INFORME DE LA COMISION DE CONSTITUCIÓN, LEGISLACIÓN, JUSTICIA y REGLAMENTO recaído en el proyecto de ley, en tercer trámite constitucional, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales.
BOLETINES Nos. 11.092-07 y11.144-07, refundidos.
HONORABLE SENADO:
La Comisión de Constitución, Legislación, Justicia y Reglamento tiene el honor de informar el proyecto de ley señalado en el epígrafe, en tercer trámite constitucional, iniciado en los proyectos, ahora refundidos: el primero, moción de los Honorables Senadores señores Araya y De Urresti, y de los exsenadores señores Espina, Harboe y Larraín, sobre protección de datos personales (correspondiente al Boletín N° 11.092-07); la segunda, en mensaje de la expresidenta de la República, señora Michelle Bachelet Jeria (correspondiente al Boletín N°11.144-07). Para su despacho se ha hecho presente calificación de urgencia en el carácter de “suma”.
OBJETIVO DE LA INICIATIVA
Perfeccionar las normas relativas al tratamiento de los datos personales de las personas naturales, de manera que éste se realice con el consentimiento del titular de dichos datos o en los casos que lo autorice la ley, asegurando estándares de calidad, información, transparencia y seguridad. Asimismo, crear la Agencia de Protección de Datos Personales, organismo público encargado de velar por la protección de los datos personales.
NORMAS DE QUORUM ESPECIAL
Se hace presente que el inciso primero del artículo 30 sexies; el artículo 43; el inciso sexto del artículo 44; el inciso primero del artículo 45; y los artículos 54 y 55 contenidos en el numeral 13 (12 del Senado) todos del artículo primero del proyecto de ley despachado por la Cámara de Diputados, tienen rango de normas orgánicas constitucionales.
Igualmente, que la letra h) del artículo 3, contenido en el numeral 6 (5 del Senado); el inciso final del artículo 14 bis contenido en el numeral 8 (7 del Senado); la letra d) del inciso primero del artículo 24 y los incisos tercero y final del artículo 25, contenidos en el numeral 11 (10 del Senado); el artículo 46; el inciso octavo del artículo 50; el inciso primero del artículo 54, contenidos en el numeral 13 (12 del Senado), todos del artículo primer aprobados por la Cámara de Diputados, tienen rango de normas de quorum calificado.
- - -
ASISTENCIA
A una o más sesiones en que se analizó esta iniciativa asistió el Honorable Senador señor Kenneth Pugh Olavarría. De igual forma, el Honorable Senador señor Luciano Cruz-Coke fue reemplazado por el Honorable Senador señor Kenneth Pugh Olavarría.
Asimismo, participaron en la discusión de la iniciativa:
- Por el Ministerio Secretaría General de la Presidencia, la Subsecretaria, señora Macarena Lobos, acompañada por los asesores, señoras Bianca González, Isadora Venegas y Lizzy Seaman, y señores Juan Cancino, Vicente Riquelme, Carlos Valenzuela, Thomás Heselares e Ignacio Soto.
- Por el Ministerio Público concurrieron, la Gerenta de la División de Estudios, Evaluación, Control y Desarrollo Gestión, señora Ana María Morales; la Directora de la Unidad de Planificación y Coordinación Estratégica, señora Simone Hartard y, el asesor de la División de Estudios de la Fiscalía Nacional, señor Rodrigo Honores.
De igual manera, estuvieron presentes los siguientes asesores parlamentarios: de la Senadora señora Luz Ebensperger, la señora Paola Bobadilla; del Senador Alfonso De Urresti, la señora Fernanda Valencia; del Senador señor Luciano Cruz-Coke, los señores Jorge Hagedorn y Carlos Lobos; del Senador señor Rodrigo Galilea, el señor Benjamín Sáenz; del Senador señor Kenneth Pugh, el señor Pascal De Smet; del Senador señor Javier Macaya, el señor Carlos Ayarzún; del Senador señor Gastón Saavedra, el señor Luis Batallé; del Comité UDI, el señor Giovanni Calderón; del Comité PS, la señora Melanie Moraga y el señor Luciano Candia; del Comité Evópoli, el señor Jaime Herranz. Finalmente acudieron, los asesores de la Fundación Jaime Guzmán, los señores Arturo Hasbún y Sebastián Videla; del Instituto Libertad y Desarrollo, los señores Juan Ignacio Gómez y Esteban Ávila; de la Asociación Chilena de Municipalidades, el señor Jorge Lama y, del Diario Financiero, la señora Claudia Rivas.
Finalmente, hacemos presente que la sesión del día 12 de diciembre de 2023 fue declarada secreta por la Comisión, a solicitud del Ministerio Público.
-.-.-.-
CONSIDERACIONES PREVIAS
Antes de iniciar el estudio en detalle de las enmiendas introducidas en segundo trámite constitucional por la Cámara de Diputados al texto del proyecto aprobado por el Senado, la Presidenta de la Comisión, Honorable Senadora señora Luz Ebensperger, ofreció la palabra a la Subsecretaria General de la Presidencia, señora Macarena Lobos Palacios, quien inició su intervención haciendo una reseña acerca del trámite legislativo de esta iniciativa. Recordó que su tramitación comenzó en el año 2017 a partir de un mensaje de la ex Presidenta señora Michelle Bachelet y una moción de los Honorables Senadores señores Alfonso de Urresti y Pedro Araya, y de los exsenadores señores Alberto Espina, Felipe Harboe y Hernán Larraín, proyectos que fueron refundidos. Indicó que actualmente se encuentra en tercer trámite constitucional luego de seis años de tramitación, donde ha habido un extenso debate sobre la institucionalidad que estaría a cargo de la nueva normativa sobre protección de datos. Asimismo, en particular, destacó que en la Cámara de Diputados se logró un acuerdo para que fuera una agencia independiente la que administre el futuro sistema de tratamiento de los datos personales.
Luego, puntualizó que también se realizó un arduo trabajo en una comisión creada con parlamentarios, expertos y agentes de la Unión Europea que permitió que una parte importante de las enmiendas presentadas se aprobasen por unanimidad. Lo anterior, con el propósito de homologar nuestra regulación a aquella dispuesta por el Reglamento General de Protección de Datos de la Unión Europea (GDPR), lo cual permitirá que Chile pueda ser declarado por la Comisión Europea como país con un nivel adecuado de protección de datos personales. Ello, explicó, facilitará la transferencia internacional de datos con dicha entidad internacional que hoy es nuestro tercer socio comercial.
Añadió que hay una gran cantidad de enmiendas cuya importancia es dispar. No todas van al centro de la discusión, algunas son simples modificaciones de mera redacción.
Seguidamente, la señora Subsecretaria General de la Presidencia enunció las principales enmiendas acordadas por la Cámara de Diputados a esta iniciativa. Explicó que este proyecto de ley persigue elevar el estándar de protección a los derechos de las personas. En igual sentido, sostuvo que la aprobación de este proyecto también implica el cumplimiento de compromisos adquiridos por Chile en el ingreso a la OECD el año 2010, y que a la fecha aún están pendientes.
En primer lugar, se refirió a la aplicación extraterritorial de la ley. Hizo presente que se ha seguido el artículo 3 del “General Data Protection Regulation” (GDPR por su sigla, en adelante), en cuanto hace aplicable la ley chilena a quienes tratan datos referidos a personas que se encuentren en Chile, aunque aquellos responsables no se encuentren establecidos en el territorio nacional. Esto, precisó, se relaciona con otra enmienda que dice relación con la obligación de las empresas extranjeras de nombrar un representante en Chile para efectos de poder garantizar eficazmente la protección de los datos personales.
Luego, resaltó que se hace una precisión en cuanto a la definición de datos personales, en el que se eliminó el “esfuerzo de identificación desproporcionado” como causal de excepción de calificación de datos como datos personales. Acto seguido, se refirió a la definición de datos personales sensibles. A dicho concepto, acotó que se agregaron a la definición las características físicas o morales, los hechos o circunstancias de su vida privada o intimidad, incluyendo los que revelen su situación socioeconómica. Por otra parte, se les dio un carácter no taxativo al agregarse la expresión “tales como aquellos”.
También, señaló que las modificaciones se refieren a la definición y regulación de las fuentes de acceso público. Siguiendo el diseño del GDPR, se establece en el proyecto que los datos obtenidos de fuentes de acceso público se someterán a las disposiciones de esta ley y, en consecuencia, se eliminan las fuentes de acceso público como causa autónoma de licitud para el tratamiento de datos personales. Puntualizó así, que la iniciativa contempla que se aplicará la regla general respecto de los datos de base abierta en su tratamiento, para cuyo acceso se debe cumplir con los requisitos que la ley establecerá.
A su turno, el Honorable Senador señor Galilea, consultó si en esta exposición también se formularán propuestas de materias que debieran ser rechazadas, para que puedan ser examinadas en un tercer trámite constitucional.
La Subsecretaria General de la Presidencia señora Macarena Lobos, explicó que sólo se tratarán los 28 puntos más importantes respecto de los cuales se introdujeron enmiendas al proyecto de ley para luego dar paso a los comentarios y sugerencias que la Comisión estime del caso formular.
De esta forma, prosiguió con algunos comentarios sobre la definición de consentimiento. Siguiendo las disposiciones del GDPR, se agrega a la definición de “consentimiento” el requisito de ser “otorgado a través de una declaración o una clara acción afirmativa”. Se establece alternativamente, que estas dos formas son aquellas que importan un consentimiento explícito. Asimismo, se especifica que el consentimiento debe ser previo al tratamiento de los datos.
Ahora, especificó, que en cuanto al derecho a la portabilidad, se otorga al titular el derecho de exigir que sus datos se transmitan directamente entre responsables. Lo anterior, señaló, no necesariamente supone supresión de datos. Finalmente, se especificó que la copia de los datos en la portabilidad debe ser entregada en un formato “de uso común”.
En cuanto al Registro Nacional de Sanciones y Cumplimiento, detalló que se modificó el nombre del registro, invirtiendo las expresiones “cumplimiento y sanciones”, y se eliminó el deber de registrar la revocación de la certificación de los modelos de prevención, habida cuenta de que dichos modelos son un asunto voluntario y, en consecuencia, no parecía razonable mantenerla pues iba a desincentivar la obtención de las certificaciones.
En materia de principios, las modificaciones al principio de lealtad y responsabilidad proactiva -en consonancia con el artículo 4 del GDPR- consistieron en la incorporación del principio de lealtad y el deber del responsable de acreditar la licitud del tratamiento de datos personales que realiza. De igual forma, se refuerza el principio de calidad en el que se agregó la obligatoriedad de hacer una referencia a la proveniencia de los datos personales para el cumplimiento de dicho principio.
En cuanto al principio de transparencia e información, se agregó como norma general el deber de entregar al titular la información necesaria para el ejercicio de los derechos que establece la ley.
Igualmente, en cuanto al derecho de acceso se agregó el derecho a acceder a información significativa sobre la lógica aplicada en los casos en que se realice tratamiento automatizado de datos, y se estableció un deber general de entregar información salvo cuando la ley disponga lo contrario. También, detalló, se reconoce el derecho de oposición por medio de la agregación de una fórmula general, derecho que no procederá cuando concurra un interés público o se trate del ejercicio de una función pública. A este respecto, la señora Subsecretaria General de la Presidencia hizo hincapié que existe una norma específica para los órganos públicos y hay, en especial, una para el Ministerio Público que persigue el adecuado uso de los datos en el ejercicio de sus funciones específicas.
En materia de decisiones individuales automatizadas, se cambia la lógica existente de la prohibición, por la posibilidad de oposición. En tal sentido, se elimina el requisito referido a que el tratamiento de los datos fuera “únicamente” automatizado para la procedencia de este derecho. De la misma manera, se incorporó el derecho a obtener una explicación respecto de la decisión adoptada.
Asimismo, prosiguió, se establece un derecho de bloqueo. Consiste en el establecimiento de un plazo de tres días para que la Agencia de Protección de Datos resuelva la solicitud de bloqueo realizada por el titular de los datos. Y en la misma línea, a raíz de la internalización de los datos se establece el deber de designar representante. Acá se siguió al GDPR y, por ello respecto de las personas jurídicas no constituidas en Chile se establece el deber de designar por escrito ante la Agencia, un representante domiciliado en Chile ante el cual los ciudadanos puedan ejercer eficazmente sus derechos.
Recalcó igualmente, que, en materia de evaluación de impacto en la protección de datos personales, se incorporó el deber de realizar una evaluación de dicho impacto en los casos en que un tipo de tratamiento pueda producir un alto riesgo para los derechos de las personas. Se fija un catálogo de casos en los que eso procede, y la omisión de este deber de evaluación se agregó como infracción de carácter gravísima al artículo 34 quater del proyecto.
Seguidamente, añadió que otra norma especial en la que se proponen enmiendas, es la que trata acerca de los datos personales relativos a la salud y al perfil biológico del ciudadano. En esta materia, se realizan modificaciones que permiten armonizar la regulación contenida en el proyecto de ley con las que prevén las reglas sanitarias.
Por otra parte, puntualizó, se introducen cambios en cuanto al ejercicio de funciones fiscalizadoras, investigativas o de protección a víctimas y testigos con el fin de resguardar el ejercicio de las funciones del Ministerio Público. Y, además, se agrega la protección a dichas víctimas y testigos en los casos en que los organismos no dieran lugar al libre ejercicio de los derechos a los titulares de ellos.
En cuanto a la transferencia internacional de datos, se dispone que para el caso de las citadas transferencias con países que no han sido declarados “adecuados”, se considerarán garantías apropiadas los instrumentos, mecanismos y cláusulas que otorguen una protección similar a la de la ley, y otorguen acciones legales efectivas a los titulares de los datos. Igualmente, se entrega a la Agencia la facultad de imponer condiciones previas a la verificación y aprobar cláusulas modelo para la transferencia internacional en estos casos.
Luego, explicó que dada la confluencia de algunos órganos con distintas competencias en materia de datos personales, como las del Consejo para la Transparencia, las obligaciones establecidas en la Ley sobre Acceso a la Información Pública N°20.285, o la Ley del Servicio Nacional de Consumidor N°19.496, que podrían, eventualmente, colisionar en el ejercicio de sus atribuciones, se ha dispuesto la aplicación del principio de coordinación administrativa mediante una referencia expresa al artículo 14 de la ley Nº19.880, que obliga a enviar los antecedentes a la autoridad competente, en los casos en que un organismo distinto haya sido requerido por iguales motivos.
Hizo presente, asimismo, que un tema debatido en el Honorable Senado, que luego fue decidido y ratificado en la Cámara de Diputados y Diputadas, fue el de la existencia de una agencia autónoma para la dirección del sistema. En esto, se ha dispuesto que tanto su Presidencia como la Vicepresidencia sean designadas por su Consejo Directivo de modo de fortalecer su autonomía.
En otro orden de ideas, enunció que se sancionará la infracción de entrega de información incompleta. Por ello, se agrega en el catálogo sancionatorio, como infracción leve, la entrega de información incompleta en el proceso de registro o certificación del modelo de prevención de infracciones y como infracción gravísima, los casos en que dicha conducta sea realizada a sabiendas.
A continuación, informó que otro tema ampliamente debatido fue el régimen de multas. Siguiendo la normativa internacional en la materia, se eliminan los montos mínimos de dichas puniciones para dar mayor flexibilidad a la Agencia, pero dentro de ciertos criterios que establece el propio proyecto. Se especifica que para el caso en que la infractora sea una empresa, se duplica el monto máximo de las multas y además se establece que las infracciones graves y gravísimas podrán ser sancionadas con una suma equivalente al 2% de los ingresos anuales provenientes de sus ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 10.000 unidades tributarias mensuales en el caso de las infracciones graves; y hasta la suma equivalente al 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 20.000 unidades tributarias mensuales para el caso de las infracciones gravísimas. Recordó, que lo anterior es una innovación, pues en el proyecto despachado por el Senado no se establecían techos para este régimen sancionatorio, sino que sólo porcentajes relativos al giro. Fue en el debate producido en la Cámara de Diputados donde se generaron estos límites máximos expresados en unidades tributarias mensuales.
En el mismo orden de ideas, hizo presente el establecimiento de una sanción accesoria de suspensión del tratamiento de datos de carácter transitorio, ya sea total o parcial, según lo determine la Agencia, y que podrá aplicarse por un “máximo” de 30 días, lo que también contribuye a su proporcionalidad. Y, con el objeto de reforzar la bilateralidad de la audiencia se agregó un plazo de 10 días para que el titular haga valer sus derechos en el caso en que el responsable se haya allanado a la reclamación, con el fin de que tenga la oportunidad de ser oído por dicha Agencia antes de que archive los antecedentes.
En seguida, la señora Subsecretaria General de la Presidencia, puntualizó que se fortalecen las exigencias para la implementación del modelo de prevención de infracciones, estableciendo los elementos mínimos que el modelo debe contener. Asimismo, se elimina la posibilidad de que la mera designación de delegado constituya un modelo de prevención.
Luego, trajo a colación una norma acerca de la fiscalización de los órganos autónomos establecida en el párrafo VIII, artículos 55 y siguientes del proyecto de ley; a saber, el Congreso Nacional, el Poder Judicial, el Banco Central, entre otros organismos dotados de autonomía. Argumentó, que el artículo 54 del proyecto de ley despachado por el Senado establecía una buena conciliación entre la norma general de fiscalización y la norma especial en materia de órganos autónomos para que, respetando siempre su autonomía, quedasen al margen de la fiscalización de la Agencia. Esa norma, se suprimió en la Cámara de Diputados y Diputadas de modo que el Congreso Nacional, el Poder Judicial y los organismos dotados de autonomía constitucional quedan sujetos a la competencia de la Agencia de Protección de Datos.
Finalmente, destacó la modificación de las competencias del Servicio Nacional del Consumidor, la que se reduce solo a los datos personales en los juicios colectivos cuando se hayan vulnerado dichos datos. Con el propósito de evitar la superposición de las facultades del Servicio Nacional del Consumidor y de la Agencia de Protección de Datos, se radican en el SERNAC sólo las atribuciones para solicitar indemnizaciones mediante juicios colectivos (en los casos en que se hayan vulnerado datos personales) y además el deber de llevar un registro de las actuaciones judiciales en la materia. Todas las otras competencias en esta materia seguirán radicadas en la Agencia, afirmó.
Concluyó su exposición, refiriéndose a las normas transitorias que el proyecto consulta. En ellas, se amplió el plazo de vacancia del proyecto de ley a dos años desde su publicación. Dicho plazo, por una parte, coincide con la vacancia que contempló el GDPR y por otra, establece un plazo único de entrada en vigencia para todos los sujetos obligados y respecto de todos los datos que traten. Respecto del término para dictar los reglamentos que refiere la ley, se estableció que éste se contará desde la publicación del proyecto de ley en el Diario Oficial en vez desde su entrada en vigencia.
Por último, explicó, se amplió a 90 días el plazo para la dictación de los estatutos de la Agencia, con el propósito de otorgar a los primeros consejeros designados un período más extenso para discutir y preparar la propuesta.
Finalizada la exposición por parte de la Subsecretaria General de la Presidencia señora Macarena Lobos, la Honorable Senadora señora Ebensperger, consultó si el Ejecutivo apoya todas las enmiendas hechas en el segundo trámite constitucional referidas, o si tiene algún tipo de matiz respecto de una o más de ellas.
La señora Subsecretaria General de la Presidencia hizo presente que el Ejecutivo en general está de acuerdo con las enmiendas. Sin embargo, hizo presente que surgió el tema del artículo 54 del proyecto de ley alusivo a la fiscalización de los órganos con autonomía constitucional. Subrayó que dicho artículo 54 del proyecto de ley despachado por el Senado establecía una buena conciliación -hoy eliminada- entre la norma general de fiscalización y la norma especial en materia de órganos autónomos, para que manteniendo su autonomía quedasen al margen de la fiscalización de la Agencia. Frente a esto, manifestó que espera tener un espacio para poder volver a discutir esa reforma.
Igualmente, señaló que el señor Bruno Gencarelli, Jefe de la Unidad de Flujos Trasfronterizos de Datos de la Comisión Europea, adujo que para que Chile se transforme en un “país adecuado” en materia de protección de datos personales es necesario abrir espacios en la tramitación de este proyecto para algunos ajustes menores como, por ejemplo, en materia de transferencia internacional de datos personales, entre otros, finalizó.
Seguidamente, el Honorable Senador señor Pugh, agradeció la intervención de la señora Subsecretaria General de la Presidencia. Explicó que en su condición de integrante de la Comisión Parlamentaria Mixta Unión Europea–Chile, este órgano supranacional ha brindado la pauta en materia de tratamiento de datos personales mediante la dictación del Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Desde el año 2018 a esta parte, este reglamento europeo ha sido el estándar en la materia a nivel internacional.
Asimismo, destacó que la Unión Europea escogió tres ciudades en tres países para lanzar esta política de tratamiento de personales a nivel mundial: Bruselas en Bélgica, capital de Europa; la India en Asia; y Santiago de Chile. La razón por la cual se escogió la ciudad de Santiago de Chile es porque es la misión más antigua en América Latina de dicha organización.
Argumentó que hoy, la sociedad y en especial la economía, son digitales. Por ello, resulta indispensable avanzar en el tratamiento jurídico de los datos personales y en ciberseguridad, pero también en la interoperabilidad. Respecto del tratamiento de los datos personales, desde el año 2018 a esta parte el citado reglamento de la Unión Europea se ha ido modificando, y por ello, a cada paso es necesario incorporar las recomendaciones que dicha organización realiza para actualizar la regulación internacional en esta materia. Enfatizó que el tema del tratamiento de datos es de la máxima relevancia para la economía moderna y, en consecuencia, resulta imprescindible avanzar conjuntamente con la regulación más actualizada que existe, de modo de ir a la par con los países líderes en la materia.
Por lo anterior, instó a la Comisión a hacerse cargo de lo que dice la Unión Europea y, en atención a ello crear una Comisión Mixta para abordar lo que ella recomienda, siempre teniendo en cuenta que es un proceso dinámico y en evolución y que también van surgiendo nuevos antecedentes de forma recurrente.
Recordó, asimismo, que está en tramitación el proyecto de ley marco de ciberseguridad que fija un catálogo de multas cuya convergencia con las sanciones contempladas en el proyecto de ley de datos personales es muy baja. Las multas, como están tratadas en el proyecto de ley datos personales, en relación al tratamiento de las mismas en el proyecto de ley marco de ciberseguridad hoy en la Cámara de Diputados y Diputadas, no guardan relación. Es necesario homologar el tratamiento sancionatorio en ambos proyectos de ley, recalcó.
Agregó, que Chile requiere tener una identidad digital regulada y clara, pues el tratamiento de los datos personales se basa esencialmente en la certeza jurídica. Y para ello es necesario avanzar en su regulación. Precisó, que lo que actualmente tenemos es una “clave única” la que solamente cumple una función de credencial para operar con los órganos del Estado, pero no garantiza en caso alguno la identidad digital de la persona que realiza gestiones y actos jurídicos en el mundo digital abierto. Hoy, ni el Registro Civil ni los demás órganos fiscales están preparados para utilizar la identidad digital, y en razón de aquello es menester hacerse cargo de ese desafío. Subrayó que la seguridad jurídica, la trazabilidad y la interoperabilidad son conceptos claves para un tratamiento de datos personales moderno y eficaz. Asimismo, hizo hincapié en que la incorporación de un mecanismo de identidad digital garantizará un adecuado grado de fiabilidad para todos los ciudadanos en el ciberespacio.
Finalizó su intervención señalando que se requiere una ley de gobernanza digital que permita unificar todos los aspectos que en la actualidad son indispensables para un funcionamiento adecuado de la red. Enfatizó, que se ha avanzado en distintos aspectos de forma dispareja y no con la misma velocidad. Por ello, armonizar nuestra legislación en este tópico es una tarea pendiente de carácter esencial.
Por su parte, el Honorable Senador señor Galilea, manifestó que junto a otros parlamentarios han identificado los puntos importantes de divergencia que el proyecto de ley sobre datos personales en discusión posee en relación a lo aprobado por la Cámara de Diputados y Diputadas, motivo por el cual resulta razonable llevar este proyecto a una Comisión Mixta. Refrendó lo anteriormente expuesto por el Honorable Senador señor Pugh en cuanto a que exista armonía con lo que la Cámara de Diputados apruebe en el proyecto de ley marco de ciberseguridad.
En lo tocante al proyecto de ley en discusión, señaló necesario hacer unos ajustes al artículo 10 en cuanto a la designación de representantes; igualmente, en el artículo 11 respecto al procedimiento en el ejercicio de los derechos ante el responsable en el tratamiento de los datos; luego, en el artículo 14 sexies en cuanto a la notificación de violación de datos personales; igualmente, en el artículo 13, dijo que es necesario revisar el tratamiento de los datos públicos; asimismo, se hace necesario analizar lo aprobado en los artículos 27 y 28 de la iniciativa en tramitación respecto de la transferencia internacional de datos; en el artículo 30 bis, en materia de facultades fiscalizadoras se hace necesario un pequeño cambio de redacción; igualmente el artículo 34 letra j) relacionado también con las sanciones, el artículo 35 en la misma línea para finalmente revisar el artículo cuarto y el séptimo transitorios. El objetivo, recalcó, es llegar con una lista acotada de diferencias a resolver en la Comisión Mixta, con el fin de dar celeridad a la tramitación de la iniciativa.
A continuación, hizo uso de la palabra el Honorable Senador señor De Urresti, quien agregó algunos aspectos a lo ya señalado por sus predecesores. Lo primero, es que el proyecto de ley en discusión desde su fecha de presentación hasta ahora no sólo ha ido mutando, sino que también la circunstancias que le dieron origen, y hay una serie de datos y hechos que forman parte del actual contexto -dinámico en esencia- que rodea la regulación de un aspecto tal.
Recordó, que al inicio de la discusión de esta iniciativa hubo un fuerte debate acerca de quién sería el órgano encargado de administrar este sistema; unos pensaron que debía ser el Consejo para la Transparencia, otros en cambio, pensaron en una agencia independiente.
Destacó la importancia de lo señalado por el Honorable Senador Pugh y en razón de los fundamentos esgrimidos resulta fundamental establecer un límite temporal para las discusiones, pues de incorporar todas y cada una de las referencias y actualizaciones que el estatuto de la Unión Europea añade, la regulación que se pretende demorará muchísimo, especificó.
Hizo hincapié que se requiere, por tanto, dejar en la futura ley un conjunto de normas y cláusulas abiertas que permitan a la agencia encargada, actualizar y adaptar la institución a las situaciones cambiantes y a las nuevas tecnologías que los años venideros traerán.
Finalmente, inquirió acerca de la identidad digital, su recepción en este proyecto, su forma de implementación y los planes que existen respecto de ella actualmente por parte del Ejecutivo.
A continuación, la Subsecretaria General de la Presidencia señora Macarena Lobos, manifestó total voluntad para acoger en la discusión venidera las materias y puntos que dejó el Honorable Senador señor Galilea en su exposición, ya sea que hayan tenido no enmiendas en la Cámara de Diputados y Diputadas.
Hay puntos, explicó, como el de las multas, cuya discusión fue lata y precisamente en el caso de la ciberseguridad, no cree necesario esperar hasta la dictación de su ley marco, pues hay una armonización en cuanto a las sanciones pecuniarias, las cuales sin embargo poseen una composición distinta.
En el proyecto de ley que regula la protección y el tratamiento de los datos personales, lo que se plantea como multas son porcentajes de los ingresos obtenidos de las entidades dedicadas al giro, pero no es así en el proyecto de ley marco de ciberseguridad. Sin embargo, los topes o techos son iguales: 10.000 y 20.000 U.T.M. para el caso de que se trate de infracciones graves o gravísimas, respectivamente.
En lo tocante al tema de la identidad digital la señora Subsecretaria General de la Presidencia adujo que éste no está tratado de forma directa, en los términos que lo señala el Honorable Senador señor Pugh. Pero, con ocasión de la discusión sobre la creación de la División de Gobierno Digital y de su ubicación en el organigrama del Estado, se presentó un proyecto de ley mediante el cual se busca la creación de la Secretaría de Gobierno de Digital en la cual existen atribuciones que permiten avanzar en su creación e implementación en Chile.
Sin embargo, continuó, aunque este proyecto de ley en discusión no trata de forma directa la identidad digital, sí contempla la existencia de los datos biométricos que se consideran datos sensibles y que disfrutan de un estándar de seguridad más alto de protección dentro de los datos personales. Adicionalmente, contiene un capítulo que venía del proyecto de ley original, y que trata de normas especiales para la protección de datos de “niñas niños y adolescentes” el cual fue lo propuesto por el Honorable Senador señor Pugh y que no sufrió enmiendas.
Finalmente, la Subsecretaría se mostró partidaria de la construcción de una agenda común de indicaciones y rectificaciones de cara a la Comisión Mixta, de modo de llegar a acuerdos sobre las diferencias que pudieran existir, de forma de poder despachar con celeridad esta iniciativa.
A su turno, el Honorable Senador señor Huenchumilla, pronunció su opinión en torno a la tramitación del proyecto de ley. Sostuvo, que sería beneficioso que el gobierno facilitara mediante un documento los puntos respecto de los cuales existen diferencias con la cámara revisora. Sabemos pues, que lo que no ha sido modificado en dicha cámara, jurídicamente se encuentra aprobado en este trámite constitucional. Así, antes de la formación de una eventual Comisión Mixta, es de mucha utilidad conocer y precisar aquello respecto de lo cual pueda haber diferencias. Y, con las diferencias ya acotadas entre ambas cámaras, éstas pasarían a la discusión en la Comisión Mixta para efectos de llegar a un acuerdo, con las mejoras y modificaciones que fuere del caso hacer.
Finalmente, la Presidenta de la Comisión Honorable Senadora señora Ebensperger, solicitó tanto al Honorable Senador señor Galilea, como a la Subsecretaria General de la Presidencia señora Macarena Lobos, hacer llegar aquellos puntos donde existen diferencias y respecto de los cuales puedan tomarse pareceres convergentes. Igualmente, recalcó que existe un acuerdo para recibir dos audiencias para abordar, acotada y únicamente, las discrepancias suscitadas entre ambas cámaras.
En una sesión posterior, la Presidenta de la Comisión Honorable Senadora señora Ebensperger, concedió el uso de la palabra a la Directora de la Unidad de Planificación y Coordinación Estratégica del Ministerio Público, señora Simone Hartard, con el fin de que expusiera las observaciones del Servicio a las enmiendas propuestas por la Cámara de Diputados.
La señora Hartard inició su exposición, afirmando que ella se fundará en los oficios que el Ministerio Público hizo llegar al Congreso Nacional tanto en el primer como en el segundo trámite legislativo.
Resaltó la importancia que tiene para el quehacer del Ministerio Público y para el aseguramiento de una eficaz persecución penal el trabajar con datos personales, a veces sensibles. Dichos datos permiten realizar un registro histórico, revisar trayectorias y efectuar un análisis de la persecución penal, como también de la función de protección de víctimas y testigos.
Puntualizó que, al analizar la evolución que han tenido las modificaciones al proyecto de ley, es necesario que el Ministerio Público quede excluido de las restricciones que algunos órganos públicos tienen para el tratamiento de datos personales masivos mediante sistemas que el órgano persecutor penal utiliza permanentemente, tales como el Sistema de Apoyo a los Fiscales (SAF, en adelante) como también la Base Unificada de Datos (BUD, en adelante) y las aplicaciones que el Ministerio Público ha desarrollado mediante el uso de la inteligencia artificial y que sirven a los objetivos de la institución para ayudar a generar diligencias que contribuyan a la formalización de los imputados, y puedan así ser llevados a juicio.
A continuación, hizo uso de la palabra el Honorable Senador señor Galilea, quien señaló que al observar los artículos 24 y 25 del proyecto de ley, cree que la objeción realizada por el Ministerio Público está salvada. Argumentó que si es posible realizar una precisión normativa para que el trabajo con datos personales que efectúa el Ministerio Público, pueda ser hecho sin contravención a la ley.
Citó el artículo 24 letra a) del proyecto de ley, referido a los regímenes especiales. Este establece, grosso modo, que el tratamiento, comunicación o cesión de datos personales, realizado por órganos públicos competentes estará sujetos al régimen de regulación especial establecido en dicho artículo 24. Y lo estarán, aquellos que se realicen con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas las actividades de protección y prevención frente a las amenazas y riesgos contra la seguridad pública.
En consecuencia, la aprensión que manifestado el Ministerio Público en este punto, en una primera lectura, cree que está resuelta por los artículos 24 literal a) y 25 del proyecto de ley. No obstante, reiteró que es posible pensar en una precisión lingüística mayor en las normas citadas, de modo que no exista duda alguna en cuanto a la actividad que el Ministerio Público desempeña en el tratamiento de datos personales.
Luego, la Presidente de la Comisión Honorable Senadora señora Ebensperger, señaló estar parcialmente de acuerdo con el Honorable Senador señor Galilea, por cuanto el artículo 25 literal b) párrafo segundo, que señala expresamente “que se prohíbe el tratamiento masivo de los datos personales contenidos en los registros electrónicos de infracciones penales, civiles, administrativas y disciplinarias que lleven los organismos públicos. El incumplimiento de esta prohibición constituye una infracción gravísima de conformidad a esta ley.”.
Añadió que, precisamente es esto lo que el Ministerio Público ha detallado como parte de su actividad: un tratamiento masivo de datos para efectos de la trazabilidad, registros y otras pesquisas y diligencias necesarias para llevar a cabo la persecución penal tanto mediante el SAF, como por medio del BUD. Por lo tanto, precisó, es a esa norma citada la que refiere el Ministerio Público en su observación.
Acto seguido, hizo uso de la palabra la Subsecretaria General de la Presidencia señora Macarena Lobos, quien dijo que desde un comienzo de la discusión se le hicieron indicaciones al proyecto de ley para acoger aquellas observaciones que el Ministerio Público ha venido realizando a esta iniciativa.
Puntualizó, que existe en el proyecto de ley un capítulo especial dedicado al tratamiento de datos personales por parte de los organismos públicos, en los artículos 24 y 25, los que establecen regímenes especiales en consonancia con lo que recomienda la Unión Europea.
En atención a ello, hizo presente que el artículo 25 del proyecto de ley se aplica a los órganos públicos en general. Pero al Ministerio Público se le hace aplicable el artículo 24 literal a) el que explícitamente habilita a actuar a órganos de su naturaleza en materia de tratamiento de datos personales. En consecuencia, la actuación del Ministerio Público no tiene más restricción que el principio de legalidad conforme al cual debe actuar de acuerdo a sus competencias y con miras al logro de sus fines. Asimismo, manifestó que en su opinión las observaciones hechas por órgano persecutor penal al proyecto de ley ya se encuentran zanjadas de acuerdo al estado actual de avance que tiene la iniciativa.
Recordó que una parte de los reparos del Ministerio Público viene dada por la eliminación del artículo 54 del proyecto de ley en la Cámara de Diputados razón por la cual entiende las dudas y observaciones del Ministerio Público. Sin embargo, reiteró que en atención a lo ya regulado en el proyecto, no existen razones fundadas para pensar en que el Ministerio Público no podría realizar su trabajo de manera adecuada, más allá de cualquier precisión y mejora que pueda tener el artículo 25 literal b) inciso segundo, a propósito del “tratamiento masivo de datos personales”.
De igual manera, manifestó su intención de reponer la norma que no se aprobó en el segundo trámite constitucional que posibilitaba la convivencia entre la Agencia de Protección de Datos Personales y los órganos autónomos constitucionales, de modo tal que sus competencias no se contrapongan ni se genere un problema con el actuar de dichos órganos autónomos, como son por ejemplo el Banco Central, la Contraloría General de la República y el Ministerio Público.
Seguidamente, el Honorable Senador señor Galilea, se refirió a la duda manifestada por la Presidenta de la Comisión Honorable Senadora señora Ebensperger en cuanto a que el artículo 25 letra b) inciso segundo del proyecto de ley daba cierta veracidad y asidero al reparo manifestado por el Ministerio Público, y que dicha norma le impedía su trabajo habitual con los datos personales. Sin embargo, dicha aprensión se encuentra solucionada precisamente en el tercero de dicho artículo 25, que establece se exceptúan de la prohibición de comunicación los casos en que la información sea solicitada por los tribunales de justicia u otro organismo público para el cumplimiento de sus funciones legales y dentro del ámbito de su competencia, quienes deberán mantener la debida reserva. Se mostró partidario, finalmente, y en caso de ser así necesario, de realizar una precisión en la norma para su mejor inteligencia.
Con posterioridad, el Honorable Senador señor De Urresti manifestó sus dudas con lo señalado por el Ministerio Público en cuanto a su solicitud de tener un régimen excepcional para el tratamiento de datos personales en el desempeño de sus funciones, pues aseveró que este órgano persecutor no ha cumplido con normas legales que existen hace más de 23 años, a saber, los artículos 222, 223 y 224 del código procesal penal, que regula el registro al cual está obligado el Ministerio Público cuando utiliza la intercepción de comunicaciones. Recordó, asimismo, que desde la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado se han enviado dos oficios solicitando la información acerca de la manera en que se tratan los datos sensibles y no sensibles que se adquieren durante la labor de intercepción de comunicaciones telefónicas o de otro tipo.
Expuso que, mientras no se tenga claridad acerca de cómo el Ministerio Público se hace cargo del mandato legal expresado en los artículos del código procesal penal recién citados, mantendrá las dudas que tiene acerca del manejo que la institución hace de los datos personales y sensibles.
Finalizó su intervención, haciendo la prevención de que no es posible proseguir la discusión acerca del establecimiento de regímenes especiales en el proyecto de ley, en particular en favor del Ministerio Público, si es que dicho órgano no contesta claramente los oficios enviados por la Comisión informando acerca de cómo se ha dado cumplimiento a las reglas que regulan la interceptación de las comunicaciones telefónicas o de otro tipo.
A su turno, la Directora de la Unidad de Planificación y Coordinación Estratégica del Ministerio Público, señora Simone Hartard, hizo presente que la preocupación del Ministerio Público es finalmente cómo esta legislación se les aplicará. Refirió así la necesidad de un tratamiento orgánico y sistemático para la utilización de los datos personales en el sistema penal por todos los intervinientes, tanto de parte del Ministerio Público como de los organismos auxiliares.
Asimismo, hizo presente que en el Título IV, artículo 20 del proyecto de ley no se hace mención a los datos sensibles, y sólo habla de los datos personales en general. Luego, en el artículo 24 se tratan los regímenes especiales, y en ellos se habla solamente de tratamiento, comunicación o cesión de datos personales, pero existe preocupación por principios como la transparencia y la proporcionalidad en cuanto a la eliminación y mantención de dichos datos personales o sensibles. Y si bien el artículo 24 contempla dentro de su literal a) las labores de investigación dentro de las cuales se entienden comprendidas las del Ministerio Público, no están dentro las labores de análisis criminal, para las que resulta necesario el análisis masivo de datos de cara a la orientación de las diligencias que se pueden encomendar en el marco de una investigación y, en específico, para que el Ministerio Público instruya a las policías.
Así, y según lo explicado anteriormente, puntualizó que no existiría necesidad de conversar respecto de esto si el Ministerio Público se rige por el artículo 24 del proyecto. Sin embargo, el Título IV de la iniciativa está referida a los órganos públicos en general y, en consecuencia, surge la duda qué hace el Ministerio Público frente a las infracciones civiles y penales cuya información es subida al BUD por organismos distintos al Ministerio Público. La pregunta acerca de qué se hará con el resto de los organismos públicos que suben información a los sistemas y bancos de datos de los cuales se nutre el Ministerio Público para el ejercicio de sus funciones, también requiere mayor precisión, inquirió.
Finalizó señalando, que la crítica de fondo es que no existe un ordenamiento sistemático en la normativa que regirá para el tratamiento de datos personales por parte de los órganos autónomos, en especial, del Ministerio Público.
Posteriormente, el Honorable Senador señor Huenchumilla hizo presente que no es posible hacerse cargo de las observaciones realizadas por el Ministerio Público pues en este trámite no hay competencia para ello. Recalcó, que lo que corresponde procesalmente es aprobar o rechazar las enmiendas realizadas por la Cámara de Diputados. Por lo anterior, inquirió acerca de cómo es posible discutir las observaciones que el Ministerio Público realiza si la competencia en este trámite está ceñida a dar el visto bueno o la negativa a lo propuesto por la cámara revisora. Afirmó que sólo en la medida en que haya acuerdo en el marco de una comisión mixta podría darse el caso de poder revisar aquello que hoy es materia de reparos; pero en caso que eso no ocurra, no hay manera de poder modificar lo que ha sido sostenido en esta Comisión por el persecutor penal.
Culminó señalando que al estar constreñida la Comisión por la competencia constitucional que obliga la Comisión a hacerse cargo de las enmiendas que ha presentado la Cámara de Diputados -debido a que el resto del proyecto que no ha sido objeto de enmiendas se encuentra aprobado- y en que solo cabe una discusión ulterior si en una eventual comisión mixta existe el acuerdo para añadir a dicha discusión los temas en los que hoy no se puede entrar por falta de competencia.
Seguidamente, la Directora de la Unidad de Planificación y Coordinación Estratégica del Ministerio Público, contestó al Honorable Senador señor De Urresti acerca de la persistente falta de respuesta que han tenido los oficios enviados por la Comisión al Ministerio Público. En razón a ello, se comprometió a gestionar con celeridad una respuesta a dicha comunicación.
Sobre el mismo punto el Honorable Senador señor De Urresti, insistió en la gravedad de que un oficio enviado por la Comisión hace un tiempo importante aún no tenga aún una respuesta formal de parte del Ministerio Público; igualmente, puso énfasis en que este órgano se encuentra incumpliendo normas jurídicas vigentes en materia de registro de interceptación de comunicaciones para fines investigativos y del detalle de los sistemas actualmente en funcionamiento para dichos fines. En materia de escuchas telefónicas, especificó, la ley obliga a notificar a los terceros que han sido oídos en el marco de una investigación penal, y hoy eso no se está realizando. Finalizó, argumentando que es peligroso para el país que exista un mercado de información y datos que pueda dar lugar a la extorsión y a delitos de diversa naturaleza derivado del mal uso de las grabaciones e informaciones que el Ministerio Público obtenga en el marco de las pesquisas.
En igual orden de ideas señaló que el funcionamiento del BUD hoy es deficiente para las policías. A este respecto, señaló que no se justifica que Carabineros de Chile no tenga cómo acceder a dicho banco de datos por no tener una aplicación específica para ingresar a él mediante teléfonos celulares, computadores u otros dispositivos electrónicos.
Culminó su intervención preguntando al Ministerio Público si Carabineros de Chile actualmente tiene acceso al BUD de forma efectiva.
Luego, y a mayor abundamiento, la Honorable Senadora señora Ebensperger hizo presente que la Secretaría ha acompañado dos oficios que la Comisión ha dirigido al Ministerio Público consultando las materias señaladas por el Honorable Senador señor De Urresti de fechas 15 de mayo y 8 de julio, ambos de 2019, mediante los cuales se solicitaba al exfiscal nacional Abbott la información acerca de la interceptación de comunicaciones y sus registros.
Acto seguido, el encargado del Banco Unificado de Datos del Ministerio Público señor Rodrigo Honores, explicó que el Banco Unificado de Datos funciona en una red cerrada, es decir, sólo se puede acceder a ella en tanto el dispositivo electrónico mediante el cual se solicita el ingreso está dentro de la red que el Ministerio Público posee. Lo anterior, se funda en una política del órgano persecutor para la protección de datos personales.
Agregó que tanto Carabineros de Chile como la Policía de Investigaciones tienen acceso al BUD. El problema se produce en la falla en el diseño de una aplicación realizada para el acceso de dichos policías al banco de datos a través de las SIM card o tarjeta del teléfono que es la que identifica al número que intenta la entrada al banco de información. Este sistema no pudo avanzar debido a problemas en la licitación para la provisión de dicho servicio. Se estableció entonces, como lineamiento con Carabineros de Chile para efectos de los controles de identidad, que la institución policial ingrese al banco de datos mediante la Central de Comunicaciones (CENCO). En tal sentido, afirmó, que Carabineros de Chile realizó el primer semestre de este año 2023, la cifra de 2.144.707 solicitudes de información. En igual término, la Policía de Investigaciones y Gendarmería de Chile también realizan permanentes consultas a dicho sistema, pero también mediante otros mecanismos que el Ministerio Público ha habilitado.
A continuación, la Subsecretaria General de la Presidencia señora Macarena Lobos, especificó que la iniciativa de ley no hace distinción entre datos personales y sensibles, salvo en el artículo 16, y que todos los organismos públicos están autorizados para el tratamiento de datos sensibles dentro del marco de sus funciones y con estricto arreglo a la ley. Citó como ejemplos al Servicio de Reinserción y al Servicio de Salud, los cuales podrán hacer uso de datos sensibles en los casos en que la ley así lo autorice y con el objeto de cumplir sus fines.
En cuanto a los principios, explicó que se les aplican a dichos órganos autónomos de acuerdo al artículo 24 del proyecto. Especificó que incluso el principio de proporcionalidad es complementario al principio de legalidad porque aquél se estima necesario para modular el tratamiento del dato personal. En el caso del principio de transparencia, puntualizó que esto no se refiere al dato en sí, si no a las condiciones bajo las cuales el tratamiento del dato se produce. Así lo establece claramente el artículo 3 letra g) del proyecto de ley.
En cuanto al análisis criminal, tema tratado latamente en una sesión pasada, la señora Subsecretaria entiende que eso se encuentra comprendido dentro de las facultades investigativas. En consecuencia, no ve reparo en que eso sea precisado en el proyecto de ley por cuanto hoy eso ya se encuentra dentro de las facultades legales con las que Ministerio Público opera.
En cuanto a la Agencia de Protección de Datos Personales, la señora Subsecretaria afirmó que el Gobierno estima necesario reponer el artículo 54 eliminado en el segundo trámite constitucional en la Cámara de Diputados, a fin de garantizar en el título respectivo una correcta y fluida interacción entre los órganos constitucionales autónomos y la Agencia de Protección de Datos Personales.
A continuación, el Honorable Senador señor De Urresti solicitó a la Comisión no poner en votación el proyecto de ley en discusión mientras los oficios del año 2019 dirigidos por la Comisión al Ministerio Público no sean contestados satisfactoriamente. Hizo hincapié en que es un incumplimiento de la ley no responder lo que un poder del Estado consulta por las vías destinadas al efecto.
En lo tocante al mismo tema, la Subsecretaria General de la presidencia señora Macarena Lobos, hizo presente que lo señalado por el Honorable Senador señor De Urresti hace alusión sólo lo tocante al Ministerio Público y, en consecuencia, resulta posible seguir con el proyecto de ley en discusión. Recordó, asimismo, que ha hecho llegar a la Comisión un documento con los aspectos prioritarios para ser tratados en una eventual Comisión Mixta.
Al tenor de lo señalado por el Honorable Senador de Urresti, la Presidenta de la Comisión Honorable Senadora señora Ebensperger, estimó, en igual sentido, que mientras los oficios enviados por la Comisión el año 2019 no sean contestados el proyecto de ley en discusión no sea puesto en votación.
Por último, el Honorable Senador señor Pugh, hizo presente que el Ministro de Relaciones Exteriores de Chile firmó hace unos días, en la ciudad de Bruselas, el Acuerdo Marco en materia de datos personales con la Unión Europea el cual, posiciona a Chile, en la avanzada de países líderes en la materia. Detalló que este Acuerdo Marco posee tres pilares: uno político, que se efectúa con el Parlamento Europeo; un segundo pilar de cooperación que se realiza con los ministerios; y un tercer pilar de naturaleza económica. Recordó que la Unión Europea es la tercera potencia a nivel mundial y un socio estratégico para Chile y posee un elevado estándar materia de tratamiento de datos personales. En la Directiva sobre el tema, específicamente en el artículo 45, señala cuáles son los países catalogados como “adecuados”. Si un país no está dentro del catálogo señalado no puede negociar en la materia. De ahí que resulte necesario comprender qué es el GDPR (General Data Protection Regulation) con fin de poder homologarlo y para que Chile sea considerado “país adecuado”. El resto de las cosas de la normativa, podrá ser discutida, asintió. Sin embargo, hizo presente en que se ha llegado un punto en la tramitación del proyecto de ley en el que las diferencias son plenamente conocidas y, en consecuencia, sólo cabe votar para resolver dichas discrepancias en una eventual Comisión Mixta.
En una sesión posterior, la señora Presidenta de la Comisión, Honorable Senadora señora Luz Ebensperger hizo presente que había elaborado una nómina de las enmiendas aprobadas por la Cámara de Diputados que, a partir del debate realizado, podrían ser rechazadas con el fin de que sean examinadas en el trámite de Comisión Mixta.
Seguidamente, el Honorable Senador señor Galilea, manifestó, para efectos de orientar la discusión de algunas de las cuestiones planteadas en sesiones anteriores, que existían dos opciones para tratar las observaciones planteadas por el Ministerio Público: la primera es excluir a este Servicio de la aplicación de esta ley y a eso apunta su idea de quedar excluirse del artículo 54 del proyecto, lo cual, a algunos senadores les pareció inapropiado. La segunda, es explorar nuevas propuestas de redacción dentro del articulado con el fin de corregir las dudas que el Ministerio Público tenga respecto de situaciones que no estuvieran bien resueltas.
Por su parte, el Honorable Senador señor Pugh, estimó necesario distinguir dos condiciones: la primera, es que estamos llamados como Comisión a aprobar o rechazar lo propuesto por la Cámara de Diputados; la segunda, es entender que este proyecto en discusión no resuelve los problemas de regulación digital que Chile tiene. Esta iniciativa sólo tiene por fin hacerse cargo del tratamiento y protección de los datos personales y sensibles de las personas.
Advirtió que el próximo día lunes 8 de enero, habrá una reunión con el Ministerio del Interior a objeto de constituir una mesa especial para el establecimiento de una Gobernanza Digital, la cual contemple la administración de datos, la interoperabilidad y la identidad digital.
Recordó que actualmente, cualquier persona puede acceder a datos personales e incluso sensibles con total facilidad y sin tener consecuencia alguna. Por ello, el Estado debe proveer un sistema de identidad digital robusto para que quienes, ingresen a los sistemas, sean éstas personas de cualquier índole efectivamente tengan una identidad determinada y fiable. Se debe, por tanto, avanzar en la recomendación que la OCDE hiciera el año 2019 para el establecimiento de un sistema de identidad digital que posibilite la interacción segura entre personas.
En cuanto a la interoperabilidad, ella está referida al traspaso de datos transfronterizos. Y, de conformidad al Acuerdo de Budapest, el cual ya se encuentra incorporado en la nueva ley de delitos informáticos N°21.459 recientemente en vigencia, Chile debe hacerse cargo del Segundo Protocolo Adicional del Acuerdo de Budapest, el que está referido al traspaso de datos transfronterizos para profundizar el trabajo de pesquisa del crimen, en coordinación con las policías de otros estados. Finalizó solicitando concentrar los esfuerzos legislativos sólo en la protección de datos personales para así conseguir la calidad de “país adecuado” de conformidad a la normativa europea en la materia. De esta forma, argumentó, se podrá atraer más y mejor inversión y mejorar la persecución del crimen transfronterizo internacional.
Por ello, esta es una tarea que no termina con la dictación de la una nueva ley de protección de datos personales, sino que supone además la dictación de otros cuerpos legislativos en cuyo avance también se debe comprometer al país. Dentro de las innovaciones legislativas que urge tener especial importancia reviste la existencia de una pronta Gobernanza Digital y del establecimiento en Chile de la interoperabilidad.
La Honorable Senadora señora Ebensperger, señaló estar de acuerdo con lo señalado por el Honorable Senador señor Pugh, pero manifestó que no es posible que el Ministerio Público deje de perseguir el crimen organizado con las herramientas que actualmente tiene. En consecuencia, en este tercer trámite sólo podemos revisar aquellas normas que podrían impedir el normal desenvolvimiento de la pesquisa penal por parte del Ministerio Público. La discusión debe girar, precisó, solo en torno a aquellas enmiendas que ha introducido la Cámara de Diputados y respecto de las cuales el persecutor penal pudiera tener una objeción, culminó.
En atención a lo dicho, la Subsecretaria General de la Presidencia señora Macarena Lobos, manifestó cierta preocupación en torno a los reparos que ha manifestado el Ministerio Público, por cuanto el artículo 24 del proyecto de ley establece claramente que: “El tratamiento, comunicación o cesión de datos personales, realizado por órganos públicos competentes en las materias que a continuación se indican, estarán sujetos exclusivamente al régimen de regulación especial establecido en este artículo”.
Existe, por tanto, una norma especial que regula y entrega ciertas garantías. Al mismo tiempo, expresó que las normas que podrían revestir algún obstáculo para el actuar del persecutor penal no se aplicarían. A mayor abundamiento citó el literal a) del artículo 24 del proyecto de ley, el cual preceptúa que estarán sujetos exclusivamente al régimen de regulación especial establecido: “a) Aquellos que se realicen con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas las actividades de protección y prevención frente a las amenazas y riesgos contra la seguridad pública.” Este literal, arguyó, es lo suficientemente amplio para cubrir las actividades ordinarias de pesquisa del Ministerio Público. No obstante, agregó que estima factible agregar dentro de las labores investigativas la actividad de “análisis criminal” y la de “reportabilidad de información criminal” que eventualmente podrían no estar incluidas en un concepto amplio de investigación, y que no estarían excluidas expresamente para el Ministerio Público del régimen general de tratamiento de datos personales, afirmó.
