O governo chileno aprovou e promulgou a Lei nº 21.719, sua tão aguardada lei de proteção de dados pessoais (PDPL), alinhando o país mais estreitamente aos padrões internacionais de privacidade, como o Regulamento Geral de Proteção de Dados na Europa (RGPD), o Lei Geral de Proteção de Dados no Brasil (LGPD)e outros países da América Latina. O desafio agora não é apenas entender o que é necessário, mas operacionalizar a conformidade em larga escala para atender a esses novos padrões.
BigID A BigID está em uma posição única para ajudar as organizações a cumprirem essas obrigações com uma plataforma de privacidade integrada, projetada para automação, praticidade e escalabilidade. Veja o que você precisa saber sobre a Lei de Proteção de Dados Pessoais do Chile (PDPL) e como a BigID facilita a conformidade.
O que é a Lei de Proteção de Dados Pessoais do Chile (PDPL)?
Em 26 de agosto de 2024, o governo chileno aprovou a reforma da legislação chilena, que foi publicada em 13 de dezembro de 2024 e entrará em vigor integralmente em 1º de dezembro de 2026. O objetivo desta nova lei proposta é sanar as lacunas de aplicação, que originalmente se baseavam na legislação espanhola de proteção de dados. A Lei nº 19628, de 1999, sobre a “Proteção da Vida Privada”, estabeleceu as bases para a proteção de dados pessoais, mas, com o tempo, o arcabouço legal precisou ser adaptado para abranger o escopo mais amplo da proteção de dados e da privacidade.
A lei introduz um novo mandato de conformidade, com obrigações específicas relativas aos direitos dos titulares dos dados, avaliações de risco, governança de dados, responsabilização e obrigações mais rigorosas para controladores e processadores de dados. A lei também prevê a criação da primeira autoridade nacional de proteção de dados do Chile, a Agência de Proteção de Dados Pessoais. O novo órgão regulador monitorará a conformidade e aplicará multas e sanções por violações de dados e descumprimento da lei.
Requisitos atualizados da Lei de Proteção de Dados do Chile
Âmbito Territorial
A Lei de Proteção de Dados Pessoais do Chile (PDPL) amplia seu escopo territorial, assim como outras regulamentações regionais e o GDPR; a PDPL tem alcance extraterritorial e se aplica a indivíduos e organizações — tanto públicas quanto privadas — quando dados pessoais são tratados nas seguintes condições:
- Quando um controlador ou processador de dados opera a partir do Chile.
- Quando um processador ou terceiro, independentemente de onde esteja localizado ou constituído, trata dados pessoais em nome de um controlador com sede no Chile.
- Quando o controlador ou processador estiver localizado fora do Chile, mas suas atividades de processamento de dados tiverem como alvo indivíduos no Chile — seja oferecendo bens ou serviços (pagos ou gratuitos) ou monitorando o comportamento dos indivíduos, incluindo rastreamento, criação de perfis ou análise comportamental.
Responsabilidades dos Controladores de Dados
Semelhante ao RGPD, a lei estabelece novos princípios de proteção de dados que as organizações devem seguir consistentemente ao processar dados pessoais. Esses princípios, juntamente com as responsabilidades definidas, moldam as obrigações dos controladores de dados e estão alinhados com as estruturas modernas de proteção de dados. Esses princípios incluem legalidade e lealdade, limitação da finalidade, proporcionalidade, qualidade, responsabilidade, segurança, transparência e confidencialidade.
Tratamento de dados pessoais e sensíveis
Segundo a nova Lei de Proteção de Dados Pessoais (PDPL) do Chile, dados pessoais sensíveis só podem ser tratados com o consentimento do indivíduo. consentimento expresso—seja por escrito, verbalmente ou por meios tecnológicos equivalentes—a menos que se apliquem exceções específicas. Estas incluem casos em que os dados foram tornados públicos pelo indivíduo para uma finalidade específica, ou quando o processamento se baseia em interesses legítimos que atendem a certas condições legais, particularmente por entidades sem fins lucrativos. Além disso, a lei permite o processamento de dados pessoais sem consentimento quando necessário para cumprir obrigações legais, executar deveres contratuais (como contratos de trabalho), fundamentar reivindicações legais ou buscar interesses legítimos, como prevenção de fraudes ou segurança de redes e informações, desde que tais interesses não se sobreponham aos direitos fundamentais do indivíduo.
Novos Direitos do Titular dos Dados (“Derechos ARCOP”)
A legislação vigente já havia concedido aos cidadãos chilenos direitos ampliados sobre seus dados pessoais, incluindo o direito de acesso, retificação e eliminaçãoApós a reforma, os cidadãos chilenos receberam direitos adicionais sobre seus dados pessoais, como o direito à portabilidade dos dados, o direito de se opor a determinado processamento e o direito de se opor à tomada de decisões automatizadas. IAe/ou criação de perfis.
Além disso, no que diz respeito ao atendimento de solicitações de titulares de dados, as organizações têm 30 dias para responder a essas solicitações, sendo permitida uma prorrogação única de 30 dias.
Avaliações de risco à privacidade
Semelhante ao RGPD, a lei exige que os controladores realizem uma Avaliação de impacto sobre a proteção de dados (AIPD) especificamente quando se trata de processamento de dados “Provavelmente resultará em alto risco para os direitos dos titulares dos dados” e exige que os controladores demonstrem que os dados pessoais são tratados de forma adequada. Uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) é altamente recomendada nestes casos:
- Quando o processamento de dados envolve uma avaliação sistemática e completa das características pessoais dos indivíduos por meio de métodos automatizados, como a criação de perfis.
- Processamento de dados de alto volume ou extenso
- Processamento que inclui observação ou vigilância contínua de uma área de acesso público.
- Processamento de dados pessoais sensíveis ou legalmente protegidos
A lei exige que os controladores de dados detalhem as atividades de processamento e suas finalidades, avaliem a necessidade e a proporcionalidade do processamento em relação a essas finalidades, avaliem os riscos potenciais e descrevam as medidas de mitigação implementadas.
Transferências de dados transfronteiriças
Semelhante ao RGPD e a outros quadros regionais, transferências de dados transfronteiriças São permitidas com base em mecanismos específicos: (i) decisões de adequação; (ii) cláusulas contratuais, regras corporativas vinculativas ou outros instrumentos legais entre o remetente e o destinatário; ou (iii) modelos de conformidade reconhecidos ou certificações com salvaguardas apropriadas. Além disso, é publicada uma lista de países considerados “adequados” pela lei, bem como modelos de cláusulas contratuais e outros mecanismos de transferência aprovados.
Notificação de Violação e Incidente
A legislação chilena exige que os responsáveis pelo tratamento de dados notifiquem a Autoridade Nacional de Proteção de Dados (ANPD) o mais rapidamente possível e sem demora injustificada sobre qualquer incidente que possa resultar na destruição, violação, perda ou alteração acidental ou ilícita de dados pessoais — ou no acesso ou divulgação não autorizados — quando houver um risco razoável para os direitos e liberdades dos indivíduos afetados.
Embora a lei não especifique um prazo exato para a notificação, espera-se que a PDPA forneça orientações adicionais. Os controladores também devem documentar esses incidentes com detalhes sobre a natureza da violação, o impacto real ou potencial, os tipos de dados, o número de indivíduos afetados e as medidas tomadas em resposta e para evitar a recorrência. Se o incidente envolver dados sensíveis, dados de crianças, registros financeiros, bancários ou comerciais, o controlador deve notificar os titulares dos dados em linguagem clara e acessível. Quando a notificação direta não for viável, um aviso público deve ser divulgado por meio de pelo menos um grande veículo de comunicação nacional.
