Chiles neues Datenschutzgesetz: Ein Compliance-Leitfaden für anerkanntes Recht 21.719

Die chilenische Regierung hat das Gesetz Nr. 21.719, das lang erwartete Gesetz zum Schutz personenbezogener Daten (PDPL), verabschiedet und das Land damit stärker an internationale Datenschutzstandards wie die Datenschutz-Grundverordnung in Europa (DSGVO), Die Allgemeines Datenschutzgesetz in Brasilien (LGPD)und anderen lateinamerikanischen Ländern. Die Herausforderung besteht nun nicht nur darin, zu verstehen, was erforderlich ist, sondern auch darin, die Einhaltung dieser neuen Standards im großen Maßstab zu operationalisieren.

BigID BigID unterstützt Unternehmen optimal bei der Erfüllung dieser Verpflichtungen mit einer Privacy-by-Design-Plattform, die auf Automatisierung, Umsetzbarkeit und Skalierbarkeit ausgelegt ist. Hier erfahren Sie alles Wissenswerte über das chilenische Datenschutzgesetz (PDPL) und wie BigID die Einhaltung unterstützt.

Was ist das chilenische Gesetz zum Schutz personenbezogener Daten (PDPL)?

Am 26. August 2024 verabschiedete die chilenische Regierung die reformierte chilenische Gesetzgebung, die am 13. Dezember 2024 veröffentlicht wurde und am 1. Dezember 2026 in Kraft treten wird. Ziel dieses neuen Gesetzesvorschlags ist es, Durchsetzungslücken zu schließen, die ursprünglich auf dem spanischen Datenschutzrahmen basierten. Das Gesetz Nr. 19628 zum Schutz der Privatsphäre wurde 1999 verabschiedet und legte den Grundstein für den Schutz personenbezogener Daten. Im Laufe der Zeit musste der Rechtsrahmen jedoch weiterentwickelt werden, um den breiteren Anwendungsbereich des Datenschutzes und der Privatsphäre abzudecken.

Das Gesetz führt eine neue Compliance-Verordnung ein, die spezifische Verpflichtungen in Bezug auf die Rechte betroffener Personen, Risikobewertungen, Datenverwaltung, Rechenschaftspflicht und strengere Auflagen für Verantwortliche und Auftragsverarbeiter vorsieht. Das Gesetz sieht außerdem die Einrichtung der ersten nationalen Datenschutzbehörde Chiles vor, der Agentur für den Schutz personenbezogener Daten. Die neue Behörde wird die Einhaltung der Vorschriften überwachen und bei Datenschutzverletzungen und Verstößen Bußgelder und Sanktionen verhängen.

Aktualisierte Anforderungen des chilenischen Datenschutzgesetzes

Räumlicher Geltungsbereich

Das chilenische PDPL erweitert seinen territorialen Geltungsbereich wie andere regionale Vorschriften und die DSGVO. Das PDPL hat eine extraterritoriale Reichweite und gilt für Einzelpersonen und Organisationen – sowohl öffentliche als auch private –, wenn personenbezogene Daten unter den folgenden Bedingungen verarbeitet werden:

• Wenn ein Datenverantwortlicher oder -verarbeiter von Chile aus operiert.
• Wenn ein Auftragsverarbeiter oder ein Dritter, unabhängig von seinem Standort oder seiner Eintragung, personenbezogene Daten im Auftrag eines in Chile ansässigen Verantwortlichen verarbeitet.
• Wenn sich der Verantwortliche oder Auftragsverarbeiter außerhalb Chiles befindet, seine Datenverarbeitungsaktivitäten sich jedoch an Einzelpersonen in Chile richten – entweder durch das Anbieten von Waren oder Dienstleistungen (entweder kostenpflichtig oder kostenlos) oder durch die Überwachung des Verhaltens von Einzelpersonen, einschließlich Tracking, Profiling oder Verhaltensanalyse.

Verantwortlichkeiten der Datenverantwortlichen

Ähnlich wie die DSGVO legt das Gesetz neue Datenschutzgrundsätze fest, die Unternehmen bei der Verarbeitung personenbezogener Daten konsequent einhalten müssen. Diese Grundsätze prägen zusammen mit definierten Verantwortlichkeiten die Pflichten der Verantwortlichen und entsprechen modernen Datenschutzrahmen. Zu diesen Grundsätzen gehören Rechtmäßigkeit und Fairness, Zweckbindung, Verhältnismäßigkeit, Qualität, Rechenschaftspflicht, Sicherheit, Transparenz und Vertraulichkeit.

Verarbeitung personenbezogener und sensibler Daten

Nach dem neuen chilenischen Gesetz zum Schutz personenbezogener Daten (PDPL) dürfen sensible personenbezogene Daten nur mit Zustimmung des Einzelnen verarbeitet werden. ausdrückliche Einwilligung– ob schriftlich, mündlich oder über gleichwertige technische Mittel –, sofern keine besonderen Ausnahmen gelten. Dazu gehören Fälle, in denen die Daten von der betroffenen Person zu einem bestimmten Zweck öffentlich gemacht wurden oder wenn die Verarbeitung auf berechtigten Interessen beruht, die bestimmte rechtliche Voraussetzungen erfüllen, insbesondere bei gemeinnützigen Organisationen. Darüber hinaus erlaubt das Gesetz die Verarbeitung personenbezogener Daten ohne Einwilligung, wenn dies zur Erfüllung gesetzlicher Verpflichtungen, zur Erfüllung vertraglicher Pflichten (z. B. Arbeitsverträge), zur Unterstützung von Rechtsansprüchen oder zur Wahrung berechtigter Interessen wie Betrugsprävention oder Netzwerk- und Informationssicherheit erforderlich ist, sofern diese Interessen nicht die Grundrechte der betroffenen Person überwiegen.

Neue Rechte der betroffenen Person („Derechos ARCOP“)

Das bestehende Gesetz gewährte den chilenischen Bürgern bereits erweiterte Rechte im Hinblick auf ihre persönlichen Daten, darunter die Recht auf Auskunft, Berichtigung und LöschungNach der Reform erhielten die chilenischen Bürger zusätzliche Rechte in Bezug auf ihre personenbezogenen Daten, wie etwa das Recht auf Datenübertragbarkeit, das Widerspruchsrecht gegen eine bestimmte Verarbeitung und das Widerspruchsrecht gegen automatisierte Entscheidungsfindung. AIund/oder Profilerstellung.

Darüber hinaus haben Organisationen im Hinblick auf die Beantwortung von Anfragen betroffener Personen 30 Tage Zeit, um auf Anfragen betroffener Personen zu antworten. Ihnen wird eine einmalige Fristverlängerung von 30 Tagen gewährt.

Datenschutz-Risikobewertungen

Ähnlich wie die DSGVO schreibt das Gesetz vor, dass Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) insbesondere wenn die Verarbeitung von Daten „führt wahrscheinlich zu einem hohen Risiko für die Rechte der betroffenen Personen“ und verlangt von den Verantwortlichen den Nachweis, dass personenbezogene Daten angemessen behandelt werden. Eine Datenschutz-Folgenabschätzung ist in folgenden Fällen dringend zu empfehlen:

• Wenn die Datenverarbeitung eine systematische und gründliche Bewertung der persönlichen Merkmale einer Person durch automatisierte Methoden, wie beispielsweise Profiling, beinhaltet.
• Umfangreiche oder umfangreiche Datenverarbeitung
• Verarbeitung, die eine kontinuierliche Beobachtung oder Überwachung eines öffentlich zugänglichen Bereichs umfasst
• Verarbeitung sensibler oder gesetzlich geschützter personenbezogener Daten

Das Gesetz verlangt von den für die Datenverarbeitung Verantwortlichen, die Verarbeitungstätigkeiten und ihre Zwecke detailliert darzulegen, die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Hinblick auf diese Zwecke zu beurteilen, potenzielle Risiken einzuschätzen und die umgesetzten Minderungsmaßnahmen darzulegen.

