ) del Proyecto de Ley entiende al “tratamiento de
datos” de forma amplia, como “cualquier operación o conjunto de operaciones o procedimientos
técnicos, de carácter automatizado o no, que permitan recolectar, procesar, almacenar, comunicar,
transmitir o utilizar de cualquier forma datos personales o conjuntos de datos personales”.
Ahora bien, habiendo determinado la aplicación del Proyecto de Ley al uso de datos
personales en el sistema IDI, resulta relevante para la adecuada aplicación de sus normas
entender -al menos de forma general- el flujo que estos datos tendrán en cada etapa,
observando, entre otras cosas, cómo se transferirán los datos personales respecto de cada
organización o individuo y las principales actividades de tratamiento involucradas. De esta
forma, en el sistema IDI se observa que el flujo de datos personales contemplaría, al menos,
las siguientes cinco etapas:
Tomando en consideración este flujo, se puede advertir que desde la perspectiva de datos
personales es posible reconocer a distintos actores cuya calidad y funciones dentro del
sistema IDI es particular y que resulta relevante tener en consideración:
Tener claridad de los intervinientes en este flujo de datos permite ir definiendo la calidad
que, según el Proyecto de Ley, tendrá cada uno de ellos. Bajo la legislación de datos
personales, el principal obligado corresponde al “responsable de datos”. Esta figura está
definida por el Proyecto de Ley como “toda persona natural o jurídica, pública o privada, que
En este contexto, y en el entendido que ninguno de los intervinientes tratará los datos “por
cuenta” de otro responsable, tenemos que concluir que tanto los organismos públicos que
comunicarán los datos, como el organismo encargado del sistema IDI, y los investigadores
que luego intervengan, actuarán todos en la calidad -individual y separada- de responsables
de datos bajo el Proyecto de Ley. Como veremos más adelante, esta calificación resulta del
todo relevante al establecerse, bajo el Proyecto de Ley, una serie de obligaciones para los
responsables de datos.
En términos generales, los responsables de datos solo pueden hacer tratamiento de datos
personales cuando están habilitados por una fuente o base de licitud. Las bases de licitud
que reconoce el Proyecto de Ley son diversas y, en ciertas circunstancias, atienden a la
calidad del responsable de datos o a la calidad de datos que se tratan.
Como señalamos anteriormente, en el sistema IDI que estamos revisando los organismos
públicos y los investigadores participarán como responsables de los datos personales que
traten y, en ese contexto, requerirán estar habilitados por una base de licitud de las que
establece el Proyecto de Ley so pena de hacer un tratamiento de datos indebido. Esto es
coherente con el principio de licitud que establece el artículo 3 que señala expresamente que
“los datos personales sólo pueden tratarse con sujeción a la ley”.
En este contexto, resulta necesario revisar las bases de licitud que podrían ser aplicadas por
estos responsables. Conforme se contempla un estatuto particular para los organismos
públicos1, hemos dividido este examen en dos secciones.
i. Bases de legalidad para el órgano público encargado del sistema IDI y los organismos
públicos investigadores.
En relación al primer caso, existe una acción de transferencia o cesión de datos personales,
lo cual se encuentra definido en el artículo 2 del Proyecto de Ley como “transferencia de datos
1
El Proyecto de Ley define órganos públicos como “las autoridades, órganos del Estado y organismos,
descritos y regulados por la Constitución Política de la República, y los comprendidos en el inciso segundo del
artículo 1 de la ley N° 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado”.
Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 17
www.consejotransparencia.cl
personales por parte del responsable de datos a otro responsable de datos”. La figura de la cesión
tiene un estatuto particular para los organismos públicos y que veremos más adelante, por
lo que, en estricto rigor y, para efectos del tratamiento “cesión” que realicen en el contexto
del sistema IDI, ellos deberán estar a dicha normativa.
