Ir al contenido 
Ad portas de convertirse en ley se encuentra el proyecto de ley de protección de datos personales que sustituye y perfecciona sustancialmente el marco legal vigente en Chile. El proyecto que cumple con el estándar europeo de protección de datos personales contempla entre sus principales innovaciones la regulación de las siguientes materias:
Agencia de Protección de Datos Personales
Resolviendo lo que se había transformado en un significativo obstáculo para el avance de proyectos previos, se debatió en su momento asignarle este rol al Consejo para la Transparencia, se opta por crear una Agencia de Protección de Datos Personales, entidad autónoma, técnica y descentralizada, que tendrá por objeto velar por la efectiva protección de los derechos de las personas en este ámbito y fiscalizar el cumplimiento de la ley. Entre sus funciones y atribuciones destacan las de: Dictar instrucciones y normas generales y obligatorias con el objeto de regular las operaciones de tratamiento de datos personales; Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de protección de los datos personales; Fiscalizar el cumplimiento de las disposiciones de la ley, sus reglamentos y las instrucciones y normas generales que se dicten respecto de los tratamientos de datos personales; Determinar las infracciones e incumplimientos en que incurran quienes realicen tratamiento de datos personales; Ejercer la potestad sancionadora sobre las personas naturales o jurídicas que traten datos personales con infracción de la ley, sus reglamentos y a instrucciones y normas generales dictadas por la Agencia, aplicando las sanciones correspondientes; Resolver las solicitudes y reclamos que formulen los titulares de datos en contra de quienes traten datos personales; y, Certificar, registrar y supervisar los modelos de prevención de infracciones y los programas de cumplimiento y administrar el Registro Nacional de Sanciones y Cumplimiento.
Principios que rigen el tratamiento de datos personales
Se incorpora un marco general de actuación del responsable definiendo que el tratamiento se rige por los siguientes principios: de licitud y lealtad; de finalidad; de proporcionalidad; de calidad; de responsabilidad; de seguridad; de transparencia e información; y de confidencialidad.
Derechos del titular de datos
Se reconoce a toda persona el derecho de acceso, rectificación, supresión, oposición, portabilidad y bloqueo de sus datos personales. Tales derechos son personales, intransferibles e irrenunciables y no pueden limitarse por ningún acto o convención y en caso de fallecimiento del titular de datos pueden ser ejercidos por sus herederos.
Obligaciones y Deberes del Responsable de datos
El responsable queda sujeto a un régimen proactivo y expreso de obligaciones y deberes. Entre las obligaciones se contemplan las de informar y poner a disposición del titular los antecedentes que acrediten la licitud del tratamiento de datos que realiza; asegurar que los datos personales se recojan de fuentes de acceso lícitas con fines específicos, explícitos y lícitos, y que su tratamiento se limite al cumplimiento de estos fines; comunicar o ceder, en conformidad a las disposiciones de la ley, información exacta, completa y actual; y, cumplir con la totalidad de deberes, principios y obligaciones que rigen el tratamiento de los datos personales previstos en esta ley.
Entre los Deberes, por su lado, se consideran el de secreto o confidencialidad; de información y transparencia; de protección desde el diseño y por defecto; de adoptar medidas de seguridad; de reportar las vulneraciones a las medidas de seguridad.
Transferencia internacional de datos personales.
Supliendo una notoria omisión del actual marco regulatorio, se dictan normas relativas a la transferencia internacional de datos personales consagrando una regla general de autorización a condición que se cumplan los requisitos que, de conformidad a la ley, autorizan al tratamiento de datos, declarando lícitas las operaciones de transferencia internacional de datos, entre otros, en los siguientes casos: cuando la transferencia se realice a una persona, entidad u organización pública o privada, sujeta al ordenamiento jurídico de un país que proporcione niveles adecuados de protección de datos personales;
cuando la transferencia de datos quede amparada por cláusulas contractuales u otros instrumentos jurídicos suscritos entre el responsable que efectúa la transferencia y el responsable o tercero mandatario que la reciba, y en ellas se establezcan los derechos y garantías de los titulares, las obligaciones de los responsables y terceros mandatarios y los medios de control; y, cuando el responsable que efectúa la transferencia y el responsable o tercero mandatario que la reciba, adopten un modelo de cumplimiento o autorregulación vinculante y certificado de acuerdo a la legislación aplicable para cada uno de ellos.
Para la determinación de países adecuados, se entiende que el ordenamiento jurídico de un país posee niveles adecuados de protección de datos, cuando cumple con estándares similares o superiores a los fijados en la ley, entregándole a la Agencia de Protección de Datos Personales la facultad de determinar fundadamente los países que poseen niveles adecuados de protección de datos considerando, a los menos, lo siguiente: el establecimiento de principios que rigen el tratamiento de los datos personales; la existencia de normas que reconozcan y garanticen los derechos de los titulares de datos y la existencia de una autoridad pública jurisdiccional o administrativa de control o tutela; la imposición de obligaciones de información y seguridad a los responsables y terceros mandatarios del tratamiento de los datos; y, la determinación de responsabilidades en
caso de infracciones.
Infracciones y sanciones.
Las infracciones cometidas por los responsables de datos a los principios, derechos y obligaciones establecidos en la ley se califican, atendida su gravedad, en leves, graves y gravísimas. Las infracciones leves serán sancionadas con amonestación escrita o multa de hasta 100 unidades tributarias mensuales; las graves con multa de hasta 5.000 unidades tributarias
mensuales o, en el caso de empresas, multa de hasta la suma equivalente al 2% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 10.000 unidades tributarias mensuales; las gravísimas con multa de hasta 10.000 unidades tributarias mensuales o, en el caso de empresas, multa de hasta la suma equivalente al 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 20.000 unidades tributarias mensuales.
Registro Nacional de Sanciones y Cumplimiento
Se crea un Registro Nacional de Sanciones y Cumplimiento que será administrado por la Agencia de Protección de Datos Personales, de carácter público y acceso gratuito. En el registro se deberán consignar a los responsables de datos que hayan sido sancionados por infringir los derechos y obligaciones establecidos en la ley, distinguiéndose según la gravedad de la infracción y consignándose la conducta infraccionada, las circunstancias atenuantes y agravantes de responsabilidad y la sanción impuesta. Adicionalmente, el registro consignará a los responsables que adopten modelos certificados de prevención de infracciones, con carácter vigente. Una vez que se promulgue este nuevo marco legal se iniciará un arduo proceso de
implementación que abarcará a todas las organizaciones y emprendimientos del país, para ajustar sus prácticas y funcionamiento a una nueva cultura de protección de datos personales.
