La nueva Ley de Privacidad de Datos de Chile: Una guía de cumplimiento para la legislación aprobada 21.719

El gobierno chileno aprobó y sancionó la Ley N° 21.719, su tan esperada ley de protección de datos personales (PDPL), alineando al país más estrechamente con los estándares internacionales de privacidad como la Reglamento General de Protección de Datos en Europa (RGPD), el Ley General de Protección de Datos de Brasil (LGPD)y otros países latinoamericanos. El desafío ahora no es solo comprender los requisitos, sino implementar el cumplimiento a gran escala para cumplir con estos nuevos estándares.

BigID Está en una posición única para ayudar a las organizaciones a cumplir con estas obligaciones con una plataforma de privacidad desde el diseño, diseñada para la automatización, la operatividad y la escalabilidad. Aquí le presentamos lo que necesita saber sobre la Ley de Protección de Datos Personales (LPPD) de Chile y cómo BigID facilita el cumplimiento.

¿Qué es la Ley de Protección de Datos Personales de Chile (LPDP)?

El 26 de agosto de 2024, el gobierno chileno aprobó la reforma legislativa chilena, publicada el 13 de diciembre de 2024 y que entrará en vigor el 1 de diciembre de 2026. El objetivo de esta nueva propuesta de ley es abordar las deficiencias en su aplicación, que originalmente se basaban en el marco de protección de datos de España. La Ley de Protección de la Vida Privada N.º 19.628, promulgada en 1999, sentó las bases para la protección de datos personales. Sin embargo, con el tiempo, el marco legal tuvo que evolucionar para abarcar el ámbito más amplio de la protección de datos y la privacidad.

La ley introduce un nuevo mandato de cumplimiento, con obligaciones específicas en torno a los derechos de los titulares de datos, evaluaciones de riesgos, gobernanza de datos, rendición de cuentas y obligaciones más estrictas para los responsables y encargados del tratamiento de datos. La ley también prevé el establecimiento de la primera autoridad nacional de protección de datos de Chile, la Agencia de Protección de Datos Personales. El nuevo regulador supervisará el cumplimiento y aplicará multas y sanciones por violaciones de datos e incumplimiento.

Requisitos actualizados de la Ley de Privacidad de Datos de Chile

Ámbito territorial

La PDPL de Chile extiende su alcance territorial al igual que otras regulaciones regionales y el RGPD; la PDPL tiene alcance extraterritorial y se aplica a personas y organizaciones, tanto públicas como privadas, cuando se procesan datos personales en las siguientes condiciones:

• Cuando un responsable o encargado del tratamiento de datos opere desde Chile.
• Cuando un encargado del tratamiento o un tercero, independientemente de donde estén ubicados o constituidos, trate datos personales por cuenta de un responsable del tratamiento con sede en Chile.
• Cuando el responsable o encargado del tratamiento se encuentra fuera de Chile, pero sus actividades de procesamiento de datos se dirigen a personas en Chile, ya sea ofreciendo bienes o servicios (ya sean pagados o gratuitos) o monitoreando el comportamiento de las personas, incluido el seguimiento, la elaboración de perfiles o el análisis del comportamiento.

Responsabilidades de los responsables del tratamiento de datos

Al igual que el RGPD, la ley establece nuevos principios de protección de datos que las organizaciones deben seguir sistemáticamente al procesar datos personales. Estos principios, junto con las responsabilidades definidas, definen las obligaciones de los responsables del tratamiento de datos y se alinean con los marcos modernos de protección de datos. Estos principios consisten en la legalidad y equidad, la limitación de la finalidad, la proporcionalidad, la calidad, la rendición de cuentas, la seguridad, la transparencia y la confidencialidad.

Tratamiento de datos personales y sensibles

Según la nueva Ley de Protección de Datos Personales de Chile (LPDP), los datos personales sensibles solo pueden procesarse con el consentimiento del individuo. consentimiento expresoYa sea por escrito, verbalmente o por medios tecnológicos equivalentes, salvo que se apliquen excepciones específicas. Estas incluyen casos en los que la persona haya hecho públicos los datos para un fin específico o cuando el tratamiento se base en intereses legítimos que cumplan ciertas condiciones legales, en particular en el caso de entidades sin ánimo de lucro. Además, la ley permite el tratamiento de datos personales sin consentimiento cuando sea necesario para cumplir obligaciones legales, ejecutar obligaciones contractuales (como contratos laborales), respaldar reclamaciones legales o perseguir intereses legítimos como la prevención del fraude o la seguridad de la red y de la información, siempre que dichos intereses no prevalezcan sobre los derechos fundamentales de la persona.

Nuevos derechos del titular de los datos (“Derechos ARCOP”)

La ley vigente ya había otorgado a los ciudadanos chilenos mayores derechos sobre sus datos personales, incluida la derecho de acceso, rectificación y supresiónTras la reforma, a los ciudadanos chilenos se les otorgaron derechos adicionales sobre sus datos personales, como el derecho a la portabilidad de datos, el derecho a oponerse a un determinado procesamiento y el derecho a oponerse a la toma de decisiones automatizada. AI, y/o elaboración de perfiles.

Además, en lo que respecta a la respuesta a las solicitudes de los interesados, las organizaciones tienen 30 días para responder a las solicitudes de los interesados y se les permite una extensión única de 30 días.

Evaluaciones de riesgos de privacidad

De manera similar al RGPD, la ley exige que los responsables del tratamiento lleven a cabo una evaluación de impacto sobre la protección de datos (EIPD) específicamente cuando se procesan datos “que probablemente resulte en un alto riesgo para los derechos de los interesados” y exige que los responsables del tratamiento demuestren que los datos personales se gestionan adecuadamente. Una evaluación de impacto sobre la protección de datos (EIPD) es muy recomendable en estos casos:

• Cuando el tratamiento de datos implique una evaluación sistemática y exhaustiva de las características personales de las personas mediante métodos automatizados, como la elaboración de perfiles.
• Procesamiento de datos de gran volumen o extenso
• Tratamiento que incluye la observación o vigilancia continua de un área de acceso público
• Tratamiento de datos personales sensibles o legalmente protegidos

La ley requiere que los responsables del tratamiento de datos detallen las actividades de procesamiento y sus fines, evalúen la necesidad y proporcionalidad del procesamiento en relación con esos fines, evalúen los riesgos potenciales y describan las medidas de mitigación implementadas.

Transferencias transfronterizas de datos

De manera similar al RGPD y otros marcos regionales, transferencias transfronterizas de datos Se permiten con base en mecanismos específicos: (i) decisiones de adecuación; (ii) cláusulas contractuales, normas corporativas vinculantes u otros instrumentos legales entre el remitente y el destinatario; o (iii) modelos de cumplimiento reconocidos o certificaciones con las salvaguardias adecuadas. Además, se publica una lista de países considerados "adecuados" según la ley, así como cláusulas contractuales modelo y otros mecanismos de transferencia aprobados.

Notificación de infracciones e incidentes

La normativa chilena exige a los responsables del tratamiento de datos notificar a la Agencia de Protección de Datos Personales (APPD) por el medio más rápido posible y sin demoras indebidas cualquier incidente que pueda resultar en la destrucción, violación, pérdida o alteración accidental o ilícita de datos personales —o acceso o divulgación no autorizados— cuando exista un riesgo razonable para los derechos y libertades de las personas afectadas.

Si bien la ley no especifica un plazo exacto para la notificación, se espera mayor orientación de la PDPA. Los responsables del tratamiento también deben documentar estos incidentes con detalles sobre la naturaleza de la filtración, el impacto real o potencial, los tipos de datos, el número de personas afectadas y las medidas adoptadas para responder y prevenir su recurrencia. Si el incidente involucra datos sensibles, datos de menores, registros financieros, bancarios o comerciales, el responsable del tratamiento debe notificar a los interesados en un lenguaje claro y accesible. Cuando la notificación directa no sea factible, se debe emitir un aviso público a través de al menos un medio de comunicación nacional importante.

Cumplimiento y multas

Creación del Organismo de Ejecución

La Agencia de Protección de Datos Personales (PDPA) es una agencia gubernamental recientemente creada que garantizará que las organizaciones protejan adecuadamente los datos de los ciudadanos chilenos y hagan cumplir la ley.

La función de la PDPA también exige que la agencia certifique, registre y supervise los métodos de prevención y los programas de cumplimiento de las organizaciones. Además, debe gestionar el Registro Nacional de Sanciones y Cumplimiento. Este registro registra a todas las organizaciones sancionadas por infracciones y especifica el grado de sanción por un período de hasta cinco años.

Multas y sanciones

La ley chilena impone sanciones estrictas a los responsables del tratamiento de datos que incumplen las normas, categorizadas como infracciones leves, graves o graves. Dependiendo de la gravedad de la infracción, las multas pueden alcanzar hasta USD 1.440.000. La reincidencia en las infracciones puede resultar en sanciones de hasta el triple del monto original, y la agencia también puede suspender las actividades de tratamiento de datos del responsable.

El enfoque de BigID para el cumplimiento de la PDPL en Chile

La nueva ley chilena señala un cambio más amplio en Latinoamérica hacia requisitos rigurosos de protección de datos y su aplicación. Cumplir con la ley chilena de privacidad de datos no se trata solo de cumplir requisitos, sino de desarrollar un programa de privacidad que se adapte a la complejidad. BigID es la única plataforma diseñada para respaldar el ciclo completo de la privacidad de datos: desde el descubrimiento hasta la aplicación de políticas, desde las tareas manuales hasta las acciones automatizadas.

La gestión de privacidad de datos de BigID, automatizada por IA y con reconocimiento de identidad para riesgos y cumplimiento normativo, proporciona la visibilidad, el control y la automatización necesarios para cumplir con la PDPL con total seguridad. Con BigID, las organizaciones pueden:

• Identificar todos los datos: Descubra y clasifique automáticamente datos, activos de IA y modelos para crear un inventario, mapear flujos de datos y obtener visibilidad de toda la información personal y confidencial por persona, sensibilidad, tipo, contexto y contenido que está sujeto a los requisitos de PDPL.
• Aplicar políticas: Remediar el riesgo basado en políticas con controles y flujos de trabajo para tomar medidas sobre los requisitos de PDPL para automatizar la gestión del ciclo de vida de los datos en toda la recopilación, retencióny supresión.
• Monitorear las transferencias transfronterizas de datos: Crear políticas y asignar residencia a fuentes de datos y datos de personas para hacer cumplir los requisitos de residencia de datos y monitorear y alertar sobre las transferencias de datos.
• Evaluar el riesgo: Automatice la evaluación del impacto de la protección de datos (DPIA), los informes de inventario de datos y los flujos de trabajo de remediación para identificar y reducir los riesgos para mantener el cumplimiento.
• Evaluar el riesgo de terceros: Automatice las evaluaciones de terceros para evaluar la postura de seguridad de proveedores externos, reducir el riesgo de terceros y verificar que todos los proveedores cumplan con los estándares de seguridad y protección de datos.
• Minimizar datos: Aplique prácticas de minimización de datos identificando, categorizando y eliminando datos personales innecesarios o excesivos para gestionar eficientemente el ciclo de vida de los datos.
• Automatizar la gestión de derechos de datos: Gestione automáticamente las solicitudes de derechos, preferencias y consentimiento de los interesados, incluida la exclusión voluntaria de la venta de datos, la publicidad dirigida y la elaboración de perfiles de usuario.
• Implantar controles de protección de datos: Automatizar los controles de protección de datos para hacer cumplir el acceso a los datos y otras medidas de seguridad cruciales para salvaguardar los datos y cumplir con la PDPL.

Para saber cómo BigID puede ayudarle a operacionalizar la privacidad y la protección de acuerdo con la legislación de Chile, ¡Solicite una demostración hoy!

Autor

Verrion Wright

Estrategia y desarrollo de contenidos

Verrion Wright es un ambicioso experto en marketing con más de 20 años de experiencia en marketing de productos, desarrollo de contenidos y estrategia digital. Centrado en la información basada en datos y el marketing integrado, ha ocupado puestos de responsabilidad en diversos sectores, como los servicios informáticos, la privacidad de datos, el marketing y la publicidad (planificación de medios). En BigID, Verrion es el Director de Estrategia y Desarrollo de Contenidos, que ayuda a elevar el contenido a través de todos los pilares, regiones y compradores, creando consistentemente contenido convincente a través de varios medios - incluyendo vídeo, artículos, listas de control, libros blancos y guías.