Respecto a los dos otros casos, relativos al organismo encargado del sistema IDI y los
organismos consumidores de datos, ellos realizarán actividades de tratamiento de datos
personales en un sentido amplio que, para estos efectos, deberán estar amparadas por una
base de licitud general. El artículo 20 del Proyecto de Ley establece la base de licitud general
para el tratamiento de datos por órganos públicos indicando que “es lícito el tratamiento de
los datos personales que efectúan los órganos públicos cuando se realiza para el cumplimiento de sus
funciones legales, dentro del ámbito de sus competencias, de conformidad a las normas establecidas
en la ley, y a las disposiciones previstas en este Título. En esas condiciones, los órganos actúan como
responsables de datos y no requieren el consentimiento del titular para tratar sus datos personales”.
Además de esta base de licitud, cabe destacar que el Proyecto de Ley también establece otras
bases de carácter general para cualquier tipo de responsable público o privado. Estas se
encuentran en sus artículos 12 y 13 y corresponden a las siguientes:
- Cuando se haya obtenido el consentimiento del titular;
Bases de licitud para el órgano público encargado del sistema IDI y para los
organismos públicos investigadores
Escenarios regulatorios Posible base de licitud Antecedente normativo
posibles aplicable al escenario en el Proyecto de Ley
regulatorio descrito
PRIMER ESCENARIO: El 1. La base de licitud relativa al Artículo 20 del Proyecto
tratamiento de datos tratamiento de datos de Ley (Título IV “Del
personales o -al menos- la efectuado en cumplimiento de tratamiento de datos
realización de funciones funciones legales, dentro del personales por los
relacionadas con el sistema ámbito de sus competencias y órganos públicos”).
IDI (que implican en conformidad a las normas
necesariamente un establecidas en el Proyecto de
tratamiento de datos) está Ley.
consagrado en una norma de 2. La base de licitud relativa a Artículo 13 letra c) del
rango legal del organismo un tratamiento de datos Proyecto de Ley (Título
público respectivo. necesario para la ejecución o el II “Del tratamiento de
cumplimiento de una los datos personales y
Por ejemplo, se establece por obligación legal o que lo de las categorías
ley que el Instituto Nacional disponga la ley. especiales de datos
de Estadísticas (“INE”) estará Párrafo Primero “Del
encargado de administrar el consentimiento del
sistema IDI con un catálogo titular, de las
de facultades incluyendo obligaciones y deberes
expresamente el tratamiento del responsable y del
de los datos personales que se tratamiento de datos en
encuentren comprendidos en general”).
los datos administrativos
comunicados por los otros
órganos públicos que
conforman el Estado.
SEGUNDO ESCENARIO: El 1. La base de licitud relativa al Artículo 13 letra e)
tratamiento de datos tratamiento de datos necesario (Título II “Del
personales o la realización de para la satisfacción de interés tratamiento de los datos
funciones relacionadas con el legítimos del responsable o un personales y de las
Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 19
www.consejotransparencia.cl
sistema IDI (que impliquen tercero, siempre que con ello categorías especiales de
necesariamente un no se afecten los derechos y datos Párrafo Primero
tratamiento de datos) no estálibertades del titular. Esto, “Del consentimiento del
consagrado en una norma de teniendo presente lo que titular, de las
rango legal del organismo establece el artículo 16 obligaciones y deberes
público respectivo. quinquies del Proyecto de del responsable y del
Ley, en cuanto a tratarse de un tratamiento de datos en
tratamiento realizado general”).
exclusivamente con fines
históricos, estadísticos,
científicos y para estudios o
investigaciones que atiendan
fines de interés público.
Figura N°2. Base de licitud para organismos públicos.
