Nueva ley de protección de datos personales
- Declaración
Última actualización, 13 de Diciembre 2024
Del tratamiento de los datos personales y de las categorías especiales de datos
Párrafo Ley 21719
Art. primero N° 8
D.O. 13.12.2024Primero
Art. primero N° 8
D.O. 13.12.2024Primero
Del consentimiento del titular, de las obligaciones y deberes del responsable y del tratamiento de datos en general.
Artículo 12.- Ley 21719
Art. primero N° 8
D.O. 13.12.2024Regla general del tratamiento de datos. Es lícito el tratamiento de los datos personales que le conciernen al titular, cuando otorgue su consentimiento para ello.
El consentimiento del titular debe ser libre, informado y específico en cuanto a su finalidad o finalidades. El consentimiento debe manifestarse, además, en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.
Cuando el consentimiento lo otorgue un mandatario, éste deberá encontrarse expresamente premunido de esta facultad.
El titular puede revocar el consentimiento otorgado en cualquier momento y sin expresión de causa, utilizando medios similares o equivalentes a los empleados para su otorgamiento. La revocación del consentimiento no tendrá efectos retroactivos.
Los medios utilizados para el otorgamiento o la revocación del consentimiento deben ser expeditos, fidedignos, gratuitos y estar permanentemente disponibles para el titular.
Se presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección.
Con todo, lo dispuesto en el inciso anterior no se aplicará cuando quien ofrezca bienes, servicios o beneficios, requiera como única contraprestación el consentimiento para tratar datos.
Corresponde al responsable probar que contó con el consentimiento del titular y que el tratamiento de datos fue realizado en forma lícita, leal y transparente.
Artículo 13.- Ley 21719
Art. primero N° 8
D.O. 13.12.2024Otras fuentes de licitud del tratamiento de datos. Es lícito el tratamiento de datos personales, sin el consentimiento del titular, en los siguientes casos:
Art. primero N° 8
D.O. 13.12.2024Otras fuentes de licitud del tratamiento de datos. Es lícito el tratamiento de datos personales, sin el consentimiento del titular, en los siguientes casos:
a) Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y se realice de conformidad con las normas del Título III de esta ley, incluidos los datos referidos a la situación socioeconómica del titular.
b) Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley.
c) Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.
d) Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular. En todo caso, el titular podrá exigir siempre ser informado sobre el tratamiento que lo afecta y el interés legítimo en base al cual se efectúa dicho tratamiento.
e) Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.
El responsable deberá acreditar la licitud del tratamiento de datos.
Artículo 14.- Ley 21719
Art. primero N° 8
D.O. 13.12.2024Obligaciones del responsable de datos. El responsable de datos, sin perjuicio de las demás disposiciones previstas en esta ley, tiene las siguientes obligaciones:
Art. primero N° 8
D.O. 13.12.2024Obligaciones del responsable de datos. El responsable de datos, sin perjuicio de las demás disposiciones previstas en esta ley, tiene las siguientes obligaciones:
a) Informar y poner a disposición del titular los antecedentes que acrediten la licitud del tratamiento de datos que realiza. Asimismo, deberá entregar de manera expedita dicha información cuando le sea requerida.
b) Asegurar que los datos personales se recojan de fuentes de acceso lícitas con fines específicos, explícitos y lícitos, y que su tratamiento se limite al cumplimiento de estos fines.
c) Comunicar o ceder, en conformidad a las disposiciones de esta ley, información exacta, completa y actual.
d) Suprimir o anonimizar los datos personales del titular cuando fueron obtenidos para la ejecución de medidas precontractuales.
e) Cumplir con los demás deberes, principios y obligaciones que rigen el tratamiento de los datos personales previstos en esta ley.
El responsable de datos que no tenga domicilio en Chile y que realice tratamiento de datos de personas que residan en el territorio nacional, deberá señalar y mantener actualizado y operativo, un correo electrónico u otro medio de contacto idóneo para recibir comunicaciones de los titulares de datos y de la Agencia.
Artículo 14 bis.- Ley 21719
Art. primero N° 8
D.O. 13.12.2024Deber de secreto o confidencialidad. El responsable de datos está obligado a mantener secreto o confidencialidad acerca de los datos personales que conciernan a un titular, salvo cuando el titular los hubiere hecho manifiestamente públicos. Este deber subsiste aún después de concluida la relación con el titular. En caso de que el responsable haya realizado alguna acción sobre datos personales obtenidos de fuentes de acceso público, tales como organizarlos o clasificarlos bajo algún criterio, o combinarlos o complementarlos con otros datos, los datos personales que resulten de dicha acción se encontrarán protegidos bajo el presente deber de secreto o confidencialidad.
