Ley 21719 sobre Datos Personales: resumen práctico artículo por artículo

• Sustituyendo la frase «LA VIDA PRIVADA» por «LOS DATOS PERSONALES» en el nombre de la ley .

• También reemplaza el artículo 1° referente al objeto y ámbito de aplicación de la ley, y agrega el artículo 1° bis sobre el ámbito de aplicación territorial.

• Además, agrega un epígrafe al artículo 2° sobre definiciones y modifica varios literales de dicho artículo, incluyendo las definiciones de almacenamiento de datos, comunicación de datos personales, dato personal, datos personales sensibles y fuentes de acceso público.

• También elimina un literal y sustituye otros, incluyendo las definiciones de anonimización, responsable de datos, tratamiento de datos personales, titular de los datos personales, encargado del tratamiento de datos personales, vulneración de seguridad de los datos personales, consentimiento, seudonimización, transferencia, autoridad de control, mandato, Agencia y Registro Nacional de Sanciones y Cumplimiento.

• Sustituye el artículo 3° sobre los principios que rigen el tratamiento de datos personales, como licitud y lealtad, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia e información, y confidencialidad.

• Finalmente, reemplaza el Título I.

Título I
De los derechos del titular de datos personales

Artículo 4º: Establece los derechos del titular de datos: acceso, rectificación, supresión, oposición, portabilidad y bloqueo, su carácter personal, intransferible e irrenunciable, y las condiciones para su ejercicio por herederos.

Artículo 5º: Regula el derecho de acceso del titular a sus datos y la información relacionada que debe proporcionar el responsable.

Artículo 6º: Regula el derecho de rectificación de datos inexactos, desactualizados o incompletos.

Artículo 7º: Regula el derecho de supresión de datos en diversos casos, así como las excepciones a este derecho.

Artículo 8º: Regula el derecho de oposición del titular a tratamientos específicos de sus datos, detallando los casos en que procede y no procede.

Artículo 8º bis: Regula las decisiones individuales automatizadas, incluida la elaboración de perfiles, y el derecho del titular a oponerse a ellas, con ciertas excepciones y garantías.

Artículo 8° ter: Regula el derecho de bloqueo del tratamiento de datos personales mientras se resuelve una solicitud de rectificación, supresión u oposición.

Artículo 9º: Regula el derecho a la portabilidad de los datos personales a otro responsable en formato electrónico estructurado y de uso común, bajo ciertas condiciones.

Artículo 10: Establece la forma y los medios para ejercer los derechos del titular de datos ante el responsable, incluyendo la gratuidad en ciertos casos y la obligación del responsable de implementar mecanismos para facilitar su ejercicio.

Artículo 11: Establece el procedimiento ante el responsable de datos para ejercer los derechos, los requisitos de la solicitud, los plazos de respuesta del responsable y el derecho del titular a reclamar ante la Agencia en caso de denegación o falta de respuesta.

Título II
Del tratamiento de los datos personales y de las categorías especiales de datos

Párrafo Primero
Del consentimiento del titular, de las obligaciones y deberes del responsable y del tratamiento de datos en general.

Artículo 12: Establece la regla general del tratamiento de datos, requiriendo el consentimiento libre, informado, específico, previo e inequívoco del titular, así como la forma de otorgarlo y revocarlo, y la carga de la prueba del consentimiento para el responsable.

Artículo 13: Establece otras fuentes de licitud del tratamiento de datos, sin necesidad de consentimiento del titular, en casos como obligaciones económicas, legales, contractuales, intereses legítimos del responsable o de un tercero, y para la defensa de derechos ante tribunales.

Artículo 14: Detalla las obligaciones del responsable de datos, incluyendo informar la licitud del tratamiento, asegurar la licitud de las fuentes y fines de la recolección, comunicar información exacta, suprimir datos precontractuales y cumplir con los demás deberes y principios.

Artículo 14 bis: Establece el deber de secreto o confidencialidad del responsable respecto de los datos personales, incluso después de finalizada la relación con el titular, con ciertas excepciones.

Artículo 14 ter: Establece el deber de información y transparencia del responsable, detallando la información mínima que debe mantener permanentemente a disposición del público.

Artículo 14 quáter: Establece el deber de protección desde el diseño y por defecto, obligando al responsable a aplicar medidas técnicas y organizativas adecuadas desde la concepción del tratamiento.

Artículo 14 quinquies: Establece el deber de adoptar medidas de seguridad para proteger los datos personales, considerando el estado de la técnica, los costos y los riesgos, detallando algunas medidas específicas.

Artículo 14 sexies: Establece el deber de reportar las vulneraciones a las medidas de seguridad a la Agencia y, en ciertos casos, a los titulares de los datos afectados.

Artículo 14 septies: Establece la diferenciación de estándares de cumplimiento para los deberes de información y seguridad, considerando el tipo de dato, el tamaño de la empresa y otras variables.

Artículo 15: Regula la cesión de datos personales, requiriendo consentimiento, necesidad para un contrato, interés legítimo o disposición legal, y estableciendo las formalidades y responsabilidades del cedente y cesionario.

Artículo 15 bis: Regula el tratamiento de datos a través de un tercero mandatario o encargado, detallando las obligaciones y responsabilidades de ambas partes y los requisitos del contrato entre ellos.

Artículo 15 ter: Establece el deber de realizar una evaluación de impacto en protección de datos personales cuando un tratamiento pueda generar un alto riesgo para los derechos de los titulares, detallando los casos en que se requiere y los elementos a considerar.

Párrafo Segundo
Del tratamiento de los datos personales sensibles.

Artículo 16: Establece la regla general para el tratamiento de datos personales sensibles, requiriendo consentimiento expreso del titular, y las excepciones a esta regla, como datos manifiestamente públicos, tratamientos por organizaciones sin fines de lucro con fines específicos, protección de la vida o integridad del titular o de terceros, ejercicio de derechos en tribunales, y cumplimiento de obligaciones laborales o de seguridad social, o cuando lo autorice la ley.

Artículo 16 bis: Regula los datos personales sensibles relativos a la salud y al perfil biológico humano, especificando que solo pueden tratarse para los fines previstos en leyes sanitarias, con excepciones similares a las del artículo 16, y prohibiendo su tratamiento en ciertos ámbitos como el laboral o educativo, salvo autorización legal expresa.

Artículo 16 ter: Regula los datos personales biométricos, requiriendo consentimiento y la entrega de información específica al titular, y permitiendo su tratamiento sin consentimiento solo en los casos del inciso segundo del artículo 16 bis.

Párrafo Tercero
Del tratamiento de categorías especiales de datos personales

Artículo 16 quáter: Regula los datos personales relativos a los niños, niñas y adolescentes, exigiendo atender a su interés superior y respeto de su autonomía progresiva, requiriendo el consentimiento de sus padres o representantes para tratar sus datos, con excepciones legales.

Artículo 16 quinquies: Regula los datos personales con fines históricos, estadísticos, científicos y de estudios o investigaciones, estableciendo que existe un interés legítimo para su tratamiento con fines de interés público, requiriendo la adopción de medidas de calidad y seguridad, y permitiendo la publicación de resultados previa anonimización.

Artículo 16 sexies: Regula los datos de geolocalización, estableciendo que su tratamiento se rige por las mismas fuentes de licitud de los artículos 12 y 13, y requiriendo informar al titular sobre el tipo de datos, finalidad y duración del tratamiento, y si se comunicarán a terceros.

Artículo 17: Modifica el artículo 17 de la Ley N° 19.628, reemplazando la frase «bancos de datos» por «bases de datos», agregando un epígrafe sobre la regla general del tratamiento de datos relativos a obligaciones financieras, bancarias o comerciales, intercalando la expresión «cumplimiento o» y agregando un inciso octavo que obliga a los responsables a suprimir información personal relativa a obligaciones prescritas sin necesidad de solicitud, orden judicial o instrucción de la autoridad de protección de datos.