Dada la entidad del tratamiento que realizará el organismo encargado del sistema IDI,
estimamos que -en principio- para dicha entidad resultará más complejo poder justificar tal
tratamiento únicamente amparado en la base de licitud relativa al “interés legítimo”, por lo
cual, nuestra sugerencia es que se avance con facultades explícitas de tratamiento en una
norma de rango legal, o en su defecto, de atribuciones que den claridad al menos de que,
para su realización, se deberá hacer necesariamente un tratamiento de datos personales en
las condiciones que requiere el sistema IDI. Esto, de forma tal de poder amparar el
tratamiento de datos ya sea en el artículo 20 del Proyecto de Ley, o en la base de licitud
relativa a la ejecución o cumplimiento de una obligación legal o lo disponga la ley.
Por su parte, sería recomendable que estas facultades hagan mención específica a las
categorías especiales de datos personales que podrán ser tratados en el contexto del sistema
IDI (sobre todo respecto de datos sensibles y datos relativos a niños, niñas y adolescentes),
con el fin de evitar toda clase de problemas interpretativos futuros que pudieran surgir en
cuanto al alcance de ellas. Estas categorías especiales de datos son revisadas más adelante.
ii. Bases de legalidad para los investigadores que actúen como privados.
Al igual que para el caso de los órganos públicos, y sin perjuicio de la existencia de una base
de licitud asociada al “interés legítimo”, por facilidad en su aplicación y menor espacio
interpretativo es preferible que el tratamiento de los investigadores privados sea establecido
o considerado mediante una norma de rango legal como la que está contemplada en el
Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 21
www.consejotransparencia.cl
Proyecto de Ley que Crea una nueva institucionalidad del sistema estadístico nacional.
Ahora bien, como elementos para mejorar ese artículo 38 sugerimos la mención expresa del
sistema IDI y de que los investigadores van a poder, bajo las condiciones y resguardos que
se determinen, efectuar el tratamiento de los datos personales contenidos en los datos que
posea el INE. En caso de que corresponda, también se podría evaluar incorporar en ese
artículo que el tratamiento alcanzará ciertas categorías de datos particulares, como, por
ejemplo, datos relativos a niños, niñas y adolescentes, los cuales estarán sujetos a resguardos
adicionales.
Por último y como comentario general respecto de la base de licitud “interés legítimo”, es
importante señalar que esta base está tomada de lo dispuesto por el Reglamento Europeo
de Protección de Datos, sin embargo su incorporación en Chile tiene ciertos matices que la
hacen diferente de su par europeo. En efecto, el artículo 6 número 1 letra f) de ese
Reglamento establece que el tratamiento será licito si “el tratamiento es necesario para la
satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero,
siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales, en particular cuando
el interesado sea un niño”. Como se observa, existen diferencias en el nivel de afectación
aceptable del titular de datos que sería prudente abordar desde el punto de vista legislativo
en el Proyecto de Ley, de forma de generar mejores condiciones para que su operación
práctica sea efectivamente viable.
i. Datos personales sensibles (art. 16). Bajo el artículo 2 letra g) del Proyecto de Ley, los
datos personales sensibles corresponden a “aquellos datos personales que revelen el origen
étnico o racial, la afiliación política, sindical o gremial, hábitos personales, las convicciones
ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico
humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual
y a la identidad de género de una persona natural”. Además de otras bases de licitud
específicas, estos datos pueden tratarse:
- Cuando se haya obtenido el consentimiento del titular; y
- Cuando lo autorice o mandate expresamente la ley.
ii. Datos personales relativos a la salud y al perfil biológico humano (art. 16 bis). Estos
datos incluyen a los datos genéticos, proteómicos o metabólicos y, entre otras bases
particulares, pueden ser tratados:
- Cuando se haya obtenido el consentimiento del titular;
Este artículo establece, en su inciso final, una aplicación extensiva de estas excepciones
al consentimiento del titular que resulta relevante en el contexto analizado. Este señala
“las excepciones para tratar datos sin el consentimiento mencionado en este artículo se entienden
aplicables al tratamiento de datos que no revisten el carácter especial a que se refiere este
precepto”.
iii. Datos personales biométricos (art. 16 ter). El artículo 16 ter los define como “aquellos
obtenidos a partir de un tratamiento técnico específico, relativo a las características físicas,
fisiológicas o conductuales de una persona que permitan o confirmen la identificación única de
ella, tales como la huella digital, el iris, los rasgos de la mano o faciales y la voz”. Sin perjuicio
de otras bases, estos datos pueden ser tratados:
- Cuando se haya obtenido el consentimiento del titular y sujeto a ciertos deberes
especiales de información;
- Cuando sean utilizados con fines históricos, estadísticos o científicos, para estudios
o investigaciones que atienda fines de interés público o vayan en beneficio de la
salud humana; y
- Cuando la ley así lo permita e indique expresamente la finalidad que deberá tener
dicho tratamiento.
iv. Datos personales relativos a los niños, niñas y adolescentes (art. 16 quater). Estos solo
pueden ser tratados atendiendo a su interés superior y respetando su autonomía
progresiva. Se consideran niños o niñas los menores de catorce años, y adolescentes, a
los mayores de catorce y menores de dieciocho años.
Los datos personales de adolescentes se pueden tratar de acuerdo con las normas de
autorización previstas para los adultos, salvo el tratamiento de datos sensibles de
menores de 16 años, que solo se pueden tratar:
- Cuando se haya obtenido el consentimiento de los padres o representantes legales o
quien tiene a cargo el cuidado personal;
- Cuando lo haya autorizado o mandatado la ley.
Esta norma establece que los responsables de datos deben adoptar y acreditar que han
cumplido con “todas las medidas de calidad y seguridad necesarias para resguardar que los
datos se utilicen exclusivamente para tales fines. Cumplidas estas condiciones, el responsable
podrá almacenar y utilizar los datos por un periodo indeterminado de tiempo”. Agrega que “los
responsables que hayan tratado datos personales exclusivamente con estas finalidades podrán
efectuar publicaciones con los resultados y análisis obtenidos, debiendo previamente adoptar las
medidas necesarias para anonimizar los datos que se publiquen”.
vi. Datos de geolocalización (art. 16 sexies). Estos datos no están definidos en el Proyecto
de Ley. En cuanto a las bases de licitud aplicables se remite a los artículos 12 y 13, las
cuales fueron señaladas anteriormente. Para esta clase de datos se agregan ciertos
deberes de información a favor del titular, como por ejemplo, indicando si los datos se
comunicarán o cederán a un tercero para la prestación de un servicio con valor añadido.
Por su parte, hay que señalar que no se advierte con claridad si la base de licitud de “interés
legítimo” vinculada a investigaciones que atiendan fines de interés público podría servir
para amparar el tratamiento de datos sensibles y de datos relativos a niños, niñas y
adolescentes, en cuanto dicha hipótesis no se encuentra mencionada en el artículo 16 ni en
el artículo 16 quater, respectivamente. Tampoco parece que esto sea posible derivar de lo
dispuesto en el artículo 16 quinquies. Abonaría una posición a favor el hecho de que el
artículo 16 bis -sobre datos relativos al perfil biológico humano- establece que las bases de
licitud contenidas allí son de aplicación más allá de esa categoría de datos (“las excepciones
para tratar datos sin el consentimiento mencionado en este artículo se entienden aplicables al
tratamiento de datos que no revisten el carácter especial a que se refiere este precepto”). Sin embargo,
igualmente cabe preguntarse si la aplicación extensiva de esas bases resulta aplicable solo a
En este contexto, la sugerencia para abordar este punto sería establecer aclaraciones
específicas en los artículos 16 y 16 quater, en torno a la aplicación de la base de licitud interés
legítimo del responsable en casos de investigación científica para el tratamiento de datos
sensibles y datos relativos a niños, niñas y adolescentes.