Art. primero N° 8
D.O. 13.12.2024Deber de secreto o confidencialidad. El responsable de datos está obligado a mantener secreto o confidencialidad acerca de los datos personales que conciernan a un titular, salvo cuando el titular los hubiere hecho manifiestamente públicos. Este deber subsiste aún después de concluida la relación con el titular. En caso de que el responsable haya realizado alguna acción sobre datos personales obtenidos de fuentes de acceso público, tales como organizarlos o clasificarlos bajo algún criterio, o combinarlos o complementarlos con otros datos, los datos personales que resulten de dicha acción se encontrarán protegidos bajo el presente deber de secreto o confidencialidad.
El deber de secreto o confidencialidad no obsta a las comunicaciones o cesiones de datos que deba realizar el responsable en conformidad a la ley, y al cumplimiento de la obligación de dar acceso al titular e informar el origen de los datos, cuando esta información le sea requerida por el titular o por un órgano público dentro del ámbito de sus competencias legales.
El responsable debe adoptar las medidas necesarias con el objeto que sus dependientes o las personas naturales o jurídicas que ejecuten operaciones de tratamiento de datos bajo su responsabilidad, cumplan el deber de secreto o confidencialidad establecidos en este artículo.
Quedan sujetas a la obligación de confidencialidad las personas e instituciones y sus dependientes a que se refiere el artículo 24, en cuanto al requerimiento y al hecho de haber remitido dicha información.
Artículo 14 ter.- Ley 21719
Art. primero N° 8
D.O. 13.12.2024Deber de información y transparencia. El responsable de datos debe facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información:
Art. primero N° 8
D.O. 13.12.2024Deber de información y transparencia. El responsable de datos debe facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información:
a) La política de tratamiento de datos personales que haya adoptado, la fecha y versión de la misma.
b) La individualización del responsable de datos y su representante legal y la identificación del encargado de prevención, si existiere.
c) El domicilio postal, la dirección de correo electrónico, el formulario de contacto o la identificación del medio tecnológico equivalente de uso común y fácil acceso mediante el cual se le notifican las solicitudes que realicen los titulares.
d) Las categorías, clases o tipos de datos que trata; la descripción genérica del universo de personas que comprenden sus bases de datos; los destinatarios a los que se prevé comunicar o ceder los datos; las finalidades de los tratamientos que realiza; la base de legitimidad del tratamiento; y en caso de tratamientos que se basan en la satisfacción de intereses legítimos, cuáles serían éstos.
e) La política y las medidas de seguridad adoptadas para proteger las bases de datos personales que administra.
f) El derecho que le asiste al titular para solicitar ante el responsable, acceso, rectificación, supresión, oposición y portabilidad de sus datos personales, de conformidad a la ley.
g) El derecho que le asiste al titular de recurrir ante la Agencia, en caso de que el responsable rechace o no responda oportunamente las solicitudes que le formule.
h) En su caso, la transferencia de datos personales a un tercer país u organización internacional y si éstos ofrecen o no un nivel adecuado de protección. En caso de que no cuenten con un nivel adecuado de protección, se deberá informar si existen garantías que justifiquen tal transferencia.
i) El periodo durante el que se conservarán los datos personales.
j) La fuente de la cual provienen los datos personales y, en su caso, si proceden de fuentes de acceso público.
k) Cuando el tratamiento está basado en el consentimiento del titular, la existencia del derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
l) La existencia de decisiones automatizadas, incluida la elaboración de perfiles. En tales casos, información significativa sobre la lógica aplicada, así como las consecuencias previstas de dicho tratamiento para el titular.
Artículo 14 quáter.- Ley 21719
Art. primero N° 8
D.O. 13.12.2024Deber de protección desde el diseño y por defecto. Con la finalidad de cumplir los principios y los derechos de los titulares establecidos en esta ley, el responsable debe aplicar medidas técnicas y organizativas adecuadas desde el diseño con anterioridad y durante el tratamiento de los datos personales. Las medidas a aplicar deberán tener en consideración el estado de la técnica; los costos de implementación; la naturaleza, ámbito, contexto y fines del tratamiento de datos; así como los riesgos asociados a dicha actividad.
Art. primero N° 8
D.O. 13.12.2024Deber de protección desde el diseño y por defecto. Con la finalidad de cumplir los principios y los derechos de los titulares establecidos en esta ley, el responsable debe aplicar medidas técnicas y organizativas adecuadas desde el diseño con anterioridad y durante el tratamiento de los datos personales. Las medidas a aplicar deberán tener en consideración el estado de la técnica; los costos de implementación; la naturaleza, ámbito, contexto y fines del tratamiento de datos; así como los riesgos asociados a dicha actividad.
Asimismo, el responsable de datos deberá aplicar medidas técnicas y organizativas para garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales específicos y estrictamente necesarios para dicha actividad. Para ello, se tendrá en consideración el número de datos recogidos, la extensión del tratamiento, el plazo de conservación y su accesibilidad.