Artículo 18: Agrega un epígrafe al inciso primero del artículo 18 de la Ley N° 19.628: «Limitación del tratamiento de datos para obligaciones financieras, bancarias o comerciales».

Artículo 19: Modifica el artículo 19 de la Ley N° 19.628, agregando un epígrafe al inciso primero sobre los efectos de la extinción de la obligación económica, bancaria o comercial, reemplazando la referencia al artículo 12 por el artículo 4°, y modificando referencias a «banco de datos» por «base de datos» en el inciso segundo, y sustituyendo la frase final sobre el plazo de conservación por una referencia al Título VII de la ley.

Título IV
Del tratamiento de datos personales por los órganos públicos

Artículo 20: Establece la regla general del tratamiento de datos por órganos públicos, permitiéndolo para el cumplimiento de sus funciones legales dentro de sus competencias, sin requerir consentimiento del titular.

Artículo 21: Establece los principios y normas aplicables al tratamiento de datos de los órganos públicos, remitiéndose a los principios del artículo 3° de la ley y a los principios generales de la Administración del Estado, como coordinación, probidad y eficiencia, y señalando la aplicabilidad de varios otros artículos de la ley.

Artículo 22: Regula la comunicación o cesión de datos por un órgano público a otros órganos públicos cuando sea necesaria para el cumplimiento de sus funciones y dentro de sus competencias, para un tratamiento específico, y la comunicación o cesión a entidades privadas requiriendo consentimiento, salvo en casos de fiscalización o inspección, y estableciendo obligaciones de información sobre convenios de cesión.

Artículo 23: Regula el ejercicio de los derechos del titular, el procedimiento administrativo de tutela y el reclamo de ilegalidad ante los órganos públicos, estableciendo las excepciones en que los organismos públicos no acogerán las solicitudes de derechos, el procedimiento para ejercerlos y el derecho a reclamar ante la Agencia.

Artículo 24: Regula los regímenes especiales para el tratamiento, comunicación o cesión de datos personales sensibles realizado por órganos públicos competentes en materias de prevención e investigación de delitos, seguridad nacional, defensa nacional y política exterior, emergencias o catástrofes, y datos protegidos por normas de secreto, reserva o confidencialidad.

Artículo 25: Regula los datos relativos a infracciones penales, civiles, administrativas y disciplinarias, estableciendo que solo pueden ser tratados por organismos públicos para el cumplimiento de sus funciones legales y en los casos previstos en la ley, velando por la exactitud de la información y prohibiendo su comunicación o publicación una vez prescrita la acción o cumplida la sanción, con reglas específicas sobre los plazos de publicidad en registros de sanciones.

Artículo 26: Establece que las condiciones, modalidades e instrumentos para la comunicación o cesión de datos personales entre organismos públicos y con personas u organismos privados se regularán mediante un reglamento, exceptuando las cesiones en que participen los órganos del Título VIII.

Título V
De la transferencia internacional de datos personales

Artículo 27: Establece la regla general de autorización para la transferencia internacional de datos, cuando se realice a países con niveles adecuados de protección, esté amparada por cláusulas contractuales u otros instrumentos jurídicos con garantías adecuadas, o se adopte un modelo de cumplimiento o mecanismo de certificación con garantías adecuadas, y regula las excepciones para transferencias específicas y no habituales.

Artículo 28: Establece la regla de determinación de países adecuados y las normas aplicables a la transferencia internacional de datos, definiendo los criterios para considerar un país con niveles adecuados de protección y las características de las garantías adecuadas, permitiendo la aprobación de cláusulas modelo y normas corporativas vinculantes por la Agencia, y la autorización de transferencias particulares por la Agencia bajo ciertas garantías.

Artículo 29: Establece la fiscalización de las operaciones de transferencia internacional de datos por la Agencia.

Título VI
Autoridad de Control en materia de Protección de Datos Personales

Artículo 30: Crea la Agencia de Protección de Datos Personales, como una corporación autónoma de derecho público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio, relacionada con el Presidente a través del Ministerio de Economía, Fomento y Turismo, con el objeto de velar por la protección de los datos personales y fiscalizar el cumplimiento de la ley.