Grenzüberschreitende Datenübertragungen

Ähnlich wie die DSGVO und andere regionale Rahmenbedingungen, grenzüberschreitende Datenübertragungen sind auf Grundlage bestimmter Mechanismen zulässig: (i) Angemessenheitsbeschlüsse; (ii) Vertragsklauseln, verbindliche Unternehmensregeln oder andere Rechtsinstrumente zwischen Absender und Empfänger; oder (iii) anerkannte Compliance-Modelle oder Zertifizierungen mit angemessenen Sicherheitsvorkehrungen. Darüber hinaus wird eine Liste der Länder veröffentlicht, die nach geltendem Recht als „angemessen“ gelten, sowie Mustervertragsklauseln und andere genehmigte Übertragungsmechanismen.

Benachrichtigung über Verstöße und Vorfälle

Gemäß der chilenischen Verordnung sind für die Datenverarbeitung Verantwortliche verpflichtet, die Datenschutzbehörde (PDPA) schnellstmöglich und ohne unangemessene Verzögerung über alle Vorfälle zu informieren, die zu einer versehentlichen oder unrechtmäßigen Zerstörung, Verletzung, einem Verlust oder einer Änderung personenbezogener Daten – oder zu einem unbefugten Zugriff oder einer unbefugten Offenlegung – führen können, wenn ein begründetes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.

Obwohl das Gesetz keinen genauen Zeitrahmen für die Benachrichtigung vorgibt, werden weitere Vorgaben vom PDPA erwartet. Verantwortliche müssen diese Vorfälle zudem detailliert dokumentieren und dabei Angaben zur Art des Verstoßes, den tatsächlichen oder potenziellen Auswirkungen, den Datentypen, der Anzahl der betroffenen Personen sowie den ergriffenen Maßnahmen zur Reaktion und zur Verhinderung eines erneuten Auftretens machen. Betrifft der Vorfall sensible Daten, Kinderdaten, Finanz-, Bank- oder Geschäftsunterlagen, muss der Verantwortliche die betroffenen Personen in klarer und verständlicher Sprache benachrichtigen. Ist eine direkte Benachrichtigung nicht möglich, muss eine öffentliche Bekanntmachung über mindestens ein großes nationales Medienunternehmen erfolgen.

Durchsetzung und Bußgelder

Gründung der Durchsetzungsagentur

Die Personal Data Protection Agency (PDPA) ist eine neu gegründete Regierungsbehörde, die dafür sorgen soll, dass Organisationen die Daten chilenischer Bürger angemessen schützen und die Einhaltung der Gesetze durchsetzen.

Zu den Aufgaben der PDPA gehört es auch, die Präventions- und Compliance-Programme von Organisationen zu zertifizieren, zu registrieren und zu überwachen. Darüber hinaus muss die Behörde das Nationale Sanktions- und Compliance-Register verwalten. Dieses Register erfasst alle Organisationen, die wegen Verstößen sanktioniert wurden, und gibt den Grad der Sanktionen für bis zu fünf Jahre an.

Bußgelder und Strafen

Das chilenische Gesetz sieht strenge Strafen für nicht konforme Datenverantwortliche vor, die in geringfügige, schwerwiegende und schwerwiegende Verstöße unterteilt werden. Je nach Schwere des Verstoßes können die Geldbußen bis zu 1.440.000 US-Dollar betragen. Wiederholte Verstöße können zu Strafen bis zum Dreifachen des ursprünglichen Betrags führen, und die Behörde kann die Datenverarbeitung des Verantwortlichen aussetzen.

Der BigID-Ansatz zur Einhaltung des PDPL in Chile

Chiles neues Gesetz signalisiert einen umfassenden Wandel in Lateinamerika hin zu strengeren Datenschutzanforderungen und deren Durchsetzung. Die Einhaltung des chilenischen Datenschutzgesetzes beschränkt sich nicht nur auf das Abhaken von Kontrollkästchen, sondern auf die Entwicklung eines Datenschutzprogramms, das mit der Komplexität Schritt hält. BigID ist die einzige Plattform, die den gesamten Datenschutzlebenszyklus unterstützt: von der Erkennung bis zur Richtliniendurchsetzung, von manuellen Aufgaben bis hin zu automatisierten Aktionen.

Das KI-automatisierte und identitätsbasierte Datenschutzmanagement von BigID für Risiko und Compliance bietet die nötige Transparenz, Kontrolle und Automatisierung für die sichere Einhaltung der PDPL. Mit BigID können Unternehmen:

• Alle Daten identifizieren: Entdecken und klassifizieren Sie Daten, KI-Assets und Modelle automatisch, um ein Inventar zu erstellen, Datenflüsse abzubilden und Einblick in alle persönlichen und sensiblen Informationen nach Person, Sensibilität, Typ, Kontext und Inhalt zu erhalten, die den PDPL-Anforderungen unterliegen.
• Richtlinien anwenden: Beheben Sie richtlinienbasierte Risiken mit Kontrollen und Workflows, um Maßnahmen gemäß den PDPL-Anforderungen zu ergreifen und das Datenlebenszyklusmanagement über die gesamte Sammlung hinweg zu automatisieren. Selbstbehaltund Löschung.
• Überwachung grenzüberschreitender Datenübertragungen: Erstellen Sie Richtlinien und weisen Sie Datenquellen und Einzelpersonen einen Speicherort zu, um die Anforderungen an den Datenspeicherort durchzusetzen und Datenübertragungen zu überwachen und entsprechende Warnmeldungen auszugeben.
• Risiko einschätzen: Automatisieren Sie Datenschutz-Folgenabschätzungen (DPIA), Datenbestandsberichte und Abhilfe-Workflows, um Risiken zu identifizieren und zu reduzieren und so die Compliance aufrechtzuerhalten.
• Bewerten Sie das Risiko von Drittanbietern: Automatisieren Sie Drittanbieterbewertungen, um die Sicherheitslage von Drittanbietern zu beurteilen, das Drittanbieterrisiko zu reduzieren und sicherzustellen, dass alle Anbieter die Sicherheits- und Datenschutzstandards einhalten.
• Daten minimieren: Wenden Sie Verfahren zur Datenminimierung an, indem Sie unnötige oder übermäßige personenbezogene Daten identifizieren, kategorisieren und löschen, um den Datenlebenszyklus effizient zu verwalten.
• Automatisieren Sie die Verwaltung von Datenrechten: Verwalten Sie automatisch Anfragen, Präferenzen und Einwilligungen zu den Rechten betroffener Personen, einschließlich der Deaktivierung von Datenverkauf, gezielter Werbung und Benutzerprofilierung.
• Implementieren Sie Datenschutzkontrollen: Automatisieren Sie Datenschutzkontrollen, um Erzwingen des Datenzugriffs und andere Sicherheitsmaßnahmen, die für den Schutz der Daten und die Einhaltung des PDPL von entscheidender Bedeutung sind.

Um zu erfahren, wie BigID Ihnen dabei helfen kann, Datenschutz und Sicherheit im Einklang mit dem chilenischen Recht umzusetzen, Fordern Sie noch heute eine Demo an!

Autor

Verrion Wright

Strategie und Entwicklung von Inhalten

Verrion Wright ist ein sehr erfahrener und ehrgeiziger Vermarkter mit mehr als 20 Jahren Erfahrung in den Bereichen Produktmarketing, Inhaltsentwicklung und digitale Strategie. Mit dem Schwerpunkt auf datengesteuerten Erkenntnissen und integriertem Marketing hatte er leitende Positionen in verschiedenen Branchen inne, darunter IT-Dienstleistungen, Datenschutz, Marketing und Werbung (Medienplanung). Bei BigID ist Verrion Director of Content Strategy and Development und trägt dazu bei, Inhalte über alle Säulen, Regionen und Käufer hinweg zu verbessern, indem er durchgängig überzeugende Inhalte über verschiedene Medien erstellt - darunter Videos, Artikel, Checklisten, Whitepaper und Leitfäden.