Artículo 14 quinquies.-Ley 21719
Art. primero N° 8
D.O. 13.12.2024 Deber de adoptar medidas de seguridad. El responsable de datos debe adoptar las medidas necesarias para resguardar el cumplimiento del principio de seguridad establecido en esta ley, considerando el estado actual de la técnica y los costos de aplicación, junto con la naturaleza, alcance, contexto y fines del tratamiento, así como la probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de datos tratados. Las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos. Asimismo, deberán evitar la alteración, destrucción, pérdida, tratamiento o acceso no autorizado.
Art. primero N° 8
D.O. 13.12.2024 Deber de adoptar medidas de seguridad. El responsable de datos debe adoptar las medidas necesarias para resguardar el cumplimiento del principio de seguridad establecido en esta ley, considerando el estado actual de la técnica y los costos de aplicación, junto con la naturaleza, alcance, contexto y fines del tratamiento, así como la probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de datos tratados. Las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos. Asimismo, deberán evitar la alteración, destrucción, pérdida, tratamiento o acceso no autorizado.
En consideración al estado de la técnica, los costos de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de los titulares, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) La seudonimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Ante la ocurrencia de un incidente de seguridad, y en caso de controversia judicial o administrativa, corresponderá al responsable acreditar la existencia y el funcionamiento de las medidas de seguridad adoptadas en base a los niveles de riesgo y a la tecnología disponible.
Artículo 14 sexies.- Ley 21719
Art. primero N° 8
D.O. 13.12.2024Deber de reportar las vulneraciones a las medidas de seguridad. El responsable deberá reportar a la Agencia, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate o la comunicación o acceso no autorizados a dichos datos, cuando exista un riesgo razonable para los derechos y libertades de los titulares.
Art. primero N° 8
D.O. 13.12.2024Deber de reportar las vulneraciones a las medidas de seguridad. El responsable deberá reportar a la Agencia, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate o la comunicación o acceso no autorizados a dichos datos, cuando exista un riesgo razonable para los derechos y libertades de los titulares.
El responsable deberá registrar estas comunicaciones, describiendo la naturaleza de las vulneraciones sufridas, sus efectos, las categorías de datos y el número aproximado de titulares afectados y las medidas adoptadas para gestionarlas y precaver incidentes futuros.
Cuando dichas vulneraciones se refieran a datos personales sensibles, datos relativos a niños y niñas menores de catorce años o datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, el responsable deberá también efectuar esta comunicación a los titulares de estos datos, a través de sus representantes, cuando corresponda. Esta comunicación deberá realizarse en un lenguaje claro y sencillo, singularizando los datos afectados, las posibles consecuencias de las vulneraciones de seguridad y las medidas de solución o resguardo adoptadas. La notificación se deberá realizar a cada titular afectado y si ello no fuere posible, se realizará mediante la difusión o publicación de un aviso en un medio de comunicación social masivo y de alcance nacional.
Los deberes de información señalados en este artículo no obstan a los demás deberes de información que establezcan otras leyes.
Artículo 14 septies.- Ley 21719
Art. primero N° 8
D.O. 13.12.2024Diferenciación de estándares de cumplimiento. Los estándares o condiciones mínimas que se impongan al responsable de datos para el cumplimiento de los deberes de información y de seguridad establecidos en los artículos 14 ter y 14 quinquies, respectivamente, serán determinados considerando el tipo de dato del que se trata, si el responsable es una persona natural o jurídica, el tamaño de la entidad o empresa de acuerdo a las categorías establecidas en el artículo segundo de la ley N° 20.416, que fija normas especiales para las empresas de menor tamaño, la actividad que desarrolla y el volumen, naturaleza y las finalidades de los datos personales que trata.
Art. primero N° 8
D.O. 13.12.2024Diferenciación de estándares de cumplimiento. Los estándares o condiciones mínimas que se impongan al responsable de datos para el cumplimiento de los deberes de información y de seguridad establecidos en los artículos 14 ter y 14 quinquies, respectivamente, serán determinados considerando el tipo de dato del que se trata, si el responsable es una persona natural o jurídica, el tamaño de la entidad o empresa de acuerdo a las categorías establecidas en el artículo segundo de la ley N° 20.416, que fija normas especiales para las empresas de menor tamaño, la actividad que desarrolla y el volumen, naturaleza y las finalidades de los datos personales que trata.
Los estándares o condiciones mínimas de cumplimiento y las medidas diferenciadas a que alude el inciso anterior, serán determinados por la Agencia mediante instrucción general.