Artículo 30 bis: Detalla las funciones y atribuciones de la Agencia, incluyendo dictar normas, aplicar e interpretar la ley, fiscalizar el cumplimiento, determinar infracciones, ejercer la potestad sancionadora, resolver reclamos, desarrollar programas de difusión, proponer reformas legales, prestar asistencia técnica, colaborar con otros órganos públicos, suscribir convenios, participar en organismos internacionales, certificar modelos de prevención y administrar el Registro Nacional de Sanciones y Cumplimiento.

Artículo 30 ter: Establece la Dirección de la Agencia, a cargo del Consejo Directivo, y sus funciones y atribuciones, como ejercer las funciones de la Agencia, establecer normativa interna, políticas de funcionamiento, dictar normas generales, formular propuestas de reforma y elaborar una cuenta pública anual.

Artículo 30 quáter: Regula los Miembros del Consejo Directivo de la Agencia, su designación por el Presidente con acuerdo del Senado, los requisitos para ser consejero, la designación del presidente y vicepresidente, la duración de sus cargos, la dedicación exclusiva, la forma de adoptar decisiones y la frecuencia de las sesiones.

Artículo 30 quinquies: Regula las causales de cesación de los consejeros del Consejo Directivo, como renuncia, inhabilidad sobreviniente, remoción por faltas graves, negligencia manifiesta o incumplimiento inexcusable de sus deberes, con un procedimiento de remoción que requiere acuerdo del Senado.

Artículo 30 sexies: Regula la planta del personal de la Agencia, estableciendo los cargos directivos y profesionales, técnicos y administrativos, y la forma de su provisión.

Artículo 30 septies: Establece la remuneración de los consejeros del Consejo Directivo.

Artículo 30 octies: Regula los estatutos de la Agencia, su elaboración por el Consejo Directivo y su aprobación por decreto supremo del Ministerio de Economía, Fomento y Turismo.

Artículo 31: Establece la coordinación con el Consejo para la Transparencia, obligando a la Agencia y al Consejo a remitirse antecedentes y requerirse informes mutuamente cuando deban dictar instrucciones o normas generales con efectos en los ámbitos de competencia del otro.

Artículo 32: Regula el personal de la Agencia y la fiscalización, estableciendo que se rige por el Código del Trabajo, pero le son aplicables las normas de probidad de la función pública, que los cargos directivos se seleccionan por concurso público a través de la Alta Dirección Pública, que la Agencia debe proporcionar defensa jurídica a sus consejeros y personal por actos realizados en el ejercicio de sus cargos, y que la Agencia debe cumplir con la ley de administración financiera del Estado y está sujeta a la fiscalización de la Contraloría General de la República en cuanto a su personal y cuentas, con exención del trámite de toma de razón para sus resoluciones.

Artículo 32 bis: Detalla el patrimonio de la Agencia, incluyendo aportes fiscales, bienes transferidos o adquiridos, donaciones, herencias y legados, y aportes de cooperación internacional.

Título VII
De las infracciones y sus sanciones, de los procedimientos y de las responsabilidades

Artículo 33: Establece el régimen general de responsabilidad para los responsables de datos que infrinjan los principios, derechos y obligaciones de la ley.

Párrafo Primero
De la responsabilidad, las infracciones y las sanciones aplicables a las personas naturales o jurídicas de derecho privado

Artículo 34: Califica las infracciones en leves, graves y gravísimas, atendida su gravedad, sin perjuicio de otras responsabilidades legales.

Artículo 34 bis: Enumera las infracciones leves.
Artículo 34 ter: Enumera las infracciones graves.

Artículo 34 quáter: Enumera las infracciones gravísimas.

Artículo 35: Establece las sanciones para las infracciones leves, graves y gravísimas, consistentes en amonestación escrita o multas en unidades tributarias mensuales, con la posibilidad de recargos por incumplimiento de medidas de subsanación y multas mayores en caso de reincidencia, especialmente para empresas no consideradas de menor tamaño.

