Instituto Chacabuco -LOS ANDES - Región de Valparaíso
Título iniciativa: PROTECCIÓN DE DATOS PERSONALES: MODIFICACIÓN A LA LEY N° 19.628


La magnitud del flujo, almacenamiento e intercambio de datos personales ha aumentado exponencialmente durante la última década. Los rápidos avances tecnológicos plantean nuevos retos que nuestro país debe enfrentar, actualmente la tecnología permite que tanto empresas privadas como entidades públicas utilicen datos personales a gran escala, sin garantizarse un adecuado nivel de protección de los mismos.

Nuestra actual ley de protección a la vida privada, la ley N°19.628, si bien contiene una serie de principios y garantías, no se condicen con el entorno tecnológico actual, ya que la demanda por la información personal ha aumentado a lo largo del tiempo, gracias a los avances de la tecnología y la globalización, esto permite tanto que las empresas como las autoridades públicas utilicen nuestros datos personales en una escala sin precedentes, donde estos se intercambian e incluso comercializan sin el consentimiento de los involucrados.

Es importante una adecuada protección de nuestros datos personales para el ejercicio de los derechos fundamentales dentro y fuera de la red, ya sea en entornos digitales y en entornos físicos. El mal uso de éstos datos posee implicancias insospechadas, pudiendo afectar nuestro entorno personal, social o laboral, por esto es que hablamos del derecho a la protección de datos personales, derecho que la doctrina a denominado de tercera generación, asumiendo connotaciones públicas y colectivas.

El ingreso de Chile a la OCDE significó, entre otras cosas, el compromiso de ciertas adecuaciones normativas, entre ellas, el de la protección de datos, sin embargo, dichos cambios aun no se han realizado. El tratamiento de datos en Chile pugna con estándares internacionales y con las buenas prácticas promovidas por la OCDE, por ejemplo: no existe control sobre la información personal, ni la posibilidad de impugnar los tratamientos indebidos no consentidos y desinformados.

La protección de datos personales debe establecer las condiciones sobre las cuales terceros podrán hacer uso de éstos, dotándola de los medios necesarios para controlar quién, cómo, dónde y con qué motivo se conoce cualquier información acerca de su persona. Hoy no es posible concebir un tratamiento de datos sin seguridad, transparencia ni el derecho a la información.

El Derecho Comparado también nos sirve de referencia; la legislación sobre el tratamiento de datos ha sido un tema contingente en varios países latinoamericanos; de hecho ya en el año 2002 se creó la Red Iberoamericana de Protección de Datos. Sin duda, la Unión Europea es quien va adelante en esta materia a través de su Reglamento General de protección de Datos, el que podemos considerar como nuestro referente.

Tras 20 años de vigencia de la Ley 19.628, existe consenso ciudadano, técnico, político y jurídico respecto a sus debilidades, cabe mencionar que han existido infructuosos esfuerzos por mejorarla. Uno de estos fue en el anterior gobierno en que se presentó un proyecto de ley que anunciaba la creación de una agencia de protección de datos personales, situación que hasta el día de hoy sigue sin concretarse. También en el año 2018 se hizo una reforma constitucional a la ley 21.096 que consagra el derecho a la protección de los datos personales, sin embargo, la ley vigente no garantiza dicha protección.

Por todo lo expuesto, proponemos modificar la ley n° 19.628, en lo relativo a la licitud y los principios que debe tener el tratamiento de datos; su comercialización; los derechos a la información, portabilidad; así como también, el Acceso, Rectificación, Cancelación y Oposición (ARCO). Además, proponemos la creación de un organismo público de control encargado de velar por el cumplimiento de la normativa

Éste último resulta indispensable para el buen cumplimiento de nuestra propuesta, respondiendo a estándares internacionales en la materia y cumpliendo con las recomendaciones de diversas organizaciones (ONU, UE, OCDE) sobre las características esenciales de los órganos de control: autonomía, independencia e imparcialidad. Considerando lo anterior, la creación de la Agencia para la Protección de Datos Personales APDP como ente autónomo garantizará tanto el cumplimiento de los derechos de los titulares como la protección de sus datos personales.

Nuestra propuesta legislativa irá en beneficio de toda la ciudadanía, quienes cada día nos vemos desprotegidos respecto al uso de nuestros datos, acabando así con la incertidumbre y el usufructo de nuestra información personal, entregando la seguridad de que nuestros datos están en las manos correctas.

Necesidad regulatoria:
Nuestra propuesta es materia de ley y su implementación requiere de la Modificación de una ley existente.

Soporte regulatorio:
De acuerdo a lo establecido en el art.65 de nuestra Constitución, la Modificación a la ley Nº19.628 corresponde a un Mensaje Presidencial ya que implica la creación de un nuevo organismo público.