Artículo 15.- Ley 21719
Art. primero N° 8
D.O. 13.12.2024Cesión de datos personales. Los datos personales podrán ser cedidos con el consentimiento del titular y para el cumplimiento de los fines del tratamiento. También se podrán ceder los datos personales cuando la cesión sea necesaria para el cumplimiento y la ejecución de un contrato en que es parte el titular; cuando exista un interés legítimo del cedente o del cesionario, en los términos previstos en la letra d) del artículo 13, y cuando lo disponga la ley.
Art. primero N° 8
D.O. 13.12.2024Cesión de datos personales. Los datos personales podrán ser cedidos con el consentimiento del titular y para el cumplimiento de los fines del tratamiento. También se podrán ceder los datos personales cuando la cesión sea necesaria para el cumplimiento y la ejecución de un contrato en que es parte el titular; cuando exista un interés legítimo del cedente o del cesionario, en los términos previstos en la letra d) del artículo 13, y cuando lo disponga la ley.
En caso de que el consentimiento otorgado por el titular al momento de realizarse la recolección de los datos personales no haya considerado la cesión de los mismos, éste debe recabarse antes que se produzca, considerándose para todos los efectos legales como una nueva operación de tratamiento.
La cesión de datos deberá constar por escrito o a través de cualquier medio electrónico idóneo. En ella se deberá individualizar a las partes, los datos que son objeto de la cesión, las finalidades previstas para el tratamiento y los demás antecedentes o estipulaciones que acuerden el cedente y el cesionario.
El tratamiento de los datos personales cedidos deberá realizarse por el cesionario de conformidad a las finalidades establecidas en el contrato de cesión.
Una vez perfeccionada la cesión, el cesionario adquiere la condición de responsable de datos para todos los efectos legales. El cedente, por su parte, también mantiene la calidad de responsable de datos, respecto de las operaciones de tratamiento que continúe realizando.
Si se verifica una cesión de datos sin contar con el consentimiento del titular, siendo éste necesario, la cesión será nula, debiendo el cesionario suprimir todos los datos recibidos, sin perjuicio de las responsabilidades legales que correspondan.
Artículo 15 bis.- Ley 21719
Art. primero N° 8
D.O. 13.12.2024Tratamiento de datos a través de un tercero mandatario o encargado. El responsable puede efectuar el tratamiento de datos en forma directa o a través de un tercero mandatario o encargado. En este último caso, el tercero mandatario o encargado realiza el tratamiento de datos personales conforme al encargo y a las instrucciones que le imparta el responsable, quedándole prohibido su tratamiento para un objeto distinto del convenido con el responsable, así como su cesión o entrega en los casos en que el responsable no lo haya autorizado de manera expresa y específicamente para cumplir con el objeto del encargo.
Art. primero N° 8
D.O. 13.12.2024Tratamiento de datos a través de un tercero mandatario o encargado. El responsable puede efectuar el tratamiento de datos en forma directa o a través de un tercero mandatario o encargado. En este último caso, el tercero mandatario o encargado realiza el tratamiento de datos personales conforme al encargo y a las instrucciones que le imparta el responsable, quedándole prohibido su tratamiento para un objeto distinto del convenido con el responsable, así como su cesión o entrega en los casos en que el responsable no lo haya autorizado de manera expresa y específicamente para cumplir con el objeto del encargo.
Si el tercero mandatario o encargado trata los datos con un objeto distinto del encargo convenido o los cede o entrega sin haber sido autorizado en los términos dispuestos en el inciso anterior, se le considerará como responsable de datos para todos los efectos legales, debiendo responder personalmente por las infracciones en que incurra y solidariamente con el responsable de datos por los daños ocasionados, sin perjuicio de las responsabilidades contractuales que le correspondan frente al mandante o responsable de datos.
El tratamiento de datos a través de un tercero mandatario o encargado se regirá por el contrato celebrado entre el responsable y el encargado, con arreglo a la legislación vigente. En el contrato se deberá establecer el objeto del encargo, la duración del mismo, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de titulares a quienes conciernen los datos, y los derechos y obligaciones de las partes. El encargado no podrá delegar parte o la totalidad del encargo, salvo que conste una autorización específica y por escrito del responsable. El encargado que delegue a otro encargado parte o la totalidad del encargo, continuará siendo solidariamente responsable sobre dicho encargo y no podrá eximirse de responsabilidad argumentando que ha delegado el tratamiento. La Agencia pondrá a disposición del público modelos tipo de contratos en su página web.
El tercero mandatario o encargado deberá cumplir con lo dispuesto en los artículos 14 bis y 14 quinquies. La diferenciación de estándares de cumplimiento establecida en el inciso primero del artículo 14 septies también será aplicable al tercero mandatario o encargado. Tratándose de una vulneración a las medidas de seguridad, el tercero o mandatario deberá reportar este hecho al responsable.
Cumplida la prestación del servicio de tratamiento por parte del tercero mandatario o encargado, los datos que obran en su poder deben ser suprimidos o devueltos al responsable de datos, según corresponda.