En este orden de cosas, resulta relevante la regulación que el Proyecto de Ley establece en
su artículo 22 sobre “Comunicación o cesión de datos por un órgano público”. Esta norma
dispone ciertos requisitos para la cesión según el destinatario es un órgano público o no.
i. Cesión de datos desde un órgano público hacía un órgano público. Esta clase de
cesiones se pueden realizar:
- Cuando resulte necesaria para el cumplimiento de sus funciones legales y ambos
órganos actúen dentro del ámbito de sus competencias. La cesión se debe realizar
para un tratamiento específico y el cesionario no puede utilizar los datos para otros
fines.
- Cuando los datos se requieran para un tratamiento que tengan por finalidad otorgar
beneficios al titular.
- Cuando los datos se requieran para evitar duplicidad de trámites para los
ciudadanos o reiteración de requerimientos de información o documentos para los
mismos titulares.
El órgano público receptor de los datos solo puede conservarlos por el tiempo necesario
para efectuar el tratamiento específico para el cual fueron requeridos, luego de lo cual
deberán ser cancelados (eliminados) o anonimizados. Estos datos se podrán almacenar
por un tiempo mayor cuando el órgano público requiere atender reclamaciones o
impugnaciones, realizar actividades de control o seguimiento, o sirvan para dar garantía
de las decisiones adoptadas.
ii. Cesión de datos desde un órgano público hacía una persona o entidad privada. Esta
clase de cesiones se pueden realizar:
- Cuando se cuente con el consentimiento del titular.
Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 25
www.consejotransparencia.cl
- Cuando la cesión sea necesaria para cumplir las funciones del organismo público en
materia de fiscalización o inspección.
Según se observa, existen requisitos particulares para que los organismos públicos realicen
cesiones de datos personales.
En el contexto del sistema IDI, la cesión entre organismos públicos (etapas 2° Cesión y
centralización de datos y 4° Disponibilización a investigadores), podría quedar configurada
bajo la habilitante que permite la cesión “cuando resulte necesaria para el cumplimiento de
sus funciones legales y ambos órganos actúen dentro del ámbito de sus competencias”, para
lo cual se deberán hacer los ajustes normativos en disposiciones de rango legal según
corresponda, por ejemplo, mediante el establecimiento de atribuciones específicas que
permitan expresamente al órgano encargado para requerir datos personales a otros órganos
de la administración para fines del sistema IDI, y que dichos órganos tengan -a
continuación- la obligación de hacer la cesión. Esto podría ser similar a lo que se establece
en el artículo 30 de la Ley N°20.403 que faculta hoy a la Subsecretaria de Hacienda para
requerir, recabar y procesar datos personales relacionados con el ámbito previsional. En este
contexto, a mayor especificidad de la norma legal sobre este aspecto, mayores serán las
facilidades de que los organismos públicos se adhieran sin dificultad al sistema.
No obstante esta habilitante, estimamos que sería adecuado evaluar la incorporación de,
sujeto a estrictos mecanismos de seguridad, una disposición que otorgue mayor flexibilidad
en la cesión entre organismos públicos cuando su utilización esté vinculada a propósitos
estadísticos o de investigación. La regulación dispuesta para los órganos públicos en Chile
es variada y abundante, por lo que disponer únicamente de la habilitante del párrafo
anterior, sin una facultad expresa del órgano encargado, requerirá análisis particulares que
implicarán costos de transacción y que pueden llegar a perjudicar que se transfieran los
datos necesarios. En este contexto, se pueden tomar como alternativa los mecanismos que
han implementado otros países, como Nueva Zelandia o Canadá y que revisamos
anteriormente.
De esta forma, en el evento que el Proyecto de Ley sea promulgado en su estado actual, y se
concluya la no aplicación de los artículos 15 y 26, podemos estimar que el órgano encargado
requerirá implementar todas las medidas necesarias para que, en la etapa 4° de
Disponibilización a investigadores, solo se permita el acceso a datos anonimizados, al no
disponer de habilitante para una cesión de datos personales.