Sobre la base de los antecedentes y fundamentos expuestos, tenemos a bien someter a vuestra consideración el siguiente Mensaje Presidencial.

MENSAJE:
MODIFICA LEY N° 19.628

1-. Reemplácese la frase banco de datos por la expresión base de datos, todas las veces que aparece en el texto.

2-. Modifíquese Eliminación o cancelación de datos por Cancelación o supresión de datos en la letra h del artículo 2 título I de la ley 19.628.

3-. Agréguese la siguiente letra p al artículo 2 título I de la ley 19.628:
p) Comercialización de bases de datos; cualquier operación relacionada con la cesión o adquisición de datos personales, ya sea por pago, intercambio de bienes, o por intereses involucrados entre quienes realicen la transferencia de estos, sin el consentimiento del titular.

4-. Reemplácese el articulo 4º de la ley 19.628 e incorpórese en su lugar el siguiente artículo:
Art 4º. Título 1
El tratamiento de los datos personales será licito si se cumple al menos una de las siguientes condiciones:

-El titular haya dado su consentimiento informado y explícito para la realización del tratamiento.
-El tratamiento sea necesario para el cumplimiento de un contrato anteriormente firmado por el titular.
-La vida del titular se encuentre en riesgo o algún interés vital del titular o de otra persona necesitan del tratamiento de los datos para ser debidamente protegidos.
-El tratamiento tiene como fin la investigación histórica, científica o estadística.
La autorización al tratamiento de datos puede ser revocada, sin efecto retroactivo.

5-. Reemplácese el articulo 6º de la ley 19.628 e incorpórese en su lugar el siguiente artículo:
Art 6º. Título 1
El titular de los datos tendrá garantizados por esta ley los siguientes derechos:
.Derecho a la información: El responsable frente a un tratamiento de datos, deberá entregar al titular, de forma clara, precisa y con anterioridad, la información de identificación y contacto del responsable de los datos, el periodo de tiempo de conservación, la finalidad del tratamiento y los destinatarios.
En el caso de que el responsable no entregue la información requerida a la APD, el tratamiento será ilícito.
.Derecho al acceso: El titular tiene el derecho a obtener la información por parte del responsable, si sus datos están siendo tratados y acceder a éstos en base al derecho a la información.
.Derecho a la rectificación: Cuando los datos del titular que corresponden al tratamiento, sean inexactos, incompletos o desactualizados o innecesarios, este tiene derecho a exigir que estos datos sean rectificados por el responsable.
.Derecho a la cancelación: El titular tiene derecho a solicitar al responsable que sus datos personales sean cancelados o suprimidos cuando estos ya no sean necesarios para los fines del tratamiento, estén caducos, se hayan tratado u obtenido de forma ilícita, o cuando se deban cancelar en base a una obligación legal.
.Derecho de oposición: El titular posee el derecho de oponerse al tratamiento de sus datos personales y exigir al responsable que este no se realice. El responsable estará obligado a no realizar el tratamiento siempre y cuando: atente contra los derechos del titular, tenga como único fin el marketing, sea ilícito según las disposiciones de esta ley o no haya consentimiento.
.Derecho a la portabilidad: El titular tendrá derecho a exigirle al responsable y recibir de su parte una copia de sus datos personales que hayan sido tratados por este. Esta copia debe estar dispuesta de forma estructurada, en un formato estándar y de uso común.
.Derecho al bloqueo: Se bloquearán los datos personales cuya exactitud no pueda ser establecida o cuya vigencia sea dudosa y respecto de los cuales no corresponda la cancelación.
Estos derechos podrán ser exigidos de forma completamente gratuita por el titular al responsable y la APDP tendrá la responsabilidad de que estos se cumplan de la forma que lo estipula la ley.

6-. Reemplácese el articulo 22º de la ley 19.628 e incorpórese en su lugar el siguiente artículo:
Art 22º. Título IV
El organismo público responsable será la Agencia de Protección de Datos Personales, la que establecerá un registro de las bases de datos personales tanto públicas y privadas, físicas y digitales existentes a lo largo del país, estableciendo un régimen de responsabilidad en torno a su finalidad y calificando su licitud.
La Agencia será la encargada, bajo el fundamento jurídico de su finalidad, de proporcionar los datos al Servicio de Registro Civil e identificación y otros organismos públicos cuando esto sea necesario.

7-. Del Órgano Garante:
Créase una Agencia de Protección de Datos Personales APDP, organismo público de control, de carácter técnico, descentralizado, encargado de velar por el cumplimiento de la normativa relativa al tratamiento de los datos personales y su protección, afecto al Sistema de Alta Dirección Pública,bajo estándares internacionales y con la facultad de fiscalizar, orientar y promover.