Fiscalização e multas
Criação da Agência de Fiscalização
A Agência de Proteção de Dados Pessoais (PDPA) é uma agência governamental recém-criada que garantirá que as organizações protejam adequadamente os dados dos cidadãos chilenos e assegurem o cumprimento da lei.
O papel da PDPA também exige que a agência certifique, registre e supervisione os métodos de prevenção e os programas de conformidade das organizações. Além disso, a agência deve administrar o Registro Nacional de Sanções e Conformidade. Este registro arquiva todas as organizações sancionadas por violações e especifica o grau da sanção por até 5 anos.
Multas e penalidades
A legislação chilena impõe penalidades rigorosas aos controladores de dados que não cumprem as normas, categorizadas como infrações leves, graves ou severas. Dependendo da gravidade da infração, as multas podem chegar a US$ 1.440.000. A reincidência pode resultar em multas de até três vezes o valor original, e a agência também pode suspender as atividades de tratamento de dados do controlador.
A abordagem BigID para a conformidade com a PDPL no Chile
A nova lei do Chile sinaliza uma mudança mais ampla na América Latina em direção a requisitos e fiscalização rigorosos de proteção de dados. A conformidade com a lei de privacidade de dados do Chile não se resume a cumprir requisitos formais — trata-se de construir um programa de privacidade que se adapte à complexidade. O BigID é a única plataforma criada para suportar todo o ciclo de vida da privacidade de dados: da descoberta à aplicação de políticas, de tarefas manuais à ação automatizada.
A solução de Gestão de Privacidade de Dados automatizada por IA e com reconhecimento de identidade da BigID para Risco e Conformidade oferece a visibilidade, o controle e a automação necessários para cumprir com confiança a PDPL (Lei de Proteção de Dados Pessoais). Com a BigID, as organizações podem:
- Identificar todos os dados: Descubra e classifique automaticamente dados, ativos de IA e modelos para criar um inventário, mapear fluxos de dados e obter visibilidade de todas as informações pessoais e sensíveis por pessoa, nível de sensibilidade, tipo, contexto e conteúdo, sujeitas aos requisitos da PDPL (Lei de Proteção de Dados Pessoais).
- Aplicar as políticas: Corrigir riscos baseados em políticas com controles e fluxos de trabalho para agir de acordo com os requisitos da PDPL (Lei de Proteção de Dados Pessoais) e automatizar o gerenciamento do ciclo de vida dos dados em toda a coleta. retenção, e eliminação.
- Monitorar transferências de dados transfronteiriças: Criar políticas e atribuir residência a fontes de dados e dados de indivíduos para garantir o cumprimento dos requisitos de residência de dados, bem como monitorar e alertar sobre transferências de dados.
- Avaliar o risco: Automatize a avaliação de impacto sobre a proteção de dados (AIPD), os relatórios de inventário de dados e os fluxos de trabalho de remediação para identificar e reduzir riscos e manter a conformidade.
- Avalie o risco de terceiros: Automatize avaliações de terceiros para avaliar a postura de segurança de fornecedores terceirizados, reduzir o risco associado a eles e verificar se todos os fornecedores cumprem os padrões de segurança e proteção de dados.
- Minimizar dados: Aplique práticas de minimização de dados, identificando, categorizando e excluindo dados pessoais desnecessários ou excessivos para gerenciar com eficiência o ciclo de vida dos dados.
- Automatize o gerenciamento de direitos de dados: Gerencie automaticamente as solicitações, preferências e consentimentos dos titulares dos dados, incluindo a opção de não participar da venda de dados, publicidade direcionada e criação de perfis de usuários.
- Implementar controles de proteção de dados: Automatize os controles de proteção de dados para impor acesso a dados e outras medidas de segurança cruciais para a proteção de dados e o cumprimento da PDPL.
Para saber como a BigID pode ajudar você a operacionalizar a privacidade e a proteção em conformidade com a legislação chilena, Solicite uma demonstração hoje mesmo!
Autor
