O governo chileno aprovou e sancionou a Lei nº 21.719, sua tão aguardada lei de proteção de dados pessoais (PDPL), alinhando o país mais estreitamente com os padrões internacionais de privacidade, como o Regulamento Geral de Proteção de Dados na Europa (GDPR), o Lei Geral de Proteção de Dados no Brasil (LGPD)e outros países da América Latina. O desafio agora não é apenas entender o que é necessário, mas operacionalizar a conformidade em escala para atender a esses novos padrões.
BigID está em uma posição única para ajudar organizações a cumprir essas obrigações com uma plataforma de privacidade projetada para automação, acionamento e escalabilidade. Veja o que você precisa saber sobre a Lei de Proteção de Dados Pessoais (PDPL) do Chile e como o BigID potencializa a conformidade.
O que é a Lei de Proteção de Dados Pessoais (PDPL) do Chile?
Em 26 de agosto de 2024, o governo chileno aprovou a legislação chilena reformada, que foi publicada em 13 de dezembro de 2024 e entrará em vigor em 1º de dezembro de 2026. O objetivo desta nova proposta de lei é suprir lacunas na aplicação da lei, originalmente baseadas no marco legal de proteção de dados da Espanha. A Lei nº 19.628 de "Proteção da Vida Privada" foi promulgada em 1999, criando as bases para a proteção de dados pessoais. No entanto, com o tempo, o marco legal precisou ser aprimorado para abranger o escopo mais amplo da proteção de dados e da privacidade.
A lei introduz um novo mandato de conformidade, com obrigações específicas em relação aos direitos dos titulares dos dados, avaliações de risco, governança de dados, responsabilização e obrigações mais rigorosas para controladores e processadores de dados. A lei também prevê a criação da primeira autoridade nacional de proteção de dados do Chile, a Agência de Proteção de Dados Pessoais. O novo regulador monitorará a conformidade e aplicará multas e sanções por violações de dados e não conformidade.
Requisitos atualizados da Lei de Privacidade de Dados do Chile
Âmbito Territorial
A PDPL do Chile amplia seu escopo territorial como outras regulamentações regionais e o GDPR; a PDPL tem alcance extraterritorial e se aplica a indivíduos e organizações — públicas e privadas — quando dados pessoais são processados sob as seguintes condições:
- Quando um controlador ou processador de dados opera no Chile.
- Quando um processador ou terceiro, independentemente de onde esteja localizado ou constituído, trata dados pessoais em nome de um controlador sediado no Chile.
- Quando o controlador ou processador está localizado fora do Chile, mas suas atividades de processamento de dados têm como alvo indivíduos no Chile, seja oferecendo bens ou serviços (pagos ou gratuitos) ou monitorando o comportamento dos indivíduos, incluindo rastreamento, criação de perfil ou análise comportamental.
Responsabilidades dos Controladores de Dados
Semelhante ao GDPR, a lei estabelece novos princípios de proteção de dados que as organizações devem seguir consistentemente ao processar dados pessoais. Esses princípios, juntamente com as responsabilidades definidas, moldam as obrigações dos controladores de dados e se alinham às estruturas modernas de proteção de dados. Esses princípios consistem em legalidade e justiça, limitação da finalidade, proporcionalidade, qualidade, responsabilidade, segurança, transparência e confidencialidade.
Processamento de Dados Pessoais e Sensíveis
De acordo com a nova Lei de Proteção de Dados Pessoais (PDPL) do Chile, os dados pessoais sensíveis só podem ser processados com o consentimento do indivíduo. consentimento expresso— seja por escrito, verbalmente ou por meios tecnológicos equivalentes — a menos que se apliquem exceções específicas. Isso inclui casos em que os dados foram tornados públicos pelo indivíduo para uma finalidade específica ou quando o processamento se baseia em interesses legítimos que atendem a determinadas condições legais, especialmente por entidades sem fins lucrativos. Além disso, a lei permite o processamento de dados pessoais sem consentimento quando necessário para cumprir obrigações legais, executar deveres contratuais (como contratos de trabalho), respaldar ações judiciais ou buscar interesses legítimos, como prevenção de fraudes ou segurança de redes e informações, desde que tais interesses não se sobreponham aos direitos fundamentais do indivíduo.
Novos Direitos do Titular dos Dados (“Direitos ARCOP”)
A lei existente já concedia aos cidadãos chilenos direitos reforçados sobre os seus dados pessoais, incluindo a direito de acesso, retificação e eliminação. Após a reforma, os cidadãos chilenos passaram a ter direitos adicionais sobre os seus dados pessoais, como o direito à portabilidade dos dados, o direito de se opor a um determinado processamento e o direito de se opor à tomada de decisões automatizada, IA, e/ou criação de perfil.
Além disso, no que se refere à resposta às solicitações dos titulares dos dados, as organizações têm 30 dias para responder às solicitações dos titulares dos dados e podem ter uma extensão única de 30 dias.
Avaliações de risco de privacidade
Semelhante ao RGPD, a lei determina que os controladores devem realizar uma avaliação de impacto da proteção de dados (DPIA) especificamente quando o processamento de dados é “suscetível de resultar num elevado risco para os direitos dos titulares dos dados” e exige que os controladores demonstrem que os dados pessoais são tratados adequadamente. Uma AIPD é altamente recomendada nestes casos:
- Quando o processamento de dados envolve uma avaliação sistemática e completa das características pessoais dos indivíduos por meio de métodos automatizados, como a criação de perfis.
- Processamento de dados de alto volume ou extenso
- Processamento que inclui observação ou vigilância contínua de uma área de acesso público
- Processamento de dados pessoais sensíveis ou legalmente protegidos
A lei exige que os controladores de dados detalhem as atividades de processamento e suas finalidades, avaliem a necessidade e a proporcionalidade do processamento em relação a essas finalidades, avaliem os riscos potenciais e descrevam as medidas de mitigação implementadas.
Transferências de dados internacionais
Semelhante ao GDPR e outras estruturas regionais, transferências transfronteiriças de dados são permitidas com base em mecanismos específicos: (i) decisões de adequação; (ii) cláusulas contratuais, regras corporativas vinculativas ou outros instrumentos legais entre o remetente e o destinatário; ou (iii) modelos de conformidade reconhecidos ou certificações com salvaguardas adequadas. Além disso, uma lista publicada de países considerados "adequados" perante a lei, bem como cláusulas contratuais modelo e outros mecanismos de transferência aprovados, devem ser publicados.
Notificação de violação e incidente
A regulamentação chilena exige que os controladores de dados notifiquem a Agência de Proteção de Dados Pessoais (PDPA) pelos meios mais rápidos possíveis e sem atrasos indevidos sobre qualquer incidente que possa resultar na destruição acidental ou ilegal, violação, perda ou alteração de dados pessoais — ou acesso ou divulgação não autorizados — quando houver um risco razoável aos direitos e liberdades dos indivíduos afetados.
Embora a lei não especifique um prazo exato para notificação, espera-se que a PDPA forneça mais orientações. Os controladores também devem documentar esses incidentes com detalhes sobre a natureza da violação, o impacto real ou potencial, os tipos de dados, o número de pessoas afetadas e as medidas tomadas em resposta e para evitar a recorrência. Se o incidente envolver dados sensíveis, dados de crianças, registros financeiros, bancários ou comerciais, o controlador deve notificar os titulares dos dados em linguagem clara e acessível. Quando a notificação direta não for viável, um aviso público deve ser emitido por pelo menos um grande veículo de comunicação nacional.
Execução e multas
Criação da Agência de Execução
A Agência de Proteção de Dados Pessoais (PDPA) é uma agência governamental recém-criada que garantirá que as organizações protejam adequadamente os dados dos cidadãos chilenos e façam cumprir a lei.
A função da PDPA também exige que a agência certifique, registre e supervisione os métodos de prevenção e programas de conformidade das organizações. Além disso, a agência deve gerenciar o Registro Nacional de Sanções e Conformidade. Este registro registra todas as organizações sancionadas por violações e especifica o grau de punição por até 5 anos.
Multas e Penalidades
A lei chilena impõe penalidades severas aos controladores de dados que não estejam em conformidade, categorizadas como infrações menores, maiores ou graves. Dependendo da gravidade da infração, as multas podem chegar a US$ 1.440.000. A reincidência pode resultar em penalidades de até três vezes o valor original, e a agência também pode suspender as atividades de tratamento de dados do controlador.
A abordagem BigID para a conformidade com o PDPL do Chile
A nova lei chilena sinaliza uma mudança mais ampla na América Latina em direção a requisitos e aplicação rigorosos de proteção de dados. A conformidade com a lei de privacidade de dados do Chile não se resume apenas a cumprir requisitos — trata-se de criar um programa de privacidade que se adapte à complexidade. O BigID é a única plataforma desenvolvida para suportar um ciclo de vida completo da privacidade de dados: da descoberta à aplicação de políticas, das tarefas manuais à ação automatizada.
O Gerenciamento de Privacidade de Dados Automatizado por IA e com Identidade da BigID para Risco e Conformidade oferece a visibilidade, o controle e a automação necessários para cumprir com segurança a PDPL. Com a BigID, as organizações podem:
- Identificar todos os dados: Descubra e classifique automaticamente dados, ativos de IA e modelos para criar um inventário, mapear fluxos de dados e obter visibilidade sobre todas as informações pessoais e confidenciais por pessoa, sensibilidade, tipo, contexto e conteúdo sujeitos aos requisitos do PDPL.
- Aplicar políticas: Corrija o risco baseado em políticas com controles e fluxos de trabalho para tomar medidas sobre os requisitos do PDPL para automatizar o gerenciamento do ciclo de vida dos dados em toda a coleta, retençãoe eliminação.
- Monitorar transferências transfronteiriças de dados: Crie políticas e atribua residência a fontes de dados e dados de indivíduos para impor requisitos de residência de dados, além de monitorar e alertar sobre transferências de dados.
- Avaliar risco: Automatize a avaliação de impacto da proteção de dados (DPIA), relatórios de inventário de dados e fluxos de trabalho de remediação para identificar e reduzir riscos e manter a conformidade.
- Avalie o risco de terceiros: Automatize avaliações de terceiros para avaliar a postura de segurança de fornecedores terceirizados, reduzir riscos de terceiros e verificar se todos os fornecedores aderem aos padrões de segurança e proteção de dados.
- Minimizar dados: Aplique práticas de minimização de dados identificando, categorizando e excluindo dados pessoais desnecessários ou excessivos para gerenciar com eficiência o ciclo de vida dos dados.
- Automatize o gerenciamento de direitos de dados: Gerencie automaticamente solicitações de direitos, preferências e consentimentos de titulares de dados, incluindo a recusa de venda de dados, publicidade direcionada e criação de perfil de usuário.
- Implementar controles de proteção de dados: Automatize os controles de proteção de dados para impor acesso a dados e outras medidas de segurança cruciais para proteger dados e cumprir com a PDPL.
Para saber como o BigID pode ajudá-lo a operacionalizar a privacidade e a proteção de acordo com a lei do Chile, solicite uma demonstração hoje mesmo!
Autor