Por último, y desde una mirada de Derecho Administrativo, cabe destacar que la
Contraloría General de la República ha señalado que la solicitud de datos entre organismos
públicos debe estar amparada por una atribución para dicho requerimiento. En ese contexto,
el organismo encargado del sistema IDI deberá tener facultades para poder exigir que otros
organismos le hagan entrega de esta información. Para mayor detalle sobre esta
interpretación de la Contraloría, véase los dictámenes N°70.293 de 2021; N°25.682 de 2019;
y N°1.780 de 2013.
Luego de haber revisado los aspectos relativos a las bases de licitud y la cesión de datos
personales que son necesarios para el funcionamiento del sistema IDI, corresponde
referirnos a aquellos principios que informan el tratamiento de datos en general, y que, en
el contexto de este sistema, deberán ser observados principalmente por el organismo
encargado de centralizar y cruzar los datos que sean recolectados, al tener una injerencia
esencial en su funcionamiento y la posterior disponibilización de los mismos. De esta forma,
encontramos que el artículo 21 del Proyecto de Ley establece que “el tratamiento de datos
personales que realicen los órganos públicos se rige por los principios establecidos en el artículo 3 de
esta ley y los principios generales que rigen la Administración del Estado, especialmente los principios
de coordinación, probidad y eficiencia”.
Los principios del tratamiento de datos consagrados en el artículo 3 del Proyecto de Ley,
desde la óptica del órgano encargado, son los siguientes:
i. Principio de licitud del tratamiento, conforme el cual el órgano encargado solo puede
tratar los datos con sujeción a la ley.
ii. Principio de finalidad, conforme al cual el órgano encargado deberá tratar los datos
según esté determinado por las funciones legales que, dentro de las materias de su
competencia, se encuentre desempeñado en el contexto del sistema IDI.
iii. Principio de proporcionalidad, según el cual el órgano encargado deberá limitar el
tratamiento de datos personales a aquellos que resulten necesarios en relación con los
fines del tratamiento.
Estos principios son de aplicación transversal a los responsables de datos, por lo que
deberán ser también aplicados por parte de los órganos públicos que cedan sus datos al
órgano encargado, así como aquellas entidades que luego accedan a los datos una vez
integrados para llevar a cabo investigaciones de interés público.
En relación a las obligaciones de los responsables propiamente tal que deberá cumplir el
organismo encargado del sistema IDI para el tratamiento de datos personales, el mismo
artículo 21 del Proyecto de Ley establece, para los organismos públicos, que “Sin perjuicio de
las demás normas establecidas en el presente Título, son aplicables al tratamiento de datos que
efectúen los órganos públicos, las disposiciones establecidas en los artículos 2°, 14, 14 bis, 14 ter, 14
quater, 14 quinquies, 14 sexies y 15 bis, los artículos del Párrafo Segundo y Tercero del Título II, los
artículos del Título V y los artículos del Título VII de esta ley. Asimismo, le son aplicables los
artículos 4°, 5°, 6°, 7° y 8°, en conformidad a lo dispuesto en el artículo 23”. Este artículo se remite
a múltiples disposiciones que contienen variadas obligaciones, incluyendo:
iii. Obligaciones asociadas al deber de protección desde el diseño y por defecto (artículo
14 quater). El organismo encargado del sistema IDI debe:
- Aplicar medidas técnicas y organizativas apropiadas con anterioridad y durante el
tratamiento de datos con el fin de cumplir los principios del tratamiento de datos y
los derechos del titular establecidos en la ley. Estas medidas deben considerar el
estado de la técnica, los costos de implementación y la naturaleza, ámbito, contexto
y fines del tratamiento de datos, así como los riesgos.
- Aplicar las medidas técnicas y organizativas para garantizar que, por defecto, sólo
sean objeto de tratamiento los datos personales que sean necesarios para los fines
específicos y determinados del tratamiento.
Respecto de esta obligación en el contexto del sistema IDI, es importante destacar que
un mecanismo que puede contribuir a la protección desde el diseño, son las
Evaluaciones de Impacto de Protección de Datos (DPIA, por sus siglas en inglés) y que,
como vimos, son utilizadas a nivel comparado como forma de proteger de mejor manera
los derechos de los titulares de datos. En términos generales, los DPIA son procesos de
evaluación que permiten identificar y reducir potenciales riesgos involucrados en cierto
tratamiento de datos personales. Sin perjuicio de esto, cabe señalar que las DPIA no
están consideradas actualmente en el Proyecto de Ley, no obstante que estimamos que
podrían ser implementadas voluntariamente como mejores prácticas por el organismo
encargado del sistema.
En este escenario, y bajo la remisión del artículo 21 respecto de los órganos públicos, el
órgano encargado del sistema IDI deberá, en el tratamiento de datos, cumplir con los
siguientes deberes:
Este artículo también establece que, en caso de que el responsable haya realizado alguna
acción sobre datos personales obtenidos de fuentes de acceso público2, tales como
organizarlos o clasificarlos bajo algún criterio, o combinarlos o complementarlos con
otros datos, “los datos personales que resulten de dicha acción se encontrarán protegidos bajo el
presente deber de secreto o confidencialidad”. Si bien en principio estimamos que esta
obligación podría no tener relación con el organismo encargado por cuanto la
recolección de datos no ocurriría respecto de fuentes de esta clase, igualmente es
importante considerarla pues las actividades de tratamiento se refieren precisamente a
aquellas que va a realizar dicha entidad (“cruzar” e “integrar” los datos).
2
Según dispone la letra i) del artículo 2 del Proyecto de Ley, las fuentes de acceso público son “todas aquellas
bases de datos o conjuntos de datos personales, cuyo acceso o consulta puede ser efectuada en forma lícita
por cualquier persona, siempre que no existan restricciones o impedimentos legales para su acceso u
utilización, tales como listas de colegios profesionales, diario oficial, medios de comunicación o los registros
públicos que disponga la ley”.
Morandé 360 piso 7. Santiago, Chile | Teléfono: 56-2 2495 21 00 Página 30
www.consejotransparencia.cl
Por otro lado, cabe destacar que se establece que este deber de secreto o confidencialidad
no obsta a las comunicaciones o cesiones de datos que deba realizar el responsable en
conformidad a la ley, lo cual deja abierta la posibilidad de las cesiones que comprende
el sistema IDI y que ya revisamos. Por último, el responsable debe adoptar las medidas
necesarias con el objeto de que sus dependientes o las personas naturales o jurídicas que
ejecuten operaciones de tratamiento bajo su responsabilidad, cumplan el deber de
secreto o confidencialidad.
Cabe destacar que el cumplimiento de estas obligaciones está relacionado con otras
obligaciones que, si bien se encuentran en otros cuerpos normativos, pueden servir para
apoyar el cumplimiento del Proyecto de Ley en este punto. Como ejemplo de ellas
encontramos el artículo 29 de la Ley N°17.374 que fija nuevo texto refundido, coordinado y
actualizado del DFL N°313 de 1960, que aprobara la ley orgánica de dirección estadística y
censos y crea el Instituto Nacional de Estadísticas sobre secreto estadístico; o lo dispuesto
por el Decreto N°83 de 2005 del Ministerio Secretaría General de la Presidencia que aprueba
norma técnica para los órganos de la administración del Estado sobre seguridad y
confidencialidad de los documentos electrónicos.
Por su parte, cabe destacar que dentro de los mecanismos que se han implementado a nivel
comparado para abordar aspectos de seguridad en relación con el acceso a los datos
integrados, se encuentra el marco de referencia de Nueva Zelandia de “Five Safes”
compuesto por los ámbitos de (i) Personas seguras; (ii) Proyectos seguros; (iii) Entornos
seguros; (iv) Datos seguros; y (v) Resultados seguros. Si bien este trabajo no busca
profundizar en mecanismos para abordar cada obligación del Proyecto de Ley, del detalle
de este marco de referencia estimamos relevante recoger -a modo ejemplar- las siguientes
medidas que podrían colaborar en el cumplimiento de los artículos 14 bis y 14 quinquies del
Proyecto de Ley:
g) Anonimización y seudonimización.
Según establece la definición del Proyecto de Ley, un dato anonimizado deja de ser dato
personal, por lo que su tratamiento deja de estar sujeto a dicha normativa. En ese contexto,
por ejemplo, el tratamiento de datos anonimizados por un investigador no estará sujeto al
Proyecto de Ley, no obstante las demás precauciones que se puedan tomar para que tal
condición de “anonimización” se mantenga también a nivel de resultados.
Por último, cabe indicar que la seudonimización constituye, en el contexto del Proyecto de
Ley, principalmente un mecanismo de seguridad de los datos personales tratados, y por lo
tanto, una forma en la cual el órgano encargado del sistema IDI podrá, en conjunto con otras
medidas pertinentes, dar cumplimiento a sus obligaciones de confidencialidad y seguridad
que el proyecto dispone para los responsables de datos.
Luego de haber revisado el sistema IDI desde la óptica de aquellas materias del Proyecto de
Ley que, a nuestro juicio, tienen la potencialidad de generar un mayor impacto en su
implementación en Chile, corresponde que abordemos de forma sucinta algunas
consideraciones finales y propuestas para abordar las distintas contingencias que se
esbozaron a lo largo de este trabajo.
Sin perjuicio de lo anterior, paralelamente hay que considerar que, según la velocidad con
que se generen avances para llevar a efecto el sistema IDI en relación a la velocidad de
tramitación del Proyecto de Ley, deberá evaluarse la conveniencia y necesidad de hacer un
ejercicio similar al desarrollado en este trabajo, pero respecto de la LPVP vigente. Si bien es
un texto legal con una serie de deficiencias, es el texto vigente en Chile en esta materia y que
contiene ciertas obligaciones de tratamiento que son aplicables a los responsables de datos.
- Ley N°20.584 que regula los derechos y deberes que tienen las personas en relación
acciones vinculadas a su atención en salud.
- Ley N°20.575 que establece el principio de finalidad en el tratamiento de datos
personales.
- Ley N°21.180 sobre transformación digital del Estado.
- Decreto Ley N°830 Código Tributario.
- Decreto con Fuerza de Ley N°3 que fija texto refundido, sistematizado y concordado
de la ley general de bancos y de otros cuerpos legales que se indican.
- Proyecto de ley que establece normas sobre delitos informáticos, deroga la ley
N°19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al convenio de
Budapest (Boletín 12.192-25).
- Proyecto de Ley que Crea una nueva institucionalidad del sistema estadístico
nacional (Boletín N°110372-03).
- Futuro proyecto de ley que cree una nueva agencia nacional de ciberseguridad.
Según analizamos, en el Proyecto de Ley existen ciertos aspectos que requieren ser
abordados para posibilitar o mejorar las condiciones de implementación de un sistema IDI
en Chile en los términos que fue descrito al inicio de este trabajo. Con este fin, consideramos
recomendable avanzar, el menos, en los siguientes puntos.
- Por su parte, dado que también existen aspectos del tratamiento que podrían verse
amparados por la base de licitud relativa al “interés legítimo” del responsable (sobre
todo para el caso de investigadores privados), estimamos recomendable avanzar
hacia una configuración de esta base que se acerque a lo que dispone el Reglamento
Europeo de Protección de Datos, particularmente en lo que tiene que ver con el nivel
de afectación del titular de datos.
- Respecto de las cesiones de datos desde el órgano encargado hacia los investigadores
privados, consideramos que -en principio- el catálogo de habilitante no resultaría
suficiente para justificar cesiones de datos personales de esta clase y, por lo tanto, se
requeriría una modificación en el Proyecto de Ley que otorgue la posibilidad de
realizarlas sin problemas, sujeto a estándares adecuados de protección y
acreditación previa de los cesionarios.