Artículo 36: Establece las circunstancias atenuantes y agravantes de responsabilidad.

Artículo 37: Establece los criterios para la determinación del monto de las multas por la Agencia.

Artículo 38: Establece las sanciones accesorias, como la suspensión de las operaciones y actividades de tratamiento de datos en caso de infracciones gravísimas reiteradas.

Artículo 39: Crea el Registro Nacional de Sanciones y Cumplimiento, administrado por la Agencia, de carácter público y acceso gratuito, donde se consignarán los responsables sancionados y aquellos que adopten modelos certificados de prevención, con un plazo de acceso público de las anotaciones de cinco años.

Artículo 40: Establece los plazos de prescripción de las acciones para perseguir la responsabilidad por infracciones (cuatro años desde la ocurrencia del hecho o cese de la infracción continuada, con interrupción por la notificación del inicio del procedimiento administrativo) y de las sanciones impuestas (tres años desde que la resolución quede ejecutoriada).

Párrafo Segundo
De los procedimientos administrativos

Artículo 41: Regula el procedimiento administrativo de tutela de derechos ante la Agencia, cuando el responsable deniega o no responde a una solicitud del titular, detallando los plazos y requisitos para la reclamación, la posibilidad de suspender el tratamiento de datos durante el procedimiento, la notificación al responsable, la etapa probatoria, la posibilidad de allanamiento o acuerdo, las facultades de la Agencia para solicitar antecedentes, el plazo para dictar la resolución y la posibilidad de impugnación judicial.

Artículo 42: Regula el procedimiento administrativo por infracción de ley para la determinación de infracciones y la aplicación de sanciones por la Agencia, detallando el inicio del procedimiento, la formulación de cargos, el plazo para presentar descargos, la etapa probatoria, los medios de prueba admisibles, las facultades de la Agencia para solicitar antecedentes, el contenido de la resolución final y la posibilidad de reclamo judicial.

Párrafo Tercero
Del procedimiento de reclamación judicial

Artículo 43: Regula el procedimiento de reclamación judicial ante la Corte de Apelaciones contra actos administrativos de la Agencia que paralizan el procedimiento o contra resoluciones finales, estableciendo el plazo para interponer el reclamo, los requisitos del escrito, la posibilidad de declarar inadmisible la reclamación o decretar orden de no innovar, el requerimiento de informe a la Agencia, la etapa probatoria, la vista de la causa preferente y las facultades de la Corte para resolver.

Párrafo Cuarto
De la responsabilidad de los órganos públicos, de la autoridad o jefe superior del órgano y de sus funcionarios

Artículo 44: Establece la responsabilidad administrativa del jefe superior del órgano público por el cumplimiento de las normas de tratamiento de datos, las sanciones aplicables en caso de infracción (multa sobre su remuneración mensual y suspensión en caso de persistencia o datos sensibles), y la aplicación de estas sanciones por la Agencia, con posibilidad de intervención de la Contraloría y reclamo de ilegalidad contra las resoluciones de la Agencia.

Artículo 45: Establece la responsabilidad del funcionario infractor, disponiendo que la Contraloría General de la República iniciará una investigación sumaria a petición de la Agencia para determinar las responsabilidades individuales de los funcionarios, cuyas sanciones se determinarán según el Estatuto Administrativo, y que las infracciones gravísimas a la ley se considerarán contravenciones graves a la probidad administrativa.

Artículo 46: Establece el deber de reserva y confidencialidad de los funcionarios de los órganos públicos que traten datos personales, especialmente los sensibles o relativos a infracciones, considerando su incumplimiento como una vulneración grave al principio de probidad administrativa, y extendiendo la obligación de secreto o confidencialidad a los órganos públicos receptores de datos protegidos.

Párrafo Quinto
De la responsabilidad civil

Artículo 47: Establece la responsabilidad civil del responsable de datos de indemnizar el daño patrimonial y extrapatrimonial causado a los titulares por infracciones a la ley, una vez ejecutoriada la resolución de la Agencia o la sentencia judicial en caso de reclamo de ilegalidad, con un plazo de prescripción de las acciones civiles de cinco años.

