Nouvelle loi chilienne sur la protection des données personnelles: Un guide de conformité pour les lois approuvées 21.719

Le gouvernement chilien a approuvé et adopté la loi n° 21.719, sa loi tant attendue sur la protection des données personnelles (PDPL), alignant ainsi le pays plus étroitement sur les normes internationales de confidentialité telles que la Règlement général sur la protection des données en Europe (RGPD), le Loi générale sur la protection des données au Brésil (LGPD), et d'autres pays d'Amérique latine. Le défi consiste désormais non seulement à comprendre les exigences, mais aussi à mettre en œuvre la conformité à grande échelle pour répondre à ces nouvelles normes.

BigID est idéalement positionnée pour aider les organisations à respecter ces obligations grâce à une plateforme de protection de la vie privée dès la conception, conçue pour l'automatisation, la praticité et l'évolutivité. Voici ce que vous devez savoir sur la loi chilienne sur la protection des données personnelles (LPDP) et comment BigID renforce la conformité.

Qu'est-ce que la loi chilienne sur la protection des données personnelles (LPDP) ?

Le 26 août 2024, le gouvernement chilien a approuvé la réforme de la législation chilienne, publiée le 13 décembre 2024 et entrée en vigueur le 1er décembre 2026. Ce nouveau projet de loi vise à combler les lacunes en matière d'application de la loi, initialement fondées sur le cadre espagnol de protection des données. La loi n° 19628 relative à la protection de la vie privée, adoptée en 1999, a jeté les bases de la protection des données personnelles. Cependant, au fil du temps, le cadre juridique a dû évoluer pour couvrir le champ d'application plus large de la protection des données et de la vie privée.

La loi introduit un nouveau mandat de conformité, avec des obligations spécifiques concernant les droits des personnes concernées, l'évaluation des risques, la gouvernance des données, la responsabilité et des obligations plus strictes pour les responsables du traitement et les sous-traitants. Elle prévoit également la création de la première autorité nationale de protection des données au Chili, l'Agence de protection des données personnelles. Ce nouveau régulateur veillera au respect de la réglementation et appliquera des amendes et des sanctions en cas de violation de données ou de non-conformité.

Mise à jour des exigences de la loi chilienne sur la confidentialité des données

Portée territoriale

La PDPL du Chili étend sa portée territoriale comme d'autres réglementations régionales et le RGPD ; la PDPL a une portée extraterritoriale et s'applique aux individus et aux organisations, tant publiques que privées, lorsque les données personnelles sont traitées dans les conditions suivantes :

• Lorsqu'un responsable du traitement ou un sous-traitant de données opère depuis le Chili.
• Lorsqu'un sous-traitant ou un tiers, quel que soit son lieu de résidence ou d'incorporation, traite des données personnelles pour le compte d'un responsable du traitement basé au Chili.
• Lorsque le responsable du traitement ou le sous-traitant est situé en dehors du Chili, mais que ses activités de traitement de données ciblent des individus au Chili, soit en proposant des biens ou des services (payants ou gratuits), soit en surveillant le comportement des individus, y compris le suivi, le profilage ou l'analyse comportementale.

Responsabilités des responsables du traitement des données

À l'instar du RGPD, la loi établit de nouveaux principes de protection des données que les organisations doivent systématiquement respecter lors du traitement des données personnelles. Ces principes, ainsi que les responsabilités définies, définissent les obligations des responsables du traitement et s'alignent sur les cadres modernes de protection des données. Ces principes comprennent la licéité et l'équité, la limitation des finalités, la proportionnalité, la qualité, la responsabilité, la sécurité, la transparence et la confidentialité.

Traitement des données personnelles et sensibles

En vertu de la nouvelle loi chilienne sur la protection des données personnelles (PDPL), les données personnelles sensibles ne peuvent être traitées qu'avec l'autorisation de la personne concernée. consentement exprès— qu'elles soient écrites, verbales ou par des moyens technologiques équivalents — sauf exceptions spécifiques. Il s'agit notamment des cas où les données ont été rendues publiques par la personne concernée pour une finalité spécifique, ou lorsque le traitement est fondé sur des intérêts légitimes remplissant certaines conditions légales, notamment par des organismes à but non lucratif. En outre, la loi autorise le traitement de données personnelles sans consentement lorsque cela est nécessaire pour remplir des obligations légales, exécuter des obligations contractuelles (comme des contrats de travail), soutenir des actions en justice ou poursuivre des intérêts légitimes tels que la prévention de la fraude ou la sécurité des réseaux et de l'information, pour autant que ces intérêts ne prévalent pas sur les droits fondamentaux de la personne.

