Principios legales de la ley n° o forma de cumplir obligaciones y deberes

Para cumplir las obligaciones y deberes que dictamina la Ley N°21. 719 – que regula la forma y condiciones en la cual se efectúa el tratamiento y protección de datos personales- se debe revisar a los principios que esta establece, la legislación comparada en estos temas, y, luego, adoptar medidas eficaces y eficientes para cumplir con la finalidad de esta normativa, atendida la realidad de cada empresa. 
A continuación, va un resumen de estos principios.

A. Principio de Licitud

Todo tratamiento de datos personales debe tener una base legal válida.

Esto implica:
– El consentimiento previo del titular.
– Que el tratamiento de datos se deba a la existencia de una obligación legal (por ejemplo, normativa laboral o tributaria).
– Que el tratamiento de datos se dé en el marco de la ejecución de un contrato.
– Que exista un interés legítimo en el tratamiento de datos que no vulnere derechos fundamentales.

Ejemplo N°1
Una empresa de reclutamiento solicita a los postulantes una copia de su certificado de antecedentes penales, sin explicar para qué lo usará, ni qué hará con él si el postulante no es seleccionado.
Vulnera la licitud del tratamiento, porque no existe una base legal para exigir ese documento de forma general ni una finalidad clara. – Además, la recolección masiva sin análisis de necesidad vulnera también el principio de proporcionalidad.

B. Principio de Finalidad
Los datos personales deben usarse únicamente para los fines específicos, explícitos y legítimos que se informaron al momento de su recolección. Además, esos fines deben haber sido consentidos por el titular de manera expresa. No se pueden reutilizar datos para otros fines ni “guardar por si acaso”.

Ejemplo
Una clínica privada pide los datos de contacto de un paciente para enviarle su boleta electrónica. Días después, el paciente comienza a recibir publicidad de servicios estéticos de la misma clínica, sin haber autorizado ese uso.
Se infringe, entre otros, el principio de finalidad, porque los datos fueron recolectados para fines administrativos, no para marketing.

C. Principio de Proporcionalidad y Calidad

Los datos que se traten se deben limitar estrictamente a aquellos que resulten necesarios entre el titular y el responsable. Además, deben ser exactos, completos y actuales.
Esto significa que debe contar con tecnología que permita que una compañía pueda determinar exactamente qué datos tiene y para qué fin, de lo contrario su actuar es ilícito.

Ejemplo
Una empresa sufre una filtración de datos personales en situaciones en las que no debió contar con esos datos, ya sea por su giro o por no tener el consentimiento expreso. Cuando es fiscalizada, no conoce para qué ni qué datos almacena ni tiene protocolos de seguridad, ni políticas internas, ni registro de responsables.

Lo que debió haber hecho en primer lugar es determinar qué datos tiene, por qué y adoptar medidas de seguridad, para esto es importante considerar la probabilidad de riesgos y la gravedad de los efectos en relación al tipo de datos que se protege.

D. Principio de Seguridad
Toda organización debe cumplir la ley y demostrar que la cumple, así es necesario que implemente medidas que puedan identificar, clasificar y mitigar sus riesgos en materia de datos personales y ciberseguridad. Esto incluye riesgos tecnológicos, humanos, y de terceros (proveedores externos).

¿Qué medidas implementar? Algunas o todas las siguientes:
– Firewalls y antivirus actualizados.
– Cifrado de bases de datos.
– Backups periódicos.
– Control de accesos y permisos diferenciados.
– Evaluaciones de impacto.

Ejemplo
Una municipalidad almacena fichas sociales de sus vecinos en una planilla Excel, sin respaldo, sin cifrado y en un computador sin antivirus.
Este es un caso claro de mala gestión de riesgos. Basta una falla o un malware para exponer información sensible. No se trata solo de cumplir la ley, sino de evitar consecuencias operativas y reputacionales graves.

¡A RECORDAR!
El responsable debe garantizar la seguridad de los datos personales, adoptando medidas técnicas y organizativas adecuadas al nivel de riesgo. Este principio se construye sobre el estándar internacional del triángulo CIA: Confidencialidad, Integridad, Disponibilidad (Availability, en inglés).

Ejemplo
Los exámenes médicos de un paciente solo deben ser visibles para el personal clínico autorizado, no para administrativos o terceros.



El Triángulo del Principio de Seguridad – La C de Confidencialidad

Los datos deben mantenerse completos y sin alteraciones indebidas.

Ejemplo
En un sistema de licitaciones públicas, la modificación de una oferta por parte de un funcionario no autorizado compromete la integridad del proceso y los derechos de terceros.

El Triángulo del Principio de Seguridad – La D de Disponibilidad
La información debe estar accesible cuando se necesite, incluso en situaciones de emergencia.

Ejemplo
Una clínica sufre un ciberataque y pierde acceso a sus fichas médicas justo antes de una cirugía programada.
Este incidente revela una falla crítica de seguridad, con posibles consecuencias legales, médicas y éticas.


E. Principio de Transparencia
Las personas tienen derecho a saber:
– Qué datos se recopilan.
– Con qué finalidad.
– Cómo se almacenan.
– Con quién se comparten.
– Cuánto tiempo se conservarán.
– Qué derechos pueden ejercer y cómo.
La información debe ser clara, accesible y fácilmente entendible.

Ejemplo

Un sitio web de e-commerce recolecta RUT, teléfono y dirección del comprador, pero no publica política de privacidad ni explica cómo se usan los datos.
Esto infringe, entre otros, el principio de transparencia. El titular no puede ejercer sus derechos si no sabe qué se está haciendo con su información.

EN CASO DE INCUMPLIMIENTO: ¿QUÉ SANCIONES CONTEMPLA LA LEY N°?

Sanciones Leves • Multa: Hasta UTM
Sanciones Graves • Multa: Hasta UTM
Sanciones Gravísimas • Multa: Hasta UTM

¡A RECORDAR!
La legislación en materia de protección de datos requiere un análisis exhaustivo de la compañía y los datos que ésta maneja, y debe considerarse en conjunto con el ecosistema de normativa vigente, por lo mismo debemos siempre tener en mente que puede aplicar a una empresa determinada, además normativa sectorial, así como la normativa establecida en la Ley Marco de Ciberseguridad. Esto además implica un cambio fuerte en la dirección de cada empresa, debe conocer cada área que datos maneja y para qué, no podemos tener áreas que no estén integradas e informadas en materia de protección de datos, se deben hacer levantamientos, nombrar encargados y crear protocolos a la medida y según las necesidades de cada empresa, el desafío incluye un cambio cultural y empresarial, esta ley aplica a todas las empresas.

Para más información sobre esta materia, contactar a:

[Magdalena Krauss] – Socia
mkrauss@