Párrafo Sexto
Del modelo de prevención de infracciones (MPI)

Artículo 48: Establece el deber de los responsables de datos de adoptar acciones para prevenir la comisión de infracciones.

Artículo 49: Regula el modelo de prevención de infracciones como un programa de cumplimiento voluntario, detallando los elementos mínimos que debe contener.

Artículo 50: Regula las atribuciones del delegado de protección de datos personales, su designación, autonomía, requisitos, funciones y obligaciones de secreto o confidencialidad, y la obligación del responsable de proporcionarle los medios y facultades necesarios.

Artículo 51: Establece que la Agencia será la encargada de certificar, registrar y supervisar los modelos de prevención de infracciones, y que un reglamento establecerá los requisitos, modalidades y procedimientos para ello.

Artículo 52: Establece la vigencia de los certificados expedidos por la Agencia (tres años), y las causales de pérdida de vigencia.

Artículo 53: Regula la revocación de la certificación por la Agencia en caso de incumplimiento de las normas, la obligación de entregar información requerida por la Agencia, las sanciones por incumplimiento o entrega de información falsa, y los requisitos para volver a solicitar la certificación tras su revocación.

Título VIII
Del tratamiento de datos personales por el Congreso Nacional, el Poder Judicial y organismos públicos dotados de autonomía constitucional

Artículo 54: Establece la regla general del tratamiento de datos personales por el Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral, y otros tribunales especiales, permitiéndolo para el cumplimiento de sus funciones legales dentro de sus competencias, sin requerir consentimiento del titular, pero remitiéndose a normas especiales en sus leyes orgánicas y a ciertas disposiciones del Título IV de la ley, con exclusiones específicas, y estableciendo la obligación de secreto de tales datos por sus funcionarios y la obligación de las autoridades superiores de dictar políticas y normas de cumplimiento y ejercer la potestad disciplinaria.

Artículo 55: Regula el ejercicio de los derechos y las reclamaciones ante estas instituciones y organismos, de acuerdo a procedimientos racionales y justos, y el derecho a reclamar ante la Corte de Apelaciones en caso de denegación injustificada o arbitraria de un derecho o infracción de la ley por la Contraloría, el Ministerio Público, el Banco Central o el Servicio Electoral, y la obligación de las autoridades superiores de asegurar el cumplimiento de los principios y el respeto de los derechos de los titulares.

Artículo segundo: Suprime el literal m) del artículo 33 del artículo primero de la Ley N° 20.285, sobre acceso a la información pública.

Artículo tercero: Suprime el artículo 15 bis de la Ley N° 19.496, que establece normas sobre protección de los derechos de los consumidores40.

DISPOSICIONES TRANSITORIAS

Artículo primero: Establece la entrada en vigencia diferida de las modificaciones a las leyes N° 19.628, N° 20.285 y N° 19.496.

Artículo segundo: Establece el plazo para dictar los reglamentos referidos en la ley.

Artículo tercero: Obliga al Servicio de Registro Civil e Identificación a eliminar el registro de los bancos de datos personales contemplado en el actual artículo 22 de la Ley N° 19.628 antes de la entrada en vigencia de las modificaciones.

Artículo cuarto: Regula la primera designación de los consejeros del Consejo Directivo de la Agencia y del presidente y vicepresidente, y la duración de sus cargos.

Artículo quinto: Obliga a los órganos públicos que establezcan un encargado de prevención o delegado de protección de datos personales a designar para ello a un funcionario de su dotación vigente.

Artículo sexto: Establece una disposición transitoria sobre sanciones para empresas calificadas como de menor tamaño durante los primeros doce meses de vigencia de la ley, permitiendo la aplicación de una amonestación escrita en lugar de una multa.

Artículo séptimo: Establece el plazo para que las instituciones y organismos del artículo 54 dicten las políticas, normas e instrucciones a las que se refiere su inciso segundo.

Artículo octavo: Regula el financiamiento del mayor gasto fiscal que represente la aplicación de la ley durante su primer año presupuestario de vigencia.