Nouveaux droits des personnes concernées (« Derechos ARCOP »)

La loi existante accordait déjà aux citoyens chiliens des droits renforcés sur leurs données personnelles, notamment droit d'accès, rectification et suppression. Après la réforme, les citoyens chiliens se sont vu accorder des droits supplémentaires sur leurs données personnelles, tels que le droit à la portabilité des données, le droit de s'opposer à un certain traitement et le droit de s'opposer à la prise de décision automatisée. AI, et/ou profilage.

En outre, en ce qui concerne la réponse aux demandes des personnes concernées, les organisations disposent de 30 jours pour répondre aux demandes des personnes concernées et bénéficient d'une prolongation unique de 30 jours.

Évaluations des risques liés à la vie privée

Similairement au RGPD, la loi impose aux responsables du traitement d'effectuer une évaluation de l'impact sur la protection des données (AIPD) spécifiquement lorsque le traitement des données est « susceptible d'entraîner un risque élevé pour les droits des personnes concernées » et exige des responsables du traitement qu'ils démontrent que les données personnelles sont traitées de manière appropriée. Une AIPD est fortement recommandée dans les cas suivants :

• Lorsque le traitement des données implique une évaluation systématique et approfondie des caractéristiques personnelles des individus au moyen de méthodes automatisées, telles que le profilage.
• Traitement de données volumineux ou étendu
• Traitement qui comprend l'observation ou la surveillance continue d'une zone accessible au public
• Traitement des données personnelles sensibles ou légalement protégées

La loi exige que les responsables du traitement détaillent les activités de traitement et leurs finalités, évaluent la nécessité et la proportionnalité du traitement par rapport à ces finalités, évaluent les risques potentiels et décrivent les mesures d’atténuation mises en œuvre.

Transferts transfrontaliers de données

Similaire au RGPD et à d’autres cadres régionaux, transferts de données transfrontaliers Sont autorisées selon des mécanismes spécifiques : (i) des décisions d’adéquation ; (ii) des clauses contractuelles, des règles d’entreprise contraignantes ou d’autres instruments juridiques entre l’expéditeur et le destinataire ; ou (iii) des modèles de conformité reconnus ou des certifications assorties de garanties appropriées. De plus, une liste des pays considérés comme « adéquats » par la loi est publiée, ainsi que des clauses contractuelles types et d’autres mécanismes de transfert approuvés.

Notification de violation et d'incident

La réglementation chilienne exige que les responsables du traitement des données informent l'Agence de protection des données personnelles (PDPA) par le moyen le plus rapide possible et sans retard injustifié de tout incident pouvant entraîner la destruction, la violation, la perte ou l'altération accidentelle ou illégale des données personnelles - ou l'accès ou la divulgation non autorisés - lorsqu'il existe un risque raisonnable pour les droits et libertés des personnes concernées.

Bien que la loi ne précise pas de délai précis pour la notification, des directives supplémentaires sont attendues de la PDPA. Les responsables du traitement doivent également documenter ces incidents en précisant la nature de la violation, son impact réel ou potentiel, les types de données, le nombre de personnes concernées et les mesures prises pour y répondre et éviter qu'elle ne se reproduise. Si l'incident concerne des données sensibles, des données relatives à des enfants, des documents financiers, bancaires ou commerciaux, le responsable du traitement doit en informer les personnes concernées dans un langage clair et accessible. Lorsqu'une notification directe n'est pas possible, un avis public doit être diffusé par l'intermédiaire d'au moins un grand média national.

Application de la loi et amendes

Création de l'Agence d'exécution

L'Agence de protection des données personnelles (PDPA) est une agence gouvernementale nouvellement créée qui veillera à ce que les organisations protègent de manière adéquate les données des citoyens chiliens et fassent respecter la loi.

