Inminente proyecto de ley que modifica la Ley de protección de la vida privada: comentarios a la minuta entregada por el Gobierno a parlamentarios

El Gobierno ha anunciado el inminente envío al Congreso de un proyecto de ley para modificar la Ley N° 19.628 de Protección de la Vida Privada (“LPD”). Para ello, el Ministerio de Hacienda habría hecho llegar a los parlamentarios una minuta con la estructura y ejes centrales del proyecto.

El siguiente es un resumen de dicha minuta y un análisis inicial preparado por Carey sobre las materias que habrían sido abordadas en ésta. La minuta no ha sido publicada en forma oficial por el Gobierno.

  • La ley seguirá siendo de aplicación transversal, obligando a personas naturales y jurídicas, públicas o privadas. Se actualizarán y ampliarán definiciones legales, siguiendo estándares internacionales.
  • Se incorporarán en forma expresa los principios de: licitud, finalidad, proporcionalidad, calidad, seguridad, responsabilidad e información.
    • Sólo parte de estos principios se recogen en la ley vigente. Todos estos principios se traducirán en obligaciones concretas para el responsable de la base de datos.
    • Es esperable que los principios de seguridad y responsabilidad involucren obligaciones de implementación de medidas de seguridad y de notificación de violaciones de seguridad. Nuestra ley, hoy solo impone una obligación general de secreto a las personas que trabajen con datos personales.
    • Los principios de finalidad e información deberían incluir reglas claras sobre el contenido mínimo obligatorio de las autorizaciones de uso de datos.
  • Se establecerán como fuentes de legitimidad del tratamiento, la ley y el consentimiento del titular.
    • Es de esperar que la “ley” como fuente de legitimidad para el tratamiento admita una interpretación amplia, que permita a las empresas exceptuarse si una regulación (que no tenga jerarquía de ley ordinaria, como las emanadas de la Superintendencia de Bancos e Instituciones Financieras por ejemplo) impone una obligación que involucra tratamiento de datos personales. Actualmente no es clara la posición que debe adoptar una empresa que regulatoriamente está obligada a hacer un tratamiento, pero al mismo tiempo tiene una obligación legal emanada de la LPD de obtener el consentimiento del titular.
  • El consentimiento debe ser previo, libre, inequívoco e informado.
    • Los requisitos de consentimiento previo y libre son nuevos; aun cuando el requisito de previo ya era contemplado por parte de la doctrina y de la jurisprudencia administrativa. Será importante el nivel de detalle que se dé al requisito del consentimiento “libre”.
    • Se reemplaza el consentimiento escrito por el inequívoco; tecnológicamente más neutro, lo que permitirá en la práctica una mayor gama de expresiones de voluntad sin desatender el protagonismo del consentimiento del titular.
    • Debemos estar atentos a que las excepciones al consentimiento contemplen escenarios sensatos, realistas y necesarios, que hoy la ley no tiene.
  • Se reconocerán los derechos de los titulares de acceso, rectificación, cancelación y oposición; que serán irrenunciables y gratuitos.
    • No se incluye entre estos derechos fundamentales la impugnación de las valoraciones personales, lo que no obsta a que no se regule de otra manera en la ley, pero con una jerarquía diferente.
  • Los datos sensibles son regulados de forma especial. Se amplía su conceptualización incluyendo la identidad de género, identidad genética y biomédica. Se crean nuevas categorías de datos sensibles: relativos a la salud, a los niños, biométricos, proteómicos y genéticos.
    • Será relevante analizar de qué forma se eleva el estándar de tratamiento de los datos sensibles. La LPD vigente trata datos sensibles y no sensibles de manera similar, y sólo los diferencia de los datos personales no sensibles al no admitir excepciones para su tratamiento.
    • Se innova con el reconocimiento de datos biométricos, proteómicos y genéticos. Será interesante analizar la definición de ellos; la aplicación práctica de las obligaciones asociadas a éstos; y la forma en que la ley resuelva las eventuales contradicciones entre las limitaciones al tratamiento de estos datos con el incentivo y desarrollo de las actividades científicas.
  • Se regulará por primera vez la transferencia internacional de datos personales, la que solo se podrá realizarse con países que tengan niveles adecuados de protección, esto es, países con estándares similares a la legislación chilena.
  • No se innovará en la regulación de datos financieros, bancarios y comerciales.
    • La no innovación en los artículos 17 y siguientes de la actual LPD sería coherente con el anuncio de tramitar paralelamente el proyecto de ley de SOE.
  • Se creará una Autoridad de Protección de Datos, la Dirección Nacional de Protección de Datos, que fiscalizará el cumplimiento de la LPD, con facultades sancionatorias y regulatorias.
  • Se creará un nuevo catálogo de infracciones asociado a un sistema de sanciones que pueden llegar hasta las UTM 10.000, equivalente a aproximadamente USD 671.500; o el cierre o clausura de la operación de tratamiento de datos.
  • Se creará una obligación de registro de bases de datos; que excluye bases de datos de uso doméstico.
    • Será importante revisar la extensión de esta obligación, en particular respecto de las eventuales obligaciones asociadas a las modificaciones del contenido de las bases de datos inscritas; las que naturalmente son dinámicas y objeto de cambios.
  • Se establecerá un procedimiento de reclamo con tres pasos necesarios, reclamo directo ante el responsable, reclamo administrativo ante la Dirección Nacional de Protección de Datos, y reclamo judicial contra la resolución de la Dirección Nacional de Protección de Datos.
  • Se regularían incentivos al cumplimiento para los privados asociados a atenuantes, estimulando la adopción de “modelos de prevención de infracciones”.
    • Este espacio para la autorregulación o generación de códigos de conducta puede ser angular para el ajuste de las empresas a esta nueva estructura legal. Debemos mirar con atención cuales son las herramientas concretas que se entregan a los particulares, muy probablemente relacionadas con la adopción de códigos de conducta o estatutos de autorregulación.
    • La adopción de modelos de prevención de infracciones debe incluir incentivos claros y fácilmente aplicables.