Apunte Módulo 1: Nuevo contexto normativo de protección de datos en Chile

MÓDULO I: NUEVO CONTEXTO NORMATIVO

La protección de datos personales en Chile se encuentra recogida en la Constitución Política de la República en su Artículo 19º Nº4. Además, la Ley Nº19.628 sobre Protección de la Vida Privada del año 1999, estableció los principios básicos para el tratamiento de datos personales, derechos para los titulares de datos y la forma de ejercicio de los mismos. Sin embargo, debido al avance tecnológico, la creciente digitalización y la necesidad de mayor resguardo de los datos, prontamente esta normativa fue quedando obsoleta.

En respuesta a estos desafíos, en marzo de 2024, se publicó la Ley Nº 21.719, que modifica y moderniza la Ley Nº19.628, alineando la regulación chilena con estándares internacionales como el Reglamento General de Protección de Datos de la Unión Europea ("GDPR" por sus siglas en inglés).

Artículo 19 Nº4º de la Constitución Política de la República

Con fecha 16 de junio de 2018, la Ley Nº21.096 modificó la Constitución Política de la República, consagrando constitucionalmente la protección de los datos personales en el artículo 19, Nº4, el que establece lo siguiente: "Artículo 19 .- La Constitución asegura a todas las personas: ( ... ) 4º El respeto y protección a la vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley;"

Este reconocimiento constitucional es de suma importancia porque eleva este derecho a nivel de derecho fundamental, garantizando su respeto y protección como parte integral de la vida privada de las personas. En efecto, se reconoce quelos datos personales son un derecho básico de cada individuo, directamente relacionado con su honra y su intimidad.

Por otra parte, establece que será una Ley la que determine la forma y condiciones en que se efectuará el tratamiento de estos datos, así como su protección.

Ley Nº19.628 sobre Protección de la Vida Privada

La Ley Nº19.628 sobre Protección de la Vida Privada, promulgada en 1999, fue una de las primeras regulaciones relativas al tratamiento de datos personales en la Región. Sin embargo, con el avance de la digitalización y la evolución de los estándares internacionales en materia de privacidad, sus deficiencias se han vuelto cada vez más evidentes. Uno de los principales problemas de esta Ley es que no aborda de manera adecuada los desafíos actuales en materia de protección de datos, tales como el uso de información en entornos digitales, la inteligencia artificial o la transferencia internacional de datos. En efecto, buena parte de las acciones que realizamos a diario están sujetas a la constante entrega de datos personales, sin embargo, la normativa no entrega todas las herramientas necesarias para que el titular del dato pueda tener certeza respecto de si la información aportada está siendo utilizada para los fines consentidos, quiénes son los responsables del tratamiento de los datos y si la información sensible está lo suficientemente protegida ante posibles fugas o fallos informáticos.

La ausencia de una autoridad de control independiente con facultades "efectivas" de fiscalización y sanción, ha generado un cumplimiento deficiente de la normativa, y ha dejado a los titulares de datos en una posición vulnerable frente a posibles abusos.

Así las cosas, Chile no contaba con una legislación que se alineara completamente con estándares internacionales de protección de datos.

Ley Nº21.719 sobre Protección de Datos Personales

La Ley Nº21.719, que entra en vigencia el 1 de diciembre de 2026, representa un avance significativo en la regulación de la protección de datos personales en Chile, modernizando la Ley Nº19.628. Con ello se busca alinear al país con estándares internacionales, fortaleciendo los derechos de los titulares, estableciendo obligaciones para el tratamiento de datos y creando la Agencia de Protección de Datos Personales con facultad de supervisar y sancionar a los actos contrarios a la normativa. Sin embargo, a pesar de los progresos que introduce, también presenta desafíos que generan cuestionamientos sobre su aplicación práctica.

Uno de los puntos críticos es su implementación en empresas de menor tamaño. La adecuación a estos nuevos estándares implica costos y esfuerzos considerables, y las pequeñas y medianas empresas pueden carecer de los recursos y estructura interna necesarios para dar cabal cumplimiento a las exigencias de la normativa de tratamiento de datos.

Además, el rol de la Agencia de Protección de Datos dependerá en gran medida de su autonomía, financiamiento y capacidad para fiscalizar de manera efectiva a todos los actores que manejan información personal.

Otro aspecto a considerar es la necesidad de claridad en la aplicación de ciertos principios y obligaciones, ya que en la práctica su interpretación puede generar incertidumbre para quienes deben cumplir con la normativa. Asimismo, el equilibrio entre la protección de datos y la innovación tecnológica será un desafío clave, pues la Ley debe permitir el desarrollo de nuevas tecnologías sin que esto implique un retroceso en la seguridad y privacidad de las personas.