Le rôle de la PDPA exige également que l'agence certifie, enregistre et supervise les méthodes de prévention et les programmes de conformité des organisations. De plus, l'agence doit gérer le Registre national des sanctions et de la conformité. Ce registre recense toutes les organisations sanctionnées pour des infractions et précise le degré de sanction pour une période maximale de cinq ans.

Amendes et pénalités

La loi chilienne impose des sanctions sévères aux responsables du traitement des données en infraction, classées selon leur gravité : infractions mineures, majeures ou graves. Selon la gravité de l'infraction, les amendes peuvent atteindre 1 440 000 USD. En cas de récidive, les sanctions peuvent atteindre le triple du montant initial, et l'agence peut également suspendre les activités de traitement des données du responsable.

L'approche BigID pour la conformité PDPL du Chili

La nouvelle loi chilienne marque une évolution plus large en Amérique latine vers des exigences et une application rigoureuses en matière de protection des données. Le respect de la loi chilienne sur la confidentialité des données ne se limite pas à cocher des cases : il s'agit de mettre en place un programme de confidentialité évolutif face à la complexité. BigID est la seule plateforme conçue pour prendre en charge l'intégralité du cycle de vie de la confidentialité des données : de la découverte à l'application des politiques, des tâches manuelles aux actions automatisées.

La gestion automatisée et identitaire de la confidentialité des données de BigID pour les risques et la conformité offre la visibilité, le contrôle et l'automatisation nécessaires pour se conformer en toute confiance à la PDPL. Avec BigID, les organisations peuvent :

• Identifier toutes les données : Découvrez et classez automatiquement les données, les ressources d'IA et les modèles pour créer un inventaire, cartographier les flux de données et gagner en visibilité sur toutes les informations personnelles et sensibles par personne, sensibilité, type, contexte et contenu soumis aux exigences PDPL.
• Appliquer les politiques : Corrigez les risques liés aux politiques grâce à des contrôles et des flux de travail pour prendre des mesures sur les exigences PDPL afin d'automatiser la gestion du cycle de vie des données tout au long de la collecte, rétentionet suppression.
• Surveiller les transferts de données transfrontaliers : Créez des politiques et attribuez la résidence aux sources de données et aux données des individus pour appliquer les exigences de résidence des données et surveiller et alerter sur les transferts de données.
• Évaluer les risques : Automatisez l'évaluation de l'impact sur la protection des données (DPIA), les rapports d'inventaire des données et les flux de travail de correction pour identifier et réduire les risques afin de maintenir la conformité.
• Évaluer le risque lié aux tiers : Automatisez les évaluations tierces pour évaluer la posture de sécurité des fournisseurs tiers, réduire les risques liés aux tiers et vérifier que tous les fournisseurs respectent les normes de sécurité et de protection des données.
• Réduire les données : Appliquez des pratiques de minimisation des données en identifiant, en catégorisant et en supprimant les données personnelles inutiles ou excessives pour gérer efficacement le cycle de vie des données.
• Automatiser la gestion des droits sur les données : Gérez automatiquement les demandes de droits, les préférences et le consentement des personnes concernées, y compris la désactivation de la vente de données, de la publicité ciblée et du profilage des utilisateurs.
• Mettre en œuvre des contrôles de protection des données : Automatiser les contrôles de protection des données pour faire respecter l'accès aux données et d’autres mesures de sécurité essentielles à la protection des données et au respect de la PDPL.

Pour savoir comment BigID peut vous aider à opérationnaliser la confidentialité et la protection conformément à la loi chilienne, demandez une démo aujourd'hui !

Auteur

Verrion Wright

Stratégie et développement du contenu

Verrion Wright est un spécialiste du marketing très expérimenté et ambitieux, avec plus de 20 ans d'expérience dans le marketing produit, le développement de contenu et la stratégie numérique. Il a occupé des postes de direction dans divers secteurs, notamment les services informatiques, la confidentialité des données, le marketing et la publicité (planification des médias), en mettant l'accent sur les connaissances fondées sur les données et le marketing intégré. Chez BigID, Verrion est le directeur de la stratégie et du développement de contenu, qui aide à élever le contenu à travers tous les piliers, les régions et les acheteurs, en créant systématiquement un contenu convaincant sur plusieurs supports - y compris la vidéo, les articles, les listes de contrôle, les livres blancs et les guides.