Acto seguido, la Directora de la Unidad de Planificación y Coordinación Estratégica del Ministerio Público, señora Simone Hartard, expresó que, si bien lo que acaba de señalar la señora Subsecretaria es correcto, no debe olvidarse que existe un título VIII donde están regulados específicamente los órganos autónomos constitucionales y que tiene normas especiales para ellos. Por tanto, resulta poco claro cuál es la norma que prevalece y que se aplica a los órganos autónomos mencionados.
De ahí que es necesario hacer modificaciones en el artículo 54, según ya lo expresó en una sesión pasada. Sin embargo, también es posible hacer dichas agregaciones y modificaciones para efectos de concordancia en el artículo 24 el que regula los regímenes especiales, como en las demás normas donde fuere pertinente hacerlo.
A continuación, la Subsecretaria General de la Presidencia señora Macarena Lobos afirmó que existe complementariedad entre lo señalado por el Ministerio Público y lo propuesto por el Ejecutivo en este punto, es decir, entre lo que regula el artículo 24 que establece un régimen especial para los órganos autónomos y el artículo 54 (ex 55) del proyecto de ley, pues en el artículo 54 de la iniciativa se le reconoce esta especialidad a los órganos constitucionales autónomos y se presume la licitud en el tratamiento de los datos que realizan en el ejercicio de sus funciones.
Culminó su exposición, señalando que se hace necesario reponer la norma propuesta por el Senado y rechazada por la Cámara de Diputados, que permitía la una adecuada interacción entre la Agencia de Protección de Datos Personales que se crea y los órganos autónomos constitucionales, a efectos de mantener su autonomía.
Luego, hizo uso de la palabra el Honorable Senador señor De Urresti, quien preguntó acerca de cuál era la tesis de exclusión que esgrime el Ministerio Público y cuáles son las razones para sostener dicha tesis, en circunstancias que el artículo 54 inciso final del proyecto de ley expresa de manera palmaria que: “Las instituciones y organismos señalados en este artículo no estarán sujetas a la regulación, fiscalización o supervigilancia de la Agencia.”. De igual manera adujo que nadie está por coartar la labor de las funciones que el Ministerio Público realiza, pero no concuerda en que dicho órgano pida exclusiones sin conocerse claramente cuál es la tesis de exclusión que alega ni tampoco sin haber cumplido con la información requerida por esta Comisión en cuanto a dar respuesta a los oficios por los que se pregunta sobre el destino de la información requerida y los datos recopilados mediante las escuchas telefónicas.
Seguidamente, el Honorable Senador señor Huenchumilla, replicó lo señalado anteriormente y consultó acerca de cuáles son los motivos que esgrime el Ministerio Público para pedir una exclusión más clara de las que ya existen.
Consultó luego cuál es la clase de autonomía que reclama dicho órgano persecutor en la arquitectura constitucional y, específicamente, en materia de tratamiento de datos personales. Añadió que esta cuestión dice además relación con los derechos fundamentales de todas las personas y, en consecuencia, cualquier autonomía que reclame un órgano del Estado tiene como límite el ejercicio de sus funciones dichos derechos y garantías, aclaró.
Recordó asimismo que el Congreso Nacional ha aprobado a proyectos de ley que aportan herramientas importantes y novedosas para la persecución penal aumentando con ellas las capacidades y las atribuciones que el Ministerio Público posee; pero en esta materia, reiteró, no se tiene una adecuada inteligencia acerca de lo que pretende en materia de autonomía el órgano persecutor.
De forma posterior, el Honorable Senador señor Galilea, advirtió que en su opinión existe completa armonía entre los artículos 24 y 54 del proyecto de ley. Y, por lo tanto, no ve motivo plausible para que el Ministerio Público tenga un estatuto particularísimo en materia de autonomía.
En el mismo orden de ideas, el Honorable Senador señor Pugh, estimó que, dentro de las instituciones, lo más importante es que los datos de cualquier naturaleza no se filtren. Es necesario entonces establecer un sistema de seguridad para que el tratamiento de datos sea confiable, y que dé las garantías necesarias a la ciudadanía de que los antecedentes que han sido adquiridos en el ejercicio de sus funciones de las instituciones del Estado no se van a filtrar. En síntesis, no es sólo el acceso a los datos lo único que importa, sino también el evitar que los datos a los cuales se ha tenido acceso no sean conocidos por terceros ajenos a los procedimientos y menos que sean utilizados para fines que no sean convenientes.
La organización del crimen que existe actualmente exige el mayor cuidado y protección de la información. Señaló que en tal sentido, el Fiscal Nacional del Ministerio Público estaría completamente de acuerdo en que dicho resguardo de los datos personales es una tarea de primer orden.
Esgrimió finalmente que se debe transitar en la administración desde el sistema documental que tenemos hoy, hacia un sistema de tratamiento de datos de carácter transaccional, o sea, ir de un sistema que supone un manejo de documentos materiales a uno que albergue datos de forma virtual. Precisamente, este proyecto de ley aportará ese traspaso y con ello, un ineludible cambio de sistema en el manejo de la información, con mayores niveles de seguridad.
La Directora de la Unidad de Planificación y Coordinación Estratégica del Ministerio Público, señora Simone Hartard, señaló que durante la tramitación del proyecto de ley de datos personales el Ministerio Público remitió a ambas Cámaras oficios referidos a las materias tratadas.
En relación a la pregunta de fondo, acerca de cuál es la tesis para solicitar la exclusión en la aplicación de algunas normas de esta iniciativa al Ministerio Público, detalló que ella es simplemente una postura frente al hecho de que no se han recogido los cuestiones que se han esgrimido por parte de la institución durante la tramitación del proyecto de ley. Es decir, es hacer valer el último recurso del que se disponía para resguardar la persecución penal, sobre todo en materias como el análisis criminal, el cual resulta vital para la persecución del crimen organizado y que se hace esencialmente, en base al tratamiento de datos personales históricos.
Como ejemplo, citó la regulación que tiene el principio de proporcionalidad en el proyecto de ley, el cual exige la eliminación de los datos obtenidos y utilizados en la persecución penal. Sin embargo, si dichos datos son desechados, sostuvo, no será posible hacer análisis criminal subsiguientemente a partir de una trayectoria histórica, pues para ello se requiere el uso de información acumulada.
Igualmente, argumentó que, si una persona luego de transcurrido cierto plazo tiene derecho a que se supriman los datos obtenidos por el Ministerio Público o por algún órgano auxiliar con ocasión de la persecución penal de delitos cometidos con anterioridad, como, por ejemplo, los provenientes de una detención en estado de ebriedad, de una riña o de algún acto de violencia intrafamiliar, dichos datos no llegarán al BUD, y por ello es necesario garantizar que esa información pueda estar disponible para realizar un correcto análisis criminal y para el buen ejercicio de las facultades de persecución y pesquisa.
En consecuencia, finalizó, la idea que está detrás de sus observaciones no es excluir de los regímenes especiales al Ministerio Público, si no tener reglas apropiadas para que este órgano y los demás órganos auxiliares que lo asisten, puedan desarrollar la función investigativa y persecutoria de forma satisfactoria, haciendo siempre un adecuado uso y tratamiento de los datos personales.
La Subsecretaria General de la Presidencia señora Macarena Lobos, puntualizó que, lo que se ha hecho es establecer una norma equivalente a la europea, estableciendo un estatuto especial para todos los órganos que tengan la finalidad descrita en el literal a) del artículo 24, a saber: “prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas las actividades de protección y prevención frente a las amenazas y riesgos contra la seguridad pública”, de forma que aquellos órganos que tengan las finalidades precedentes se excluyan de todas las cargas que pesan sobre los responsables del tratamiento de los datos, y sólo quede el límite de cumplir con la norma constitucional contenida en el artículo 19 N°4 de la Carta Fundamental que asegura el respeto y protección a la vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales.
En tal sentido, les parece inconsistente la postura del Ministerio Público en este punto, porque se está realizando exactamente lo mismo que la normativa europea contiene, que es dar a este tipo de órganos un estatuto especialísimo dentro de la ley general de datos personales y no en una ley aparte. En consecuencia, al Ministerio Público no se le exigirá la supresión de datos ni tampoco se requerirá el consentimiento del titular del tratamiento de los datos personales para que pueda realizar las diligencias que correspondan en el ejercicio de las funciones establecidas por la ley.
Con el objeto de dar mayores garantías al Ministerio Público, la señora Subsecretaria refirió que es posible dejar establecido expresamente en el artículo 24 el “análisis criminal” y la “reportabilidad de información criminal” para el caso en que pudieran no ser entendidas dichas actividades dentro del concepto amplio de “investigación”.
Ulteriormente, el Honorable Senador señor Pugh subrayó el hecho de que todos los órganos constitucionales sean o no autónomos tienen el deber y la obligación de proteger y respetar las garantías constitucionales contenidas en el artículo 19 de la Carta Fundamental. De ahí, que es posible extraer como consecuencia, que no hay ninguna intención de eximir del cumplimiento de las obligaciones constitucionales a ningún órgano autónomo, sino que más bien obliga a que cada uno de ellos cree en su interior su propia agencia de protección de datos. Nada puede movernos a confusión, espetó, pues todos y cada uno de los órganos constitucionales autónomos están sujetos a la Constitución y la ley, y para el caso de contravención deberán responder de conformidad al ordenamiento jurídico.
Igualmente, recalcó que resulta preocupante que siga existiendo un Banco Unificado de Datos cuya información es suministrada por diversos órganos que tienen un acceso único, en circunstancias que en los países desarrollados hoy se utilizan bases de datos descentralizadas. Se debe, por tanto, transitar hacia un sistema transaccional de modo de tener información permanentemente actualizada, a diferencia de lo que ocurre hoy en Chile en que se cuenta con un sistema totalmente centralizado de datos en el que basta con que cambie una cosa o antecedente para que el dato ya no posea vigencia.
Precisó, que la ley de datos personales sólo debe proteger a las personas que cumplen con la ley. Para quienes la infrinjan, existirán otras leyes y órganos cuyo acceso a nuevas bases de datos descentralizadas proporcionen veracidad, actualidad y confiabilidad.
A su turno, la señora Subsecretaria General de la Presidencia expresó que debe existir compatibilidad entre la autonomía de los órganos constitucionales dotados de ella con el respeto y protección de las garantías y derechos contemplados en la Constitución Política de la República. Por lo anterior, el tratamiento que se propone es una situación análoga a la que existe con la figura de la Ley sobre Acceso a la Información Pública N°20.285 en la que los órganos constitucionalmente autónomos no están sujetos a ella. Sin embargo, cada uno tiene la obligación de estatuir una reglamentación que permita garantizar la debida cautela de las garantías constitucionales.
Consecutivamente, la Directora de la Unidad de Planificación y Coordinación Estratégica del Ministerio Público señora Simone Hartard, comentó que la diferencia de opiniones con el Ejecutivo puede deberse a un problema de interpretación de parte del Ministerio Público, pues el artículo 54 del proyecto de ley señala que a las instituciones que se nombran en él se les aplican las disposiciones del Título IV. En este título se encuentra el artículo 21 el cual hace aplicable varias de las normas del proyecto de ley. Sin embargo, si como dice la señora Subsecretaria solo se le aplicaría al Ministerio Público el literal a) del artículo 24 del Título IV con el añadido de las frases el “análisis criminal” y la “reportabilidad de información criminal” sumadas a las labores de investigación, no existiría oposición alguna de parte de la institución persecutora, siempre y cuando eso quede a firme en la historia de la ley.
Finalmente, el Honorable Senador señor De Urresti hizo presente que aún mantiene dudas respecto de lo señalado por el Ministerio Público. Argumentó que si aún se mantiene dicha institución sin contestar lo que ocurre con las escuchas telefónicas, lo que se suma al problema del Banco Unificado de Datos el cual actualmente no presenta utilidad para las policías, se consuma una mala y anacrónica forma de funcionar y una mala utilización de los datos. Debido a ello, señaló, le preocupa que el Ministerio Público so pretexto de la persecución penal tenga un tratamiento excepcional. Ello es indiciario de ilícitos o de “zonas grises” que no son aceptables en la persecución penal, exteriorizó.
Por lo anterior, se manifestó no estar disponible para votar esa particularidad en favor del Ministerio Público, pues, además, concuerda con la explicación fundada que el Ejecutivo ha dado de su posición.
Reiteró, en conclusión, que resulta muy peligroso generar “una zona gris” en el tratamiento de la información que obtiene el Ministerio Público con ocasión de esta nueva regulación en materia de datos personales.
RELACIÓN DE MODIFICACIONES Y DEBATE
A continuación, se efectúa, siguiendo el orden del articulado del proyecto, una relación de las modificaciones introducidas por la Cámara de Diputados al texto aprobado por el Senado en primer trámite constitucional, así como de los acuerdos adoptados por la Comisión respecto de las referidas enmiendas.
Artículo primero
Este artículo, aprobado por el Senado, introduce un conjunto de modificaciones a la ley N° 19.628, sobre protección de la vida privada.
1) Sustitúyese, en el nombre de la ley, la frase “LA VIDA PRIVADA” por “LOS DATOS PERSONALES”.
2) Reemplázase el artículo 1° por el siguiente:
“Artículo 1°. - Objeto y ámbito de aplicación. La presente ley tiene por objeto regular la forma y condiciones en la cual se efectúa el tratamiento y protección de los datos personales de las personas naturales, en conformidad al artículo 19 N°4 de la Constitución Política.
Todo tratamiento de datos personales que realice una persona natural o jurídica, incluidos los órganos públicos, debe respetar los derechos y libertades de las personas y quedará sujeto a las disposiciones de esta ley.
El régimen de tratamiento y protección de datos establecidos en esta ley no se aplicará al tratamiento de datos que se realice en el ejercicio de las libertades de emitir opinión y de informar reguladas por las leyes a que se refiere el artículo 19, N° 12, de la Constitución Política de la República. Los medios de comunicación social quedarán sujetos a las disposiciones de esta ley en lo relativo al tratamiento de datos que efectúen con una finalidad distinta a la de opinar e informar.
Tampoco serán aplicables las normas de la presente ley al tratamiento de datos que efectúen las personas naturales en relación con sus actividades personales.
En el segundo trámite constitucional, la Cámara de Diputados, incorporó un número 3, nuevo, pasando el numeral 3 aprobado por el Senado a ser 4, que contempla un artículo 1 bis que, mediante tres literales, establece el ámbito de aplicación territorial de las disposiciones contenidas en esta iniciativa legal.
Su texto es el siguiente:
“3) Incorpórase el siguiente artículo 1° bis:
“Artículo 1 bis. - Ámbito de aplicación territorial. Las disposiciones de la presente ley se aplicarán al tratamiento de datos personales que se realice bajo cualquiera de las siguientes circunstancias:
a) Cuando el responsable o mandatario esté establecido o constituido en el territorio nacional.
b) Cuando el mandatario, con independencia de su lugar de establecimiento o constitución, realice las operaciones de tratamiento de datos personales a nombre de un responsable establecido o constituido en el territorio nacional.
c) Cuando el responsable o mandatario no se encuentren establecidos en el territorio nacional pero sus operaciones de tratamiento de datos personales estén destinadas a ofrecer bienes o servicios a titulares que se encuentren en Chile, independientemente de si a éstos se les requiere un pago, o a monitorear el comportamiento de titulares que se encuentran en el territorio nacional, incluyendo su análisis, rastreo, perfilamiento o predicción de comportamiento.
La presente ley también se aplicará al tratamiento de datos personales que sea realizado por un responsable que, sin estar establecido en el territorio nacional, le resulte aplicable la legislación nacional a causa de un contrato o del derecho internacional.”.
- Sometida a votación esta modificación, fue rechazada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
- - -
4) Del Senado
Introduce una serie de modificaciones en el artículo 2° de la ley N°19.628:
Uno)
En primer trámite constitucional aprobó las siguientes enmiendas:
Reemplazar las letras c), f), g) e i) por las siguientes:
“c) Comunicación o transmisión de datos personales: dar a conocer por el responsable de datos, de cualquier forma, datos personales a personas distintas del titular a quien conciernen los datos, sin llegar a cederlos o transferirlos.
f) Dato personal: cualquier información vinculada o referida a una persona natural identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona, excluyendo aquellos casos en que el esfuerzo de identificación sea desproporcionado.
g) Datos personales sensibles: sólo tendrán esta condición aquellos datos personales que revelen el origen étnico o racial, la afiliación política, sindical o gremial, hábitos personales, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.
i) Fuentes de acceso público: todas aquellas bases de datos o conjuntos de datos personales, cuyo acceso o consulta puede ser efectuada en forma lícita por cualquier persona, siempre que no existan restricciones o impedimentos legales para su acceso o utilización, tales como listas de colegios profesionales, diario oficial, medios de comunicación o los registros públicos que disponga la ley.
En el segundo trámite constitucional, la Cámara de Diputados, reemplazó la expresión numeral 4) por 5) e introdujo las siguientes modificaciones al referido número Uno aprobado por el Senado:
En el número uno):
- En su encabezado, ha intercalado entre el vocablo “letras” y la expresión “c)” el vocablo “a),”.
- Ha agregado al inicio de la nómina que sigue a la expresión “siguientes:” el siguiente literal:
“a) Almacenamiento de datos: la conservación o custodia de datos en un registro o base de datos.”.
- En el literal c) propuesto:
- Ha eliminado la expresión “o transmisión”.
- Sometida a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
- En el literal f) propuesto:
- Ha eliminado la frase “, excluyendo aquellos casos en que el esfuerzo de identificación sea desproporcionado”.
- Sometida a votación esta modificación al literal f), fue rechazada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
- En el literal g) propuesto:
- Ha eliminado la palabra “sólo” y la expresión “hábitos personales,”.
- Ha intercalado entre las expresiones “aquellos datos personales” y “que revelen” la frase “que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como aquellos”.
- Ha introducido a continuación de la expresión “gremial,” la siguiente: “situación socioeconómica,”.
- Sometidas a votación estas modificaciones al literal g), fueron rechazadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
- El literal i) propuesto:
- Lo ha reemplazado por el siguiente:
“i) Fuentes de acceso público: todas aquellas bases de datos o conjuntos de datos personales, cuyo acceso o consulta puede ser efectuada en forma lícita por cualquier persona, tales como el Diario Oficial, medios de comunicación o los registros públicos que disponga la ley. El tratamiento de datos personales provenientes de fuentes de acceso público se someterá a las disposiciones de esta ley.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Tres)
tres) Sustitúyense las actuales letras l), m), n), ñ) y o), que pasaron a ser k), l), m), n) y ñ), respectivamente, por las siguientes:
“k) Anonimización o disociación: procedimiento irreversible en virtud del cual un dato personal no puede vincularse o asociarse a una persona determinada, ni permitir su identificación, por haberse destruido o eliminado el nexo con la información que vincula, asocia o identifica a esa persona. Un dato anonimizado deja de ser un dato personal.
La seudonimización es el tratamiento de datos personales que se efectúa de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona natural identificada o identificable.
En segundo trámite constitucional, la Cámara de Diputados sustituyó este número 3) por el siguiente:
“tres) Sustitúyense las actuales letras l), m), n), ñ) y o) por las siguientes letras k), l), m), n), ñ) y o):”.
- En el literal k) propuesto:
- Ha suprimido la expresión “o disociación” y su párrafo segundo.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
- - -
A continuación, la Cámara de Diputados proponer agregar el siguiente literal l) nuevo que se intercala entre el literal k) y el literal l) aprobados por el Senado:
“l) Seudonimización: tratamiento de datos personales que se efectúa de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona natural identificada o identificable.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Literal l)
En primer trámite constitucional, el Senado reemplazó la letra m) del artículo 2° de la ley N°19.628 por la siguiente letra l):
l) Base de datos personales: conjunto organizado de datos personales, cualquiera sea la forma o modalidad de su creación, almacenamiento, organización y acceso, que permita relacionar los datos entre sí, así como realizar su tratamiento.
En segundo trámite constitucional, la Cámara de Diputados propone que este literal l) pase a ser m) con la enmienda de agregar a continuación de la frase “cualquiera sea la” la expresión “finalidad,”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Literal ñ)
En primer trámite constitucional, el Senado aprobó una letra ñ) que sustituye la letra o) del artículo 2°de la ley N° 19.628, por la siguiente:
ñ) Tratamiento de datos: cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, procesar, almacenar, comunicar, transmitir o utilizar de cualquier forma datos personales o conjuntos de datos personales.”.
En segundo trámite constitucional, la Cámara de Diputados propone que este literal pase a ser literal o), con las siguientes modificaciones:
Incorporar, a continuación de la palabra “permitan” la expresión “de cualquier forma” y eliminar la expresión “de cualquier forma” que va a continuación del vocablo “utilizar”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Cuatro)
Este numeral agrega los siguientes literales o), p), q), r), s), t) y u), nuevos a la ley N°19.628:
“o) Consentimiento: toda manifestación de voluntad libre, específica, inequívoca e informada, mediante la cual el titular de datos, su representante legal o mandatario, según corresponda, autoriza el tratamiento de los datos personales que le conciernen.
r) Derecho de cancelación: derecho del titular de datos a solicitar y obtener del responsable, que suprima o elimine sus datos personales, de acuerdo a las causales previstas en la ley.
t) Derecho a la portabilidad de los datos personales: derecho del titular de datos a solicitar y obtener del responsable, una copia de sus datos personales en un formato electrónico estructurado, genérico y común, que permita ser operado por distintos sistemas, y poder comunicarlos o transferirlos a otro responsable de datos.
u) Registro Nacional de Cumplimiento y Sanciones: Es un registro nacional de carácter público administrado por la Agencia que consigna los modelos certificados de prevención; los responsables de datos que los hayan adoptado; las sanciones que se hayan impuesto a los responsables de datos que hayan infringido la ley, y aquellos a quienes se les haya revocado la certificación, de conformidad a dispuesto en el artículo 54.”.
En segundo trámite constitucional, la Cámara de Diputados, introdujo las siguientes enmiendas al numeral 4):
El literal o), propuesto, que pasa a ser literal p), sustituido por el siguiente:
“p) Consentimiento: toda manifestación de voluntad libre, específica, inequívoca e informada, otorgada a través de una declaración o una clara acción afirmativa, mediante la cual el titular de datos, su representante legal o mandatario, según corresponda, autoriza el tratamiento de los datos personales que le conciernen.”.
En el literal r), propuesto que pasa a ser literal s), la Cámara de Diputados reemplazó el vocablo “cancelación” por la palabra “supresión”.
El literal t), propuesto, que pasa a ser el literal u), intercaló entre las palabras “genérico y” y “común”, la expresión “de uso”.
Incorporar un párrafo segundo, nuevo, al mencionado literal, cuyo texto es el siguiente:
“El titular tendrá derecho a que sus datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.”.
Finalmente, se propone eliminar el literal u) aprobado en primer trámite constitucional.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Cinco)
En primer trámite constitucional, el Senado acordó incorporar las siguientes letras nuevas al artículo 2° de la ley N° 19.628:
“v) Cesión de datos personales: transferencia de datos personales por parte del responsable de datos a otro responsable de datos.
w) Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales que consista en utilizar esos datos para evaluar, analizar o predecir aspectos relativos al rendimiento profesional, situación económica, de salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de una persona natural.
x) Motor de búsqueda: Mecanismo o sistema informático que permite buscar información en internet, anexarla o indexarla de manera automática, almacenarla temporalmente, y ponerla a disposición de las personas, según un orden de preferencia no aleatorio. En relación con los resultados de búsqueda, el titular de datos personales podrá ejercer el derecho de cancelación contemplado en la presente ley, sin perjuicio de los demás derechos que establece esta ley, cuando correspondan.
y) Tercero mandatario o encargado: la persona natural o jurídica que trate datos personales, por cuenta del responsable de datos.
z) Agencia: la Agencia de Protección de Datos Personales.”.
La Cámara de Diputados, en segundo trámite constitucional, eliminó el literal x, pasando los actuales literales “y” y “z” a ser “x” e “y” respectivamente.
A continuación, incorporó el siguiente literal z), nuevo:
“z) Registro Nacional de Sanciones y Cumplimiento: es un registro nacional de carácter público administrado por la Agencia, que consigna los modelos certificados de prevención; los responsables de datos que los hayan adoptado, y las sanciones que se hayan impuesto a los responsables de datos que hayan infringido la ley.”.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Numeral 5)
En primer trámite constitucional, sustituyó el artículo 3° de la ley N°19.628 acerca de los principios por uno nuevo, cuyo texto es el siguiente:
“Artículo 3°. - Principios. El tratamiento de los datos personales se rige por los siguientes principios:
a) Principio de licitud del tratamiento. Los datos personales sólo pueden tratarse con sujeción a la ley.
b) Principio de finalidad. Los datos personales deben ser recolectados con fines específicos, explícitos y lícitos. El tratamiento de los datos personales debe limitarse al cumplimiento de estos fines.
En aplicación de este principio, no se pueden tratar los datos personales con fines distintos a los informados al momento de la recolección, salvo que el tratamiento sea para fines compatibles con los autorizados originalmente; exista una relación contractual o pre contractual entre el titular y el responsable que justifique el tratamiento de los datos con una finalidad distinta siempre que se enmarque dentro de los fines del contrato o, sea coherente con las tratativas o negociaciones previas a la celebración del mismo; el titular otorgue nuevamente su consentimiento; los datos provengan de fuentes de acceso público, y cuando lo disponga la ley.
c) Principio de proporcionalidad. Los datos personales que se traten deben limitarse a aquellos que resulten necesarios en relación con los fines del tratamiento.
Los datos personales deben ser conservados sólo por el período de tiempo que sea necesario para cumplir con los fines del tratamiento, luego de lo cual deben ser cancelados o anonimizados. Un período de tiempo mayor requiere autorización legal o consentimiento del titular.
d) Principio de calidad. Los datos personales deben ser exactos, completos y actuales, en relación con los fines del tratamiento.
e) Principio de responsabilidad. Quienes realicen tratamiento de los datos personales serán legalmente responsables del cumplimiento de los principios, obligaciones y deberes de conformidad a la ley.
f) Principio de seguridad. En el tratamiento de los datos personales, el responsable debe garantizar estándares adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado o ilícito, y contra su pérdida, filtración, daño accidental o destrucción. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la naturaleza de los datos.
g) Principio de transparencia e información. Las políticas y las prácticas sobre el tratamiento de los datos personales deben estar permanentemente accesibles y a disposición de cualquier interesado de manera precisa, clara, inequívoca y gratuita.
El responsable debe adoptar las medidas adecuadas y oportunas para facilitar al titular el acceso a toda la información que señala esta ley, así como cualquier otra comunicación relativa al tratamiento que realiza.
h) Principio de confidencialidad. El responsable de datos personales y quienes tengan acceso a ellos deberán guardar secreto o confidencialidad acerca de los mismos. El responsable establecerá controles y medidas adecuadas para preservar el secreto o confidencialidad. Este deber subsiste aún después de concluida la relación con el titular.”.
En segundo trámite constitucional, la Cámara de Diputados, introdujo algunas enmiendas a algunos de los literales de este artículo:
En el literal a) propuesto lo ha sustituido por el siguiente:
“a) Principios de licitud y lealtad. Los datos personales sólo pueden tratarse de manera lícita y leal.
Asimismo, ha añadido el siguiente inciso segundo al literal a):
“El responsable deberá ser capaz de acreditar la licitud del tratamiento de datos personales que realiza.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
En tanto, en el literal b) propuesto ha eliminado en el párrafo segundo la frase “; los datos provengan de fuentes de acceso público,”.
- Sometida a votación esta modificación, fue rechazada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
A continuación, en el literal c) propuesto, la Cámara de Diputados sugiere introducir las siguientes enmiendas:
Párrafo primero
Incorporar, a continuación de la expresión “deben limitarse”, la palabra “estrictamente”.
De igual forma, ha intercalado, a continuación de la frase “que resulten necesarios” la expresión “, adecuados y pertinentes”.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Párrafo segundo
Reemplazar la palabra “deben” por “pueden”, y la palabra “cancelados” por “suprimidos”.
De igual forma, ha incorporado a continuación de la palabra “anonimizados” la frase “, sin perjuicio de las excepciones que establezca la ley”.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Por su parte, en el literal d) propuesto, ha sustituido la frase “completos y actuales en relación con” por la frase “completos, actuales y pertinentes en relación con su proveniencia y”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
En el literal e) acordado por el Senado se ha eliminado la coma que sigue al término “principios” y ha intercalado a continuación la frase “contenidos en este artículo y de las”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Literal g)
Finalmente, la Cámara de Diputados, propone reemplazar su párrafo primero por el siguiente:
“g) Principio de transparencia e información. El responsable debe entregar al titular toda la información que sea necesaria para el ejercicio de los derechos que establece esta ley, incluyendo las políticas y las prácticas sobre el tratamiento de los datos personales, las que además deberán encontrarse permanentemente accesibles y a disposición de cualquier interesado de manera precisa, clara, inequívoca y gratuita.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Numeral 6)
En primer trámite constitucional, el Senado propone sustituir el Título I de la ley N°19.628 por el siguiente:
“Título I
De los derechos del titular de datos personales
Artículo 4°
Senado
El Senado, en primer trámite constitucional aprobó la siguiente disposición:
“Artículo 4º.- Derechos del titular de datos. Toda persona actuando por sí o a través de su representante legal o mandatario, según corresponda, tiene derecho de acceso, rectificación, cancelación, oposición y portabilidad de sus datos personales, de conformidad a la presente ley.
Tales derechos son personales, intransferibles e irrenunciables y no pueden limitarse por ningún acto o convención.
En caso de fallecimiento del titular de datos, los derechos que reconoce esta ley pueden ser ejercidos por sus herederos.
Con todo, los herederos no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.
En segundo trámite constitucional, la Cámara de Diputados aprobó las siguientes enmiendas a su inciso primero:
Sustituir la palabra “cancelación” por “supresión”.
Reemplazar la expresión “y portabilidad” por las palabras “, portabilidad y bloqueo”.
- Sometidas a votación estas dos modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 5°
Senado
En primer trámite constitucional, el Senado aprobó un nuevo artículo 5°, cuyo texto es el siguiente:
Artículo 5º.- Derecho de acceso. El titular de datos tiene derecho a solicitar y obtener del responsable, confirmación acerca de si los datos personales que le conciernen están siendo tratados por él, y en tal caso, acceder a dichos datos y a la siguiente información:
a) Los datos tratados y su origen.
b) La finalidad o finalidades del tratamiento.
c) Las categorías, clases o tipos de destinatarios, o bien, la identidad de cada destinatario, en caso de solicitarlo así el titular, a los que se les hayan comunicado o cedido los datos o se prevea hacerlo.
d) El período de tiempo durante el cual los datos serán tratados.
e) Los intereses legítimos del responsable, cuando el tratamiento se base en lo dispuesto en el artículo 13, letra e).
Sin perjuicio de cumplir con el deber de confirmación establecido en el inciso anterior, el responsable no estará obligado a entregar la información ni a dar acceso a los datos solicitados por el titular en los siguientes casos:
i. Cuando el titular ya disponga de la información requerida.
ii. Cuando su comunicación resulte imposible o su entrega exija un esfuerzo desproporcionado.
iii. Cuando su entrega imposibilite u obstaculice gravemente un tratamiento de datos con fines históricos, estadísticos o científicos, para estudios o investigaciones que atiendan fines de interés público o vayan en beneficio de la salud humana, y
iv. Cuando lo disponga expresamente la ley.
La Cámara de Diputados, en segundo trámite constitucional, acordó las siguientes enmiendas a este precepto:
En el literal e), reemplazar la expresión “letra e)” por “letra d)”.
Incorporar a continuación de su literal e) el siguiente literal f), nuevo:
“f) Información significativa sobre la lógica aplicada en el caso de que el responsable realice tratamiento de datos de conformidad con el artículo 8 bis.”.
Finalmente, ha sustituido el inciso segundo del artículo 5° por el siguiente:
“El responsable siempre estará obligado a entregar información y a dar acceso a los datos solicitados excepto cuando una ley disponga expresamente lo contrario.”.
- Sometidas a votaciones estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 7°
Senado
El Senado, en primer trámite constitucional, aprobó un artículo 7°, nuevo, que establece lo siguiente:
Artículo 7°.- Derecho de cancelación. El titular de datos tiene derecho a solicitar y obtener del responsable la cancelación o supresión de los datos personales que le conciernen, especialmente en los siguientes casos:
a) Cuando los datos no resulten necesarios en relación con los fines del tratamiento para el cual fueron recogidos.
b) Cuando el titular haya revocado su consentimiento para el tratamiento y éste no tenga otro fundamento legal.
c) Cuando los datos hayan sido obtenidos o tratados ilícitamente por el responsable.
d) Cuando se trate de datos caducos.
e) Cuando los datos deban suprimirse para el cumplimiento de una sentencia judicial o de una obligación legal, y
f) Cuando el titular haya ejercido su derecho de oposición de conformidad al artículo siguiente y no existan otro fundamento legal para su tratamiento.
No procede la cancelación cuando el tratamiento sea necesario:
i. Para ejercer el derecho a las libertades de emitir opinión y de informar.
ii. Para el cumplimiento de una obligación legal o la ejecución de un contrato suscrito entre el titular y el responsable.
iii. Por razones de interés público, especialmente en el ámbito de la salud pública.
iv. Para tratamientos con fines históricos, estadísticos o científicos y para estudios o investigaciones que atiendan fines de interés público, y
v. Para la formulación, ejercicio o defensa de una reclamación administrativa o judicial.
La Cámara de Diputados, en segundo trámite constitucional, efectuó las siguientes enmiendas al artículo 7° propuesto:
En su inciso primero, reemplazó en su encabezado la expresión “Derecho de cancelación” por la expresión “Derecho de supresión”.
Eliminó, además, en el encabezado, la expresión “cancelación o”, y ha reemplazado la palabra “supresión” por “eliminación”.
Finalmente, en su literal e) ha agregado a continuación de la expresión “sentencia judicial” la frase “, de una resolución de la autoridad de protección de datos”.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
En su inciso segundo, la Cámara de Diputados acordó introducir las siguientes enmiendas al texto aprobado por el Senado:
Sustituir en el encabezado, la palabra “cancelación” por “supresión”.
Además, reemplazó el numeral iii por los siguientes numerales iii y iv, pasando los actuales numerales iv y v a ser v y vi respectivamente:
“iii. Para el cumplimiento de una función pública o para el ejercicio de una actividad de interés público.
iv. Por razones de interés público en el área de la salud pública, de conformidad con las condiciones y garantías establecidas en la ley.”.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 8°
Senado
El Senado, en el primer trámite constitucional, estableció un nuevo artículo 8°, cuyo texto es el siguiente:
Artículo 8°. - Derecho de Oposición. El titular de datos tiene derecho a oponerse ante el responsable a que se realice un tratamiento específico o determinado de los datos personales que le conciernan, en los siguientes casos:
a) Si el tratamiento afecta sus derechos y libertades fundamentales.
b) Si el tratamiento se realiza exclusivamente con fines de mercadotecnia o marketing directo de bienes, productos o servicios.
c) Si el tratamiento se realiza respecto de datos obtenidos de una fuente de acceso público y no exista otro fundamento legal para su tratamiento.
No procederá la oposición al tratamiento en los siguientes casos:
i. Cuando sea necesario para ejercer el derecho a las libertades de emitir opinión y de informar.
ii. Cuando existan razones de interés público, especialmente en el ámbito de la salud pública.
iii. Cuando se realice con fines históricos, estadísticos o científicos y para estudios o investigaciones que atiendan fines de interés público, y
iv. Cuando se requiera para la formulación, ejercicio o defensa de una reclamación administrativa o judicial.
La Cámara de Diputados, en el segundo trámite constitucional, propone sustituir el artículo 8° por el siguiente:
“Artículo 8.- Derecho de Oposición. El titular de datos tiene derecho a oponerse ante el responsable a que se realice un tratamiento específico o determinado de los datos personales que le conciernan, en los siguientes casos:
a) Cuando la base de licitud del tratamiento sea la satisfacción de intereses legítimos del responsable. En dicho caso podrá ejercer su derecho de oposición en cualquier momento. El responsable del tratamiento deberá dejar de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del titular, o para la formulación, el ejercicio o la defensa de reclamaciones.
b) Si el tratamiento se realiza exclusivamente con fines de mercadotecnia o marketing directo de bienes, productos o servicios, incluida la elaboración de perfiles, de conformidad con el artículo 8 bis.
c) Si el tratamiento se realiza respecto de datos obtenidos de una fuente de acceso público y no existe otro fundamento legal para su tratamiento.
No procederá la oposición al tratamiento cuando éste se realice con fines de investigación científica o histórica o fines estadísticos, siempre que fueran necesarios para el cumplimiento de una función pública o para el ejercicio de una actividad de interés público.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 8° bis
Senado
El Senado, en primer trámite constitucional ha incorporado un nuevo artículo 8° bis:
Artículo 8° bis.- Derecho de oposición a valoraciones personales automatizadas. El titular de datos tiene derecho a oponerse a que el responsable adopte decisiones que le conciernan, basadas únicamente en el hecho de realizarse a través de un tratamiento automatizado de sus datos personales, incluida la elaboración de perfiles.
El titular no podrá ejercer este derecho de oposición en los siguientes casos:
a) Cuando la decisión del responsable sea necesaria para la celebración o ejecución de un contrato entre el titular y el responsable;
b) Cuando exista consentimiento previo y expreso del titular, y
c) Cuando lo disponga la ley.
En los casos de las letras a) y b) del inciso anterior, el responsable deberá adoptar las medidas necesarias para asegurar los derechos del titular, en particular el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a solicitar la revisión de la decisión.
La Cámara de Diputados, en el segundo trámite constitucional, sustituye esta disposición, por la siguiente:
“Artículo 8° bis.- Decisiones individuales automatizadas, incluida la elaboración de perfiles. El titular de datos tiene derecho oponerse y a no ser objeto de decisiones basadas en el tratamiento automatizado de sus datos personales, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente.
El inciso anterior no se aplicará en los siguientes casos:
a) Cuando la decisión sea necesaria para la celebración o ejecución de un contrato entre el titular y el responsable.
b) Cuando exista consentimiento previo y expreso del titular en la forma prescrita en el artículo 12.
c) Cuando lo señale la ley, en la medida en que ésta disponga el empleo de salvaguardas a los derechos y libertades del titular.
En todos los casos de decisiones basadas en el tratamiento automatizado de datos personales, inclusive aquellos señalados en las letras a), b) y c) precedentes, el responsable deberá adoptar las medidas necesarias para asegurar los derechos, libertades del titular, su derecho a la información y transparencia, el derecho a obtener una explicación, la intervención humana, a expresar su punto de vista y a solicitar la revisión de la decisión.”.
- Sometida a votación esta modificación, fue rechazada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
- - -
Artículo 8° ter, nuevo
Cámara de Diputados
A continuación, la Cámara de Diputados, en el segundo trámite constitucional incorporó un nuevo artículo 8° ter, cuyo texto es el siguiente:
“Artículo 8 ter.- Derecho de bloqueo. El titular de datos tiene derecho a solicitar la suspensión temporal de cualquier operación de tratamiento de sus datos personales cuando su exactitud no pueda ser establecida o cuya vigencia sea dudosa y respecto de los cuales no corresponda la supresión.”.
- Sometida a votación esta modificación, fue rechazada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 9°
Senado
El Senado, en el primer trámite constitucional, aprobó el artículo 9° cuyo texto es el siguiente:
Artículo 9º.- Derecho a la portabilidad de los datos personales. El titular de datos tiene derecho a solicitar y recibir una copia de los datos personales que le conciernen, que haya facilitado al responsable, en un formato estructurado, genérico y de uso común, que permita ser operado por distintos sistemas y, a comunicarlos o transferirlos a otro responsable de datos, cuando concurran las siguientes circunstancias:
a) El tratamiento se realice en forma automatizada, y
b) El tratamiento esté basado en el consentimiento del titular.
El responsable debe utilizar los medios más expeditos, menos onerosos y sin poner trabas u obstáculos para el ejercicio de este derecho.
El responsable también debe comunicar al titular de manera clara y precisa las medidas necesarias para obtener sus datos personales y especificar las características técnicas para llevar a cabo estas operaciones.
La Cámara de Diputados, en el segundo trámite constitucional, realizó las siguientes enmiendas al artículo 9° propuesto:
En primer lugar, intercaló en el inciso primero, entre las palabras “formato” y “estructurado”, la expresión “electrónico,”.
De igual forma, añadió los siguientes incisos cuarto y quinto, nuevos:
“El titular tendrá derecho a que sus datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
Con todo, el ejercicio del derecho de portabilidad no supondrá la supresión de los datos ante el responsable cedente, a menos que el titular de ellos así lo pida conjuntamente en la solicitud.”.
- Sometidas a votación estas modificaciones, fueron rechazadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 10
Senado
El Senado, en el primer trámite constitucional incorporó el siguiente artículo 10:
Artículo 10.- Forma y medios de ejercer los derechos del titular de datos. Los derechos reconocidos en esta ley se ejercen por el titular ante el responsable de datos. Si los datos personales del titular son tratados por diversos responsables, el titular puede ejercer sus derechos ante cualquiera de ellos.
Los responsables de datos deberán implementar mecanismos y herramientas tecnológicas que permitan que el titular ejerza sus derechos en forma expedita, ágil y eficaz. Los medios dispuestos por el responsable deben ser sencillos en su operación.
El ejercicio de los derechos de rectificación, cancelación y oposición siempre serán gratuitos para el titular. El derecho de acceso también se ejercerá en forma gratuita, al menos trimestralmente.
El responsable de datos sólo puede exigir el pago de los costos directos en que incurra, cuando el titular ejerza su derecho de acceso más de una vez en el trimestre o cuando ejerza el derecho a la portabilidad.
Los parámetros y mecanismos para determinar los costos derivados del ejercicio de los derechos señalados en el inciso anterior serán determinados por la Agencia, a través de una instrucción general que considerará, entre otros antecedentes, el volumen de los datos a ser entregados, la naturaleza jurídica y el tamaño de la entidad o empresa que tenga la calidad de responsable.
La Agencia velará por el efectivo ejercicio y cumplimiento de los derechos que esta ley reconoce al titular de datos, en conformidad a lo dispuesto en esta ley.
La Cámara de Diputados, en el segundo trámite constitucional, introdujo las siguientes modificaciones al texto del artículo 10 aprobado por esta Corporación:
En primer, lugar la Cámara revisora intercaló el siguiente inciso segundo, nuevo, pasando el actual a ser inciso tercero y así sucesivamente:
“En el caso de las personas jurídicas no constituidas en Chile, los responsables deberán designar por escrito, ante la Agencia, un representante domiciliado en el país para los efectos de que el titular pueda ejercer sus derechos consagrados en la presente ley y se le practiquen las comunicaciones y notificaciones judiciales o administrativas a que haya lugar.”.
- Sometida a votación esta modificación, fue rechazada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Asimismo, sustituyó en el inciso tercero, que ha pasado a ser cuarto, la palabra “cancelación” por “supresión”.
En el inciso cuarto, que ha pasado a ser quinto, a continuación de la frase “derecho de acceso”, realizó dos modificaciones:
Intercaló, la expresión “y derecho a la portabilidad”.
También, reemplazó la frase “o cuando ejerza el derecho a la portabilidad.” por la siguiente oración: “. El responsable no podrá exigir este pago en los casos del artículo 27 f).”.
- Sometidas votación estas modificaciones a los incisos tercero y cuarto al artículo 10, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 11
Senado
El Senado, en el primer trámite constitucional aprobó el siguiente artículo 11:
Artículo 11.- Procedimiento ante el responsable de datos. Para ejercer los derechos que le reconoce esta ley, el titular deberá presentar una solicitud o requerimiento escrito ante el responsable, dirigido a la dirección de correo electrónico establecida para este fin, un formulario de contacto o un medio electrónico equivalente. La solicitud deberá contener, a lo menos, las siguientes menciones:
a) Individualización del titular y de su representante legal o mandatario, según corresponda y autenticación de su identidad de acuerdo con los procedimientos, formas y modalidades que establezca la Agencia.
b) Indicación de un domicilio o una dirección de correo electrónico o de otro medio equivalente para comunicar la respuesta.
c) Identificación de los datos personales o del tratamiento determinado, respecto de los cuales se ejerce el derecho correspondiente.
d) En las solicitudes de rectificación, el titular deberá indicar las modificaciones o actualizaciones precisas a realizar y acompañar, en su caso, los antecedentes que las sustenten. Cuando se trate de solicitudes de cancelación, el titular deberá indicar la causal invocada y acompañar los antecedentes que la sustenten, si correspondiere. Para las solicitudes de oposición, el titular deberá indicar la causal invocada y en el caso de la letra a) del artículo 8°, deberá fundamentar brevemente su petición, podrá igualmente acompañar los antecedentes que estime procedentes. En el caso del derecho de acceso, bastará con la individualización del titular.
Recibida la solicitud el responsable deberá acusar recibo de ella y pronunciarse a más tardar dentro de los quince días hábiles siguientes a la fecha de ingreso.
El responsable deberá responder por escrito al titular a su domicilio o la dirección de correo electrónico fijada por éste. El responsable debe almacenar los respaldos que le permitan demostrar la remisión de la respuesta a la dirección física o electrónica que corresponda, su fecha y el contenido íntegro de ella.
En caso de denegación total o parcial de la solicitud, el responsable deberá fundar su decisión indicando la causa invocada y los antecedentes que la justifican. En esta misma oportunidad el responsable debe señalar al titular que dispone de un plazo de quince días hábiles para formular una reclamación ante la Agencia, de acuerdo con el procedimiento establecido en el artículo 41.
Transcurrido el plazo de quince días hábiles al que hace referencia el inciso segundo anterior, sin que haya respuesta del responsable, el titular podrá formular directamente una reclamación ante la Agencia, en los mismos términos del inciso anterior.
Cuando se formule una solicitud de rectificación, cancelación u oposición, el titular tendrá derecho a solicitar y obtener del responsable el bloqueo temporal de sus datos o del tratamiento que realice, según corresponda. La solicitud de bloqueo temporal deberá ser fundada y el responsable deberá responder al requerimiento dentro de los dos días hábiles siguientes a su recepción. En tanto no resuelva esta solicitud, el responsable no podrá tratar los datos del titular que forman parte del requerimiento. En caso de rechazo el responsable deberá fundar su respuesta y comunicar en forma electrónica su decisión a la Agencia. El titular podrá reclamar de esta decisión ante la Agencia, aplicándose lo dispuesto en la letra a) del artículo 41.
La rectificación, cancelación u oposición al tratamiento de los datos se aplicará sólo respecto de los responsables a quienes se les haya formulado la solicitud. Con todo, cuando el responsable haya comunicado dichos datos a otras personas, deberá comunicar a éstas los cambios realizados en virtud de la rectificación, cancelación u oposición.
El titular podrá aportar cualquier otro antecedente que facilite la localización de los datos personales.”.
La Cámara de Diputados, en el segundo trámite constitucional, introdujo las siguientes enmiendas al artículo 11° aprobado por el Senado:
En el literal d) de su inciso primero, reemplazó la palabra “cancelación” por la palabra “supresión”.
En su inciso sexto, introdujo dos enmiendas:
En primer lugar, se sustituyó la palabra “cancelación” por “supresión”.
Incorporó, a continuación de la expresión “parte del requerimiento.”, la siguiente oración: “El bloqueo temporal de los datos no afectará su almacenamiento por parte del responsable.”.
Finalmente, reemplazó en su inciso séptimo la palabra “cancelación” por la palabra “supresión”, las dos veces que aparece.
- Sometidas a votación estas modificaciones, fueron rechazadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh. (Revisar)
Numeral 7)
El Senado, en el primer trámite constitucional, reemplazó el Título II de la ley N° 19.628, por el siguiente:
“Título II
Del tratamiento de los datos personales y de las categorías especiales de datos.
A continuación de este título incorporó un párrafo primero referido al consentimiento del titular, las obligaciones y deberes del responsable y el tratamiento de datos en general.
Este asunto no fue objeto de enmienda por la Cámara de Diputados.
Artículo 12
Senado
A continuación, el Senado, en primer trámite constitucional aprobó el siguiente artículo:
“Artículo 12.- Regla general del tratamiento de datos. Es lícito el tratamiento de los datos personales que le conciernen al titular, cuando otorgue su consentimiento para ello.
El consentimiento del titular debe ser libre, informado y específico en cuanto a su finalidad o finalidades. El consentimiento debe manifestarse de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.
Cuando el consentimiento lo otorgue un mandatario, éste deberá encontrarse expresamente premunido de esta facultad.
El titular puede revocar el consentimiento otorgado en cualquier momento y sin expresión de causa, utilizando medios similares o equivalentes a los empleados para su otorgamiento. La revocación del consentimiento no tendrá efectos retroactivos.
Los medios utilizados para el otorgamiento o la revocación del consentimiento deben ser expeditos, fidedignos, gratuitos y estar permanentemente disponibles para el titular.”
Existe un desequilibrio ostensible, y se presume que el consentimiento para tratar datos no ha sido libremente otorgado, cuando el tratamiento de dichos datos se basa en un consentimiento otorgado para la ejecución de un contrato o la prestación de un servicio que no requieren del tratamiento de datos personales para su ejecución o cumplimiento.
Con todo, lo dispuesto en el inciso anterior, no se aplicará en los casos en que se ofrezcan bienes, servicios o beneficios, cuando, quien ofrezca dichos bienes, servicios o beneficios, requiera como única contraprestación el consentimiento para tratar datos.
Corresponde al responsable probar que el tratamiento de datos realizado contó con el consentimiento del titular.
La Cámara de Diputados, en el segundo trámite constitucional, introdujo al artículo 12 las siguientes modificaciones:
En el inciso segundo, intercaló, entre las expresiones “manifestarse” y “de manera” la siguiente frase: “, además, en forma previa y”.
Igualmente, reemplazó los incisos sexto, séptimo y octavo por los siguientes:
“Se presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección.
Con todo, lo dispuesto en el inciso anterior no se aplicará cuando quien ofrezca bienes, servicios o beneficios, requiera como única contraprestación el consentimiento para tratar datos.
Corresponde al responsable probar que contó con el consentimiento del titular y que el tratamiento de datos fue realizado en forma lícita, leal y transparente.”.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 13
Senado
El Senado, en primer trámite constitucional, aprobó el siguiente artículo 13:
“Artículo 13.- Otras fuentes de licitud del tratamiento de datos. Es lícito el tratamiento de datos personales, sin el consentimiento del titular, en los siguientes casos:
a) Cuando los datos han sido recolectados de una fuente de acceso público.
b) Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y se realice de conformidad con las normas del Título III de esta ley.
c) Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley.
d) Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.
e) Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular. En todo caso, el titular podrá exigir siempre ser informado sobre el tratamiento que lo afecta y cuál es el interés legítimo en base al cual se efectúa dicho tratamiento.
f) Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia.
El responsable deberá acreditar la licitud del tratamiento de datos.
La Cámara de Diputados, en segundo trámite constitucional introdujo las siguientes enmiendas al artículo 13:
Eliminó el literal a), pasando los actuales literales b), c), d) y e) a ser literales a), b), c) y d) respectivamente.
- Sometida a votación esta modificación, fue rechazada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Asimismo, en el literal f), que ha pasado a ser literal e), a continuación de la expresión “tribunales de justicia” se agregó lo siguiente: “u órganos públicos”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 14
Senado
El Senado, en primer trámite constitucional, aprobó el siguiente texto:
“Artículo 14.- Obligaciones del responsable de datos. El responsable de datos, sin perjuicio de las demás disposiciones previstas en esta ley, tiene las siguientes obligaciones:
a) Informar y poner a disposición del titular los antecedentes que acrediten la licitud del tratamiento de datos que realiza. Asimismo, deberá entregar de manera expedita dicha información cuando le sea requerida;
b) Asegurar que los datos personales se recojan de fuentes de acceso lícitas con fines específicos, explícitos y lícitos, y que su tratamiento se limite al cumplimiento de estos fines;
c) Comunicar o ceder, en conformidad a las disposiciones de esta ley, información exacta, completa y actual;
d) Cancelar o anonimizar los datos personales del titular cuando fueron obtenidos para la ejecución de medidas precontractuales, y
e) Cumplir con los demás principios y obligaciones que rigen el tratamiento de los datos personales previstos en esta ley.
El responsable de datos que no tenga domicilio en Chile y que realice tratamiento de datos de personas que residan en el territorio nacional, deberá señalar y mantener actualizado y operativo, un correo electrónico u otro medio de contacto idóneo para recibir comunicaciones de los titulares de datos y de la Agencia.
La Cámara de Diputados, en segundo trámite constitucional, introdujo las siguientes enmiendas al texto aprobado por la Cámara de origen:
En el literal d) sustituyó la palabra “Cancelar” por “Suprimir”.
En el literal e) intercaló, a continuación de la palabra “demás” la expresión “deberes,”.
- Sometidas a votación ambas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 14 bis
Senado
El Senado, en primer trámite constitucional, aprobó el siguiente artículo 14 bis nuevo, cuyo texto es:
“Artículo 14 bis.- Deber de secreto o confidencialidad. El responsable de datos está obligado a mantener secreto o confidencialidad acerca de los datos personales que conciernan a un titular, salvo cuando el titular los hubiere hecho manifiestamente públicos. Este deber subsiste aún después de concluida la relación con el titular. En caso de que el responsable haya realizado alguna acción sobre datos personales obtenidos de fuentes de acceso público, tales como organizarlos o clasificarlos bajo algún criterio, o combinarlos o complementarlos con otros datos, los datos personales que resulten de dicha acción se encontrarán protegidos bajo el presente deber de secreto o confidencialidad.
El deber de secreto o confidencialidad no obsta a las comunicaciones o cesiones de datos que deba realizar el responsable en conformidad a la ley, y al cumplimiento de la obligación de dar acceso al titular e informar el origen de los datos, cuando esta información le sea requerida por el titular o por un órgano público dentro del ámbito de sus competencias legales.
El responsable debe adoptar las medidas necesarias con el objeto que sus dependientes o las personas naturales o jurídicas que ejecuten operaciones de tratamiento de datos bajo su responsabilidad, cumplan el deber de secreto o confidencialidad establecidos en este artículo.
Quedan sujetas a la obligación de secreto o confidencialidad las personas e instituciones y sus dependientes, que en cumplimiento de una obligación legal han remitido información a un organismo público sujeto al régimen de excepciones establecido en el artículo 24, en cuanto al requerimiento y al hecho de haber remitido dicha información.”
En segundo trámite constitucional, la Cámara de Diputados, en segundo trámite constitucional, reemplazó el inciso final por el siguiente:
“Quedan sujetas a la obligación de confidencialidad las personas e instituciones y sus dependientes a que se refiere el artículo 24, en cuanto al requerimiento y al hecho de haber remitido dicha información.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 14 ter
Senado
El Senado, en primer trámite constitucional aprobó el siguiente texto:
Artículo 14 ter.- Deber de información y transparencia. El responsable de datos debe mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información:
a) La política de tratamiento de datos personales que haya adoptado, la fecha y versión de la misma;
b) La individualización del responsable de datos y su representante legal y la identificación del encargado de prevención, si existiere;
c) El domicilio postal, la dirección de correo electrónico, el formulario de contacto o la identificación del medio tecnológico equivalente mediante el cual se le notifican las solicitudes que realicen los titulares;
d) Las categorías, clases o tipos de datos que trata; la descripción genérica del universo de personas que comprenden sus bases de datos; los destinatarios a los que se prevé comunicar o ceder los datos, las finalidades de los tratamientos que realiza y los tratamientos que se basan en la satisfacción de intereses legítimos;
e) La política y las medidas de seguridad adoptadas para proteger las bases de datos personales que administra;
f) El derecho que le asiste al titular para solicitar ante el responsable, acceso, rectificación, cancelación, oposición y portabilidad de sus datos personales, de conformidad a la ley, y
g) El derecho que le asiste al titular de recurrir ante la Agencia, en caso que el responsable rechace o no responda oportunamente las solicitudes que le formule.
En segundo trámite constitucional, la Cámara de Diputados introdujo las siguientes enmiendas:
Acordó reemplazar su encabezado por el siguiente:
“Artículo 14 ter. Deber de información y transparencia. El responsable de datos debe facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información:”.
De igual forma, incorporó en su literal c), a continuación de la palabra “equivalente” la expresión “de uso común y fácil acceso”.
En su literal d) acordó reemplazar la frase “y los tratamientos que se basan en la satisfacción de intereses legítimos;” por el siguiente texto: “; la base de legitimidad del tratamiento; y en caso de tratamientos que se basan en la satisfacción de intereses legítimos, cuáles serían éstos;”.
En su literal f), ha reemplazado la palabra “cancelación” por “supresión” y ha sustituido la expresión “, y” por un punto y aparte.
Finalmente, acordó incorporar a continuación del literal g), los siguientes literales:
“h) En su caso, la transferencia de datos personales a un tercer país u organización internacional y si éstos ofrecen o no un nivel adecuado de protección. En caso de que no cuenten con un nivel adecuado de protección, se deberá informar si existen garantías que justifiquen tal transferencia.
i) El periodo durante el que se conservará los datos personales.
j) La fuente de la cual provienen los datos personales y, en su caso, si proceden de fuentes de acceso público.
k) Cuando el tratamiento está basado en el consentimiento del titular, la existencia del derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
l) La existencia de decisiones automatizadas, incluida la elaboración de perfiles. En tales casos, información significativa sobre la lógica aplicada, así como las consecuencias previstas de dicho tratamiento para el titular.”.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 14 quater
Senado
El Senado, en primer trámite constitucional, aprobó el siguiente artículo 14 quater:
“Artículo 14 quater. - Deber de protección desde el diseño y por defecto. El responsable debe aplicar medidas técnicas y organizativas apropiadas con anterioridad y durante el tratamiento de datos con el fin de cumplir los principios del tratamiento de datos y los derechos de titular establecidos en esta ley. Las medidas deben ser adoptadas considerando el estado de la técnica, los costos de implementación y la naturaleza, ámbito, contexto y fines del tratamiento de datos, así como los riesgos.
El responsable de datos deberá aplicar las medidas técnicas y organizativas para garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales que sean necesarios para los fines específicos y determinados del tratamiento. Esta obligación se aplicará al número de datos recogidos, a la extensión del tratamiento, al plazo de conservación de los datos y a su accesibilidad.”.
La Cámara de Diputados, en segundo trámite constitucional, ha sustituido el texto íntegro del artículo 14 quater por el siguiente:
“Artículo 14 quater. - Deber de protección desde el diseño y por defecto. Con la finalidad de cumplir los principios y los derechos de los titulares establecidos en esta ley, el responsable debe aplicar medidas técnicas y organizativas adecuadas desde el diseño con anterioridad y durante el tratamiento de los datos personales. Las medidas a aplicar deberán tener en consideración el estado de la técnica; los costos de implementación; la naturaleza, ámbito, contexto y fines del tratamiento de datos; así como los riesgos asociados a dicha actividad.
Asimismo, el responsable de datos deberá aplicar medidas técnicas y organizativas para garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales específicos y estrictamente necesarios para dicha actividad. Para ello, se tendrá en consideración el número de datos recogidos, la extensión del tratamiento, el plazo de conservación y su accesibilidad.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 14 quinquies
Senado
El Senado, en primer trámite constitucional, acordó incorporar el siguiente artículo 14 quinquies a la ley N°19.628:
“Artículo 14 quinquies.- Deber de adoptar medidas de seguridad. El responsable de datos debe adoptar las medidas necesarias para resguardar el cumplimiento del principio de seguridad establecido en esta ley, considerando el estado actual de la técnica y los costos de aplicación, junto con la naturaleza, alcance, contexto y fines del tratamiento, así como la probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de datos tratados. Las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos. Asimismo, deberán evitar la alteración, destrucción, pérdida, tratamiento o acceso no autorizado.
Si las bases de datos que opera el responsable tienen distintos niveles de riesgo, deberá adoptar las medidas de seguridad que correspondan al nivel más alto.
Ante la ocurrencia de un incidente de seguridad, y en caso de controversia judicial o administrativa, corresponderá al responsable acreditar la existencia y el funcionamiento de las medidas de seguridad adoptadas en base a los niveles de riesgo y a la tecnología disponible.”.
En segundo trámite constitucional, la Cámara de Diputados reemplazó el inciso segundo propuesto por el Senado, por el siguiente:
“En consideración al estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de los titulares, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) La seudonimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 14 sexies
Senado
El Senado, en primer trámite constitucional, aprobó el siguiente artículo 14 sexies:
“Artículo 14 sexies.- Deber de reportar las vulneraciones a las medidas de seguridad. El responsable y el encargado de datos deberán reportar a la Agencia, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate o la comunicación o acceso no autorizados a dichos datos, cuando exista un riesgo razonable para los derechos y libertades de los titulares.
El responsable y el encargado de datos deberán registrar estas comunicaciones, describiendo la naturaleza de las vulneraciones sufridas, sus efectos, las categorías de datos y el número aproximado de titulares afectados y las medidas adoptadas para gestionarlas y precaver incidentes futuros.
Cuando dichas vulneraciones se refieran a datos personales sensibles, datos relativos a niños y niñas menores de catorce años o datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, el responsable y el encargado de datos deberán también efectuar esta comunicación a los titulares de estos datos. Esta comunicación deberá realizarse en un lenguaje claro y sencillo, singularizando los datos afectados, las posibles consecuencias de las vulneraciones de seguridad y las medidas de solución o resguardo adoptadas. La notificación se deberá realizar a cada titular afectado y si ello no fuere posible, se realizará mediante la difusión o publicación de un aviso en un medio de comunicación social masivo y de alcance nacional.”.
La Cámara de Diputados, en segundo trámite constitucional, introdujo las siguientes enmiendas al artículo 14 sexies propuesto:
Reemplazó, en sus incisos primero, segundo y tercero, la expresión “y el encargado de datos deberán” por la palabra “deberá”.
Incorporó, en su inciso tercero, luego de la frase “titulares de estos datos”, lo siguiente: “, a través de sus representantes, cuando corresponda”.
Finalmente, introdujo el siguiente inciso final, nuevo:
“Los deberes de información señalados en este artículo no obstan a los demás deberes de información que establezcan otras leyes.”.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 15
Senado
El Senado, en primer trámite constitucional, aprobó el siguiente artículo 15:
“Artículo 15.- Cesión de datos personales. Los datos personales podrán ser cedidos con el consentimiento del titular y para el cumplimiento de los fines del tratamiento. También se podrán ceder los datos personales cuando la cesión sea necesaria para el cumplimiento y la ejecución de un contrato en que es parte el titular; cuando exista un interés legítimo del cedente o del cesionario, en los términos previstos en la letra e) del artículo 13, y cuando lo disponga la ley.
En caso de que el consentimiento otorgado por el titular al momento de realizarse la recolección de los datos personales no haya considerado la cesión de los mismos, éste debe recabarse antes que se produzca, considerándose para todos los efectos legales como una nueva operación de tratamiento.
La cesión de datos deberá constar por escrito o a través de cualquier medio electrónico idóneo. En ella se deberá individualizar a las partes, los datos que son objeto de la cesión, las finalidades previstas para el tratamiento y los demás antecedentes o estipulaciones que acuerden el cedente y el cesionario.
El tratamiento de los datos personales cedidos deberá realizarse por el cesionario de conformidad a las finalidades establecidas en el contrato de cesión.
Una vez perfeccionada la cesión, el cesionario adquiere la condición de responsable de datos para todos los efectos legales. El cedente, por su parte, también mantiene la calidad de responsable de datos, respecto de las operaciones de tratamiento que continúe realizando.
Si se verifica una cesión de datos sin contar con el consentimiento del titular, siendo éste necesario, la cesión será nula, debiendo el cesionario suprimir todos los datos recibidos, sin perjuicio de las responsabilidades legales que correspondan.”.
En segundo trámite constitucional, la Cámara de Diputados sustituyó en el inciso primero del artículo 15 propuesto la expresión “letra e)” por “letra d)”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 15 bis
Senado
El Senado, en su primer trámite constitucional, aprobó el siguiente artículo 15 bis:
“Artículo 15 bis. - Tratamiento de datos a través de un tercero mandatario o encargado. El responsable puede efectuar el tratamiento de datos en forma directa o a través de un tercero mandatario o encargado. En este último caso, el tercero mandatario o encargado realiza el tratamiento de datos personales conforme al encargo y a las instrucciones que le imparta el responsable, quedándole prohibido su tratamiento para un objeto distinto del convenido con el responsable, así como su cesión o entrega en los casos en que el responsable no lo haya autorizado de manera expresa y específicamente para cumplir con el objeto del encargo.
Si el tercero mandatario o encargado trata los datos con un objeto distinto del encargo convenido o los cede o entrega sin haber sido autorizado en los términos dispuestos en el inciso anterior, se le considerará como responsable de datos para todos los efectos legales, debiendo responder personalmente por las infracciones en que incurra y solidariamente con el responsable de datos por los daños ocasionados, sin perjuicio de las responsabilidades contractuales que le correspondan frente al mandante o responsable de datos.
El tratamiento de datos a través de un tercero mandatario o encargado se regirá por el contrato celebrado entre el responsable y el encargado, con arreglo a la legislación vigente. En el contrato se deberá establecer el objeto del encargo, la duración del mismo, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de titulares a quienes conciernen los datos, y los derechos y obligaciones de las partes. El encargado no podrá delegar parte o la totalidad del encargo, salvo que conste una autorización específica y por escrito del responsable. El encargado que delegue a otro encargado parte o la totalidad del encargo, continuará siendo solidariamente responsable sobre dicho encargo y no podrá eximirse de responsabilidad argumentando que ha delegado el tratamiento. El Consejo pondrá a disposición del público modelos tipo de contratos en su página web.
El tercero mandatario o encargado deberá cumplir con lo dispuesto en los artículos 14 bis, 14 quáter, 14 quinquies y 14 sexies. La diferenciación de estándares de seguridad establecida en el inciso primero del artículo 14 septies también será aplicable al tercero mandatario o encargado. Tratándose de una vulneración a las medidas de seguridad, el tercero o mandatario deberá reportar este hecho a la Agencia y al responsable.
Cumplida la prestación del servicio de tratamiento por parte del tercero mandatario o encargado, los datos que obran en su poder deben ser cancelados o devueltos al responsable de datos, según corresponda.”.
En segundo trámite constitucional, la Cámara de Diputados acordó cuatro modificaciones al texto transcrito.
En el inciso tercero, reemplazó el vocablo “El Consejo” por la expresión “La Agencia”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
En el inciso cuarto, reemplazó la expresión “, 14 quinquies y 14 sexies” por la expresión “y 14 quinquies”.
Asimismo, en el inciso cuarto eliminó la frase “a la Agencia y”.
- Sometidas a votación estas modificaciones al inciso cuarto, fueron rechazadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Por último, en el inciso quinto sustituyó la expresión “cancelados” por “suprimidos”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 15 ter
Senado
El Senado, en primer trámite constitucional aprobó el siguiente artículo 15 ter cuyo texto es el siguiente:
“Artículo 15 ter.- Tratamiento automatizado de grandes volúmenes de datos. El responsable de datos podrá establecer procedimientos automatizados de tratamiento y transferencia de grandes volúmenes de datos, siempre que los mismos cautelen los derechos del titular y el tratamiento guarde relación con las finalidades autorizadas por los titulares.
El tratamiento automatizado de bases de datos de gran volumen deberá satisfacer, respecto de los datos que las componen, alguna de las bases de licitud establecidas en los artículos 12 y 13. Asimismo, la toma de decisiones que conciernan a los titulares de los datos que componen estas bases se regirán por lo dispuesto en el artículo 8° bis.”.
La Cámara de Diputados, en el segundo trámite constitucional, reemplazó el artículo 15 ter, por el siguiente:
“Articulo 15 ter.- Evaluación de impacto en protección de datos personales. Cuando sea probable que un tipo de tratamiento, por su naturaleza, alcance, contexto, tecnología utilizada o fines, se pueda producir un alto riesgo para los derechos de las personas titulares de los datos personales, el responsable del tratamiento deberá realizar, previo al inicio de las operaciones del tratamiento, una evaluación del impacto en protección de datos personales.
La evaluación de impacto se requerirá siempre en casos de:
a) Evaluación sistemática y exhaustiva de aspectos personales de los titulares de datos, basadas en tratamiento o decisiones automatizadas, como la elaboración de perfiles, y que produzcan en ellos efectos jurídicos significativos.
b) Tratamiento masivo de datos o gran escala.
c) Tratamiento que implique observación o monitoreo sistemático de una zona de acceso público.
d) Tratamiento de datos sensibles y especialmente protegidos, en las hipótesis de excepción del consentimiento.
La Agencia de Protección de Datos establecerá y publicará una lista orientativa de los tipos de operaciones de tratamiento que requieran o no una evaluación de impacto relativa a la protección de datos personales. La Agencia también establecerá las orientaciones mínimas para realizar esta evaluación, considerando a lo menos en dichos criterios, la descripción de las operaciones de tratamiento, su finalidad, la evaluación de la necesidad y la proporcionalidad con respecto a su finalidad, la evaluación de los riesgos y medidas de mitigación.
Los responsables podrán consultar a la Agencia de Protección de Datos, cuando en virtud del resultado de la evaluación, el tratamiento demuestre ser de alto riesgo a efectos de obtener recomendaciones de parte de dicha entidad.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
-.-.-
Párrafo Segundo
Del tratamiento de los datos personales sensibles
Artículo 16
Senado
El Senado, en primer trámite constitucional, acordó incorporar a la ley N° 19.628 un artículo 16, que encabeza este párrafo segundo. Su texto es el siguiente:
“Artículo 16.- Regla general para el tratamiento de datos personales sensibles. El tratamiento de los datos personales sensibles sólo puede realizarse cuando el titular a quien conciernen estos datos manifiesta su consentimiento en forma expresa, otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente.
Sin perjuicio de lo anterior, es lícito el tratamiento de datos personales sensibles, sin el consentimiento del titular, en los siguientes casos:
a) Cuando el tratamiento se refiere a datos personales sensibles que el titular ha hecho manifiestamente públicos y su tratamiento esté relacionado con los fines para los cuales fueron publicados.
b) Cuando el tratamiento se basa en un interés legítimo realizado por una persona jurídica de derecho público o de derecho privado que no persiga fines de lucro y se cumplan las siguientes condiciones:
i.- Su finalidad sea política, filosófica, religiosa, cultural, sindical o gremial;
ii.- El tratamiento que realice se refiera exclusivamente a sus miembros o afiliados;
iii.- El tratamiento de datos tenga por objeto cumplir las finalidades específicas de la institución;
iv.- La persona jurídica otorgue las garantías necesarias para evitar filtraciones, sustracciones o un uso o tratamiento no autorizado de los datos, y
v.- Los datos personales no se comuniquen o cedan a terceros.
Cumpliéndose estas condiciones, la persona jurídica no requerirá el consentimiento del titular para tratar sus datos, incluidos los datos personales sensibles. En caso de duda o controversia administrativa o judicial, el responsable de datos deberá acreditar su concurrencia.
Cuando un integrante de la persona jurídica deje de pertenecer a ella, sus datos deberán ser anonimizados o cancelados.
c) Cuando el tratamiento de los datos personales del titular resulte indispensable para salvaguardar la vida, salud o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento. Una vez que cese el impedimento, el responsable debe informar detalladamente al titular los datos que fueron tratados y las operaciones específicas de tratamiento que fueron realizadas.
d) Cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o un órgano administrativo.
e) Cuando el tratamiento de datos sea necesario para el ejercicio de derechos y el cumplimiento de obligaciones del responsable o del titular de datos, en el ámbito laboral o de seguridad social, y se realice en el marco de la ley.
f) Cuando el tratamiento de datos personales sensibles lo autorice o mandate expresamente la ley.
Las excepciones para tratar datos sin consentimiento, mencionadas en este artículo, se entienden aplicables al tratamiento de datos que no revisten el carácter de datos sensibles.
En segundo trámite constitucional, la Cámara de Diputados, en segundo trámite constitucional reemplazó la palabra “cancelados” por “suprimidos” en el párrafo final del literal b) del artículo 16.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 16 bis
Senado
El Senado, en primer trámite constitucional acordó incorporar a la mencionada ley, el siguiente artículo:
“Artículo 16 bis.- Datos personales relativos a la salud y al perfil biológico humano. Cumpliéndose lo dispuesto en el inciso primero del artículo 16, los datos personales relativos a la salud del titular, así como aquellos relativos al perfil biológico del titular, tales como los datos genéticos, proteómicos o metabólicos, sólo pueden ser tratados para los siguientes fines:
a) Realizar diagnósticos o tratamientos médicos, y cuando resulte necesario para una adecuada administración de prestaciones de salud y de seguros de salud, para asegurar y mejorar la calidad y eficacia de esas prestaciones y para la realización de actividades asociadas al manejo de la salud de la población.
b) Prestar asistencia médica o sanitaria en caso de urgencia.
c) Calificar el grado de dependencia o discapacidad de una persona.
d) Cuando resulte indispensable para la ejecución o cumplimiento de un contrato cuyo objeto o finalidad exija tratar datos relativos a la salud del titular.
Sólo se podrá tratar los datos personales relativos a la salud del titular y a su perfil biológico, sin contar con su consentimiento, en los siguientes casos:
a) Cuando éste resulte indispensable para salvaguardar la vida o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento. Una vez que cese el impedimento, el responsable debe informar detalladamente al titular los datos que fueron tratados y las operaciones específicas de tratamiento que fueron realizadas.
b) En casos de urgencia sanitaria legalmente decretada.
c) Cuando sean utilizados con fines históricos, estadísticos o científicos, para estudios o investigaciones que atiendan fines de interés público o vayan en beneficio de la salud humana, o para el desarrollo de productos o insumos médicos que no podrían desarrollarse de otra manera. Los resultados de los estudios e investigaciones científicas que utilicen datos personales relativos a la salud o al perfil biológico, pueden ser publicados o difundidos libremente, debiendo previamente anonimizarse los datos que se publiquen.
d) Cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o un órgano administrativo.
e) Cuando el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de sistemas y servicios de asistencia sanitaria y social.
f) Cuando la ley así lo permita e indique expresamente la finalidad que deberá tener dicho tratamiento.
Queda prohibido el tratamiento y la cesión de los datos relativos a la salud y al perfil biológico de un titular y las muestras biológicas asociadas a una persona identificada o identificable, incluido el almacenamiento del material biológico, cuando los datos o muestras han sido recolectados en el ámbito laboral, educativo, deportivo, social, de seguros, de seguridad o identificación, salvo que la ley expresamente autorice su tratamiento en casos calificados y que se refiera a alguno de los casos mencionados en este artículo.
Las excepciones para tratar datos sin el consentimiento mencionado en este artículo se entienden aplicables al tratamiento de datos que no revisten el carácter especial a que se refiere este precepto.
La Cámara de Diputados, en segundo trámite constitucional, sustituyó el artículo 16 bis por el siguiente:
“Artículo 16 bis.- Datos personales sensibles relativos a la salud y al perfil biológico humano. Si se cumple lo dispuesto en el inciso primero del artículo 16, los datos personales relativos a la salud del titular, así como aquellos relativos al perfil biológico del titular, tales como los datos genéticos, proteómicos o metabólicos, sólo podrán ser tratados para los fines previstos por las leyes especiales en materia sanitaria.
Sólo se podrá tratar los datos personales sensibles relativos a la salud del titular y a su perfil biológico, sin contar con su consentimiento, respetando los principios y reglas establecidos en la presente ley, en los siguientes casos:
a) Cuando éste resulte indispensable para salvaguardar la vida o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento. Una vez que cese el impedimento, el responsable debe informar detalladamente al titular los datos que fueron tratados y las operaciones específicas de tratamiento que fueron realizadas.
b) En casos de alerta sanitaria legalmente decretada.
c) Cuando sean utilizados con fines históricos, estadísticos o científicos, para estudios o investigaciones que atiendan fines de interés público o vayan en beneficio de la salud humana, o para el desarrollo de productos o insumos médicos que no podrían desarrollarse de otra manera. Los resultados de los estudios e investigaciones científicas que utilicen datos personales relativos a la salud o al perfil biológico pueden ser publicados o difundidos libremente. Para ello deberá previamente anonimizarse los datos que se publiquen.
d) Cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o ante un órgano administrativo.
e) Cuando el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de sistemas y servicios de asistencia sanitaria y social.
f) Cuando la ley así lo permita e indique expresamente la finalidad que deberá tener dicho tratamiento.
Se prohíbe el tratamiento y la cesión de los datos relativos a la salud y al perfil biológico de un titular y las muestras biológicas asociadas a una persona identificada o identificable, incluido el almacenamiento del material biológico, cuando los datos o muestras han sido recolectados en el ámbito laboral, educativo, deportivo, social, de seguros, de seguridad o identificación, salvo que la ley expresamente autorice su tratamiento en casos calificados y que se refiera a alguno de los casos mencionados en este artículo.
Las excepciones para tratar datos sin el consentimiento mencionado en este artículo se entienden aplicables al tratamiento de datos que no revisten el carácter especial a que se refiere este precepto.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 16 ter
Senado
El Senado, en primer trámite constitucional aprobó el artículo 16 ter, cuyo texto es el siguiente:
“Artículo 16 ter.- Datos personales biométricos. Son datos personales biométricos aquellos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la identificación única de ella, tales como la huella digital, el iris, los rasgos de la mano o faciales y la voz.
Sólo podrán tratarse estos datos cuando se cumpliere con lo dispuesto en el inciso primero del artículo 16 y siempre que el responsable proporcione al titular la siguiente información específica:
a) La identificación del sistema biométrico usado;
b) La finalidad específica para la cual los datos recolectados por el sistema biométrico serán utilizados;
c) El período durante el cual los datos biométricos serán utilizados, y
d) La forma en que el titular puede ejercer sus derechos.
Los datos personales biométricos podrán tratarse sin consentimiento sólo en los casos señalados en el inciso segundo del artículo 16 bis.”.
En segundo trámite constitucional, la Cámara de Diputados reemplazó el inciso primero, por el siguiente:
“Artículo 16 ter.- Datos personales sensibles de carácter biométrico. Son datos personales sensibles de carácter biométrico aquellos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la identificación única de ella, tales como la huella digital, el iris, los rasgos de la mano o faciales y la voz.”.
- Sometida a votación esta modificación, fue rechazada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Párrafo Tercero
Del tratamiento de categorías especiales de datos personales
Artículo 16 quinquies
Senado
El Senado, en primer trámite constitucional acordó agregar un artículo 16 quinquies, cuyo texto es el siguiente:
”Artículo 16 quinquies.- Datos personales con fines históricos, estadísticos, científicos y de estudios o investigaciones. Se entiende que existe un interés legítimo en el tratamiento de datos personales que realicen las personas naturales o jurídicas, públicas o privadas, incluidos los organismos públicos, cuando el tratamiento se realiza exclusivamente con fines históricos, estadísticos, científicos y para estudios o investigaciones que atiendan fines de interés público.
Los responsables de datos deberán adoptar y acreditar que ha cumplido con todas las medidas de calidad y seguridad necesarias para resguardar que los datos se utilicen exclusivamente para tales fines. Cumplidas estas condiciones, el responsable podrá almacenar y utilizar los datos por un período indeterminado de tiempo.
Los responsables que hayan tratado datos personales exclusivamente con estas finalidades podrán efectuar publicaciones con los resultados y análisis obtenidos, debiendo previamente adoptar las medidas necesarias para anonimizar los datos que se publiquen.”.
La Cámara de Diputados, en segundo trámite constitucional efectuó dos enmiendas al artículo, que son:
El reemplazo, en el inciso primero del artículo 16 quinquies de la expresión “que atiendan” por la frase “, todos los cuales deben atender”.
La incorporación, en su inciso segundo a continuación del primer punto y seguido de la siguiente oración:
“En el caso de los datos personales sensibles, el responsable debe identificar los riesgos posibles e implementar las medidas tendientes a su reducción o mitigación.”.
- Sometidas a votaciones esta modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Numeral 8)
Senado
Artículo 17
El Senado, en primer trámite constitucional reemplazó en el artículo 17 que se refiere a las limitaciones que tienen los responsables de los registros o bancos de datos personales, la frase “banco de datos”, por la expresión “base de datos”, todas las veces que aparece en su texto.
La Cámara de Diputados, en segundo trámite constitucional sustituyó este numeral 8) por un Numeral 9), nuevo, que introduce dos enmiendas en el artículo 17.
1) Reemplaza la frase “bancos de datos” por la expresión “bases de datos”, todas las veces que aparece en su texto.”.
2) Igualmente incorporó el siguiente inciso octavo, pasando el actual a ser inciso noveno:
“Los responsables deberán suprimir de sus registros o bases de datos, toda aquella información personal relativa a obligaciones prescritas, sin necesidad de mediar solicitud, orden judicial, ni instrucción de la autoridad de protección de datos.”.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Numeral 10)
Del Senado
El Senado, en primer trámite constitucional, reemplazó el Título IV de la ley N° 19.628 por el siguiente:
“Título IV
Del tratamiento de datos personales por los órganos públicos”.
Asimismo, incorporó en este título los artículos 20 a 26. Los artículos 20 y 21 propuesto por el Senado no fueron objeto de enmiendas por la Cámara de Diputados.
En consecuencia y en lo que interesa a este informe, el artículo 22 aprobado por esta Corporación se dispone lo siguiente:
“Artículo 22.- Comunicación o cesión de datos por un órgano público. Los órganos públicos están facultados para comunicar o ceder datos personales específicos, o todo o parte de sus bases de datos o conjuntos de datos, a otros órganos públicos, siempre que la comunicación o cesión de los datos resulte necesaria para el cumplimiento de sus funciones legales y ambos órganos actúen dentro del ámbito de sus competencias. La comunicación o cesión de los datos se debe realizar para un tratamiento específico y el órgano público receptor no los podrá utilizar para otros fines.
Asimismo, se podrá comunicar o ceder datos o bases de datos personales entre organismos públicos, cuando ellos se requieran para un tratamiento que tenga por finalidad otorgar beneficios al titular, evitar duplicidad de trámites para los ciudadanos o reiteración de requerimientos de información o documentos para los mismos titulares.
El órgano público receptor de los datos sólo puede conservarlos por el tiempo necesario para efectuar el tratamiento específico para el cual fueron requeridos, luego de lo cual deberán ser cancelados o anonimizados. Estos datos se podrán almacenar por un tiempo mayor cuando el órgano público requiera atender reclamaciones o impugnaciones, realizar actividades de control o seguimiento, o sirvan para dar garantía de las decisiones adoptadas.
Para los efectos de poder comunicar o ceder datos personales a personas o entidades privadas, los organismos públicos deberán contar con el consentimiento del titular, salvo que la comunicación o cesión de datos sea necesaria para cumplir las funciones del organismo público en materia de fiscalización o inspección.
Cuando se trate de comunicar o ceder datos personales en virtud de una solicitud de acceso a la información formulada con arreglo a lo establecido en el artículo 10 de la ley N° 20.285, los organismos públicos deberán contar con el consentimiento del titular obtenido en la oportunidad prevista en el artículo 20 de dicha ley.
Respecto de la comunicación de los datos relativos a infracciones penales, civiles, administrativas y disciplinarias, se aplicará lo dispuesto en el artículo 25.
Los organismos públicos deberán informar mensualmente a través de su página web institucional los convenios suscritos con otros organismos públicos y con entidades privadas relativos a cesión o transferencia de datos personales. Esta obligación será fiscalizada por la Agencia.”.
En segundo trámite constitucional, la Cámara de Diputados realizó dos enmiendas a este precepto:
En su inciso segundo agregó, a continuación de la frase “organismos públicos,” la palabra “exclusivamente”.
En su inciso tercero reemplazó la palabra “cancelados” por el vocablo “suprimidos”.
- Sometida a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 23
Senado
El Senado, en primer trámite constitucional aprobó el siguiente artículo 23, cuyo texto es el siguiente:
“Artículo 23.- Ejercicio de los derechos del titular, procedimiento administrativo de tutela y reclamo de ilegalidad. El titular de datos podrá ejercer ante el órgano público los derechos de acceso, rectificación y oposición que le reconoce esta ley. El titular también podrá oponerse a un tratamiento específico cuando éste sea contrario a las disposiciones de este título. El titular podrá ejercer el derecho de cancelación en los casos previstos en el inciso tercero del artículo anterior.
Los organismos públicos no acogerán las solicitudes de acceso, rectificación, oposición, cancelación o bloqueo temporal de los datos personales en los siguientes casos:
a) Cuando con ello se impida o entorpezca el cumplimiento de las funciones fiscalizadoras, investigativas o sancionatorias del organismo público, y
b) Cuando con ello se afecte el deber de secreto o reserva establecido en la ley.
El ejercicio de los derechos del titular se deberá realizar de acuerdo al procedimiento establecido en el artículo 11 de esta ley, dirigiéndose al jefe superior del servicio.
El titular podrá reclamar ante la Agencia cuando el organismo público le haya denegado, en forma expresa o tácita, una solicitud en que ejerce cualquiera de los derechos que le reconoce esta ley. La reclamación se sujetará a las normas previstas en el procedimiento administrativo de tutela de derechos establecido en el artículo 41.”.
La Cámara de Diputados, en segundo trámite constitucional introdujo algunas enmiendas al artículo 23 aprobado por la Cámara de origen, que son las siguientes:
Reemplazar, en su inciso primero, la palabra “cancelación” por “supresión”.
En tanto, en el inciso segundo sustituyó, en el encabezado la palabra “cancelación” por “supresión”.
Igualmente, intercaló en la letra a), entre las expresiones “investigativas” y “o sancionatorias”, el siguiente texto: “, de protección a víctimas y testigos”.
Finalmente, sustituyó el literal b) por el siguiente:
“b) Cuando con ello se afecte el carácter secreto de la información, establecido por la ley.”.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 24
Senado
El Senado, en primer trámite constitucional aprobó el siguiente artículo:
“Artículo 24.- Regímenes especiales. El tratamiento, comunicación o cesión de datos personales, realizado por órganos públicos competentes en las materias que a continuación se indican, estarán sujetos exclusivamente al régimen de regulación especial establecido en este artículo:
a) Aquellos que se realicen con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas las actividades de protección y prevención frente a las amenazas y riesgos contra la seguridad pública.
b) Aquellos en materias relacionadas directamente con la seguridad de la Nación, la defensa nacional y la política exterior del país.
c) Aquellos realizados con el objeto exclusivo de atender una situación de emergencia o catástrofe, declarada de conformidad a la ley y sólo mientras permanezca vigente esta declaración.
d) Aquellos que se encuentren protegidos por normas de secreto, reserva o confidencialidad, establecidas en sus respectivas leyes. Dentro de esta excepción se entienden también comprendidos los datos que, en cumplimiento de una obligación legal, los órganos públicos deban ceder a otro órgano público o a terceros, debiendo en tal caso el receptor tratarlos manteniendo la misma obligación de secreto, reserva o confidencialidad.
Los órganos públicos correspondientes podrán tratar, ceder y comunicar datos personales de forma lícita, siempre y cuando se realice para el cumplimiento de sus funciones legales, dentro del ámbito de sus competencias y respetando las garantías fundamentales establecidas en el artículo 19, N° 4, de la Constitución Política de la República y los principios establecidos en el artículo 3°.
Con el objeto de realizar los tratamientos, cesiones y comunicaciones de datos para la finalidad prevista en las letras a), b) y c) anteriores, los órganos públicos y sus autoridades estarán obligadas a intercambiar información y proporcionar los datos personales que les sean requeridos para estos fines, siempre que se refieran a tratamientos que se realicen con una finalidad específica autorizada por ley o, cuando esto no sea posible, el requerimiento sea una medida necesaria y proporcional.
El Consejo podrá, oyendo previamente a los órganos competentes, dictar instrucciones para especificar la forma de aplicar las referidas garantías y principios a los casos mencionados, de manera de asegurar su resguardo y permitir el debido cumplimiento de las funciones legales de los órganos correspondientes.”.
La Cámara de Diputados, en segundo trámite constitucional introdujo algunas enmiendas al artículo 24:
En relación al literal a) del inciso primero, intercaló entre la expresión “seguridad pública” y el punto y aparte, el siguiente texto “, y la protección a víctimas y testigos”.
- Sometida a votación esta modificación, fue aprobada por la mayoría de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores Galilea, Huenchumilla y Pugh. Se abstuvo el Honorable Senador señor De Urresti.
En el inciso final reemplazó la expresión “El Consejo” por “la Autoridad de Protección de Datos Personales”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 26
Senado
El Senado, en el primer trámite constitucional aprobó el siguiente artículo 26:
“Artículo 26.- Reglamento. Las condiciones, modalidades e instrumentos para la comunicación o cesión de datos personales entre organismos públicos y con personas u organismos privados, se regularán a través de un reglamento expedido por el Ministerio Secretaría