Si bien la Ley Nº21.719 representa un gran avance y responde a la necesidad de modernizar la regulación en esta materia, su éxito dependerá de la correcta implementación, fiscalización y de posibles ajustes futuros para asegurar que su aplicación sea efectiva y que realmente brinde una protección robusta y acorde a los desafíos actuales. Más aun teniendo en consideración la entrada en vigenciade la Ley Marco de Ciberseguridad Nº21.663 y el Proyecto de Ley que regula los sistemas de inteligencia artificial1 que actualmente se discute en el Congreso Nacional.

A continuación, abordaremos los aspectos más relevantes de la Ley, sin perjuicio que cada uno de estos tópicos, será abordado oportunamente a lo largo del presente curso.

Ámbito de aplicación de la Ley Nº21.719

La Ley Nº21.719 establece reglas claras sobre quiénes están obligados a cumplir con esta normativa y en qué situaciones se aplica. En efecto, el ámbito de aplicación de la ley se define considerando factores como la ubicación del responsable del tratamiento, la residencia de los titulares de los datos y el propósito de la recolección y uso de la información. De esta manera, se busca garantizar que cualquier persona natural o jurídica que procese datos personales en Chile, o que se utilicen en Chile, cumpla con los principios y obligaciones establecidos en la normativa.

En este apartado, aprenderemos cuándo y cómo se aplica la Ley, permitiendo comprender su alcance en distintos sectores y escenarios.

El Artículo 1º bis de la Ley Nº21.719 establece el ámbito de aplicación territorial, estableciendo que las disposiciones de la ley aplicarán al tratamiento de datos que se realice bajo cualquiera de las siguientes circunstancias:

1. Cuando el responsable o mandatario estén establecidos o constituidos en Chile.
2. Cuando el mandatario, con independencia de su lugar de establecimiento o constitución, realice las operaciones de tratamiento de datos personales a nombre de un responsable establecido o constituido en Chile.
3. Cuando el responsable o mandatario no se encuentren establecidos en Chile, pero sus operaciones de tratamiento de datos personales estén destinadas aofrecer bienes o servicios a titulares que se encuentren en Chile, independientemente de si a estos se les requiere un pago, o a monitorear el comportamiento de titulares que se encuentran en el territorio nacional, incluyendo su análisis, rastreo, perfilamiento o predicción de comportamiento.

Por otro lado, el párrafo final del Artículo 1º bis dispone que también aplicará la Ley al tratamiento de datos personales que sea realizado por un responsable al que, sin estar establecido en Chile, le resulte aplicable la legislación nacional a causa de un contrato o del derecho internacional.

Definiciones clave de la Ley

Para una adecuada comprensión de la Ley, es fundamental conocer las definiciones que establece la misma. Conceptos como qué es un dato personal, datos sensibles, qué es el tratamiento de datos y quién es el responsable del mismo, entre otros. Estas definiciones no solo permiten un uso adecuado de los términos dentro del marco legal, sino que también garantizan una aplicación uniforme de la normativa en diversos contextos.

En este apartado, exploraremos las principales definiciones establecidas por la Ley, a saber:

1. Dato Personal: cualquier información vinculada o referida a una persona natural identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Para determinar si una persona es identificable deberán considerarse todos los medios y factores objetivos que razonablemente se podrían usar para dicha identificación en el momento del tratamiento. (Artículo 2, literal f).

Ejemplos de datos personales: nombre, rut, teléfono, correo electrónico, profesión, dirección IP del computador.

1. Datos Sensibles: son aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural. (Artículo 2, literal g).

Ejemplos de datos personales sensibles: afiliación a partido político, religión que se profesa, exámenes de salud, huella dactilar.

1. Base de datos personales: conjunto organizado de datos personales, cualquiera sea la finalidad, forma o modalidad de su creación, almacenamiento, organización y acceso, que permita relacionar los datos entre sí, así como realizar su tratamiento. (Artículo 2, literal m).

Ejemplos de base de datos personales: nómina de trabajadores de la empresa, listado de clientes.

1. Responsable de datos o responsable: toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los datos son tratados directamente por ella o a través de un tercero mandatario o encargado. (Artículo 2, literal n).
2. Titular de datos o titular: persona natural, identificada o identificable, a quien conciernen o se refieren los datos personales. (Artículo 2, literal ñ).
3. Tratamiento de Datos: cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan de