¿Qué normas legales aplican en materias de protección de datos y ciberseguridad?

Ley (2024) que regula la protección y el tratamiento de los datos personales y crea la agencia de protección de datos personales. entrará en vigencia el 1° de diciembre de 2026.

Ley N° (1999) sobre protección a la vida privada. Fue modificada en parte por la Ley N°.

Ley N° (1993) sobre delitos penales relativos a la información. Se sancionan delitos informáticos básicos (ej. sabotaje o el acceso indebido a sistemas).

¿Qué novedades introdujo la ley n°?

Contexto Macro

Se pasó de una visión reactiva a la exigencia de una visión preventiva, estratégica y coordinada ante los riesgos digitales. Se busca proteger infraestructuras clave, los datos pasan a tener un alto valor y se busca promover la confianza digital a nivel país.

Detalles

• Regula la forma y condiciones de como efectuar el tratamiento y protección de estos datos del derecho Respecto y Protección de la Vida Privada derecho constitucional.
• Crea la Agencia de Protección de Datos Personales. Esta tiene facultades de dictar normas obligatorias, de fiscalizar y sancionar.
• Se alinea con los estándares de la normativa europea GDPR (Reglamento General de Protección de Datos).
• Establece principios y derechos, rectores claros, obligaciones para responsables y encargados del tratamiento, y sus sanciones.
• Crea un Registro Nacional de Sanciones y Cumplimiento.
• Obliga a evaluaciones de impacto para tratamientos de alto riesgo.
• Establece un modelo de prevención de infracciones.
• Crea la figura de Delegado de Protección de Datos.
• Considera multas más gravosas.

Comparación ley chilena y normativa europea (GDPR)

A. Chile + Europa: Enfoque basado sobre el riesgo

Tanto en la Directiva EUROPEA como en la Ley chilena, las organizaciones deben evaluar de manera continua sus riesgos de seguridad y adoptar medidas proporcionales para mitigarlos. Ya no se trata de cumplir “por cumplir”: se exige gestión activa,
permanente.

B. Chile + Europa: Notificación obligatoria de incidentes

Existen dos notificaciones en relación con incidentes:
La notificación a la Agencia cuando exista vulneración de las medidas de seguridad.
La obligación de informar a los afectados aquellos incidentes o vulneraciones que afecten a datos sensibles, relativos a niños o niñas menores de 14 años o datos económicos, financieros, bancarios o comerciales.

C. Chile + Europa: Supervisión y sanciones

Ambas normativas establecen autoridades encargadas de fiscalizar y sancionar el incumplimiento de las obligaciones de ciberseguridad. En Chile, este rol lo cumplirá la Agencia de Datos Personales y en Europa cada estado miembro.

Chile: normativa de datos personales – distinciones

La Ley N° regula la forma y condiciones en la cual se efectúa el tratamiento y protección de datos personales. Veamos qué se considera como tal.

Datos personales

Es toda información vinculada o referida a una persona natural identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, ej. el análisis de
elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Datos personales sensibles

Son aquellos datos personales referidos a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.

Tratamiento de datos

Operación o conjunto de operaciones o procedimientos técnicos, que permitan recolectar
procesar, almacenar, comunicar transmitir o utilizar datos personales o su conjunto.

¿Cuáles son las obligaciones y deberes del responsable de los datos?

• Obligación de información – asegurar la recolección de acceso lícito – tratamiento con fines específicos – deberes de comunicación – deberes de cumplimiento.
• Deber de secreto y confidencialidad.
• Deber de información y transparencia.
• Deber de diseño por defecto, aplicación de medidas técnicas y organizativas adecuadas para el tratamiento de datos personales.
• Deber de adoptar medidas de seguridad.
• Deber de reportar las vulneraciones a las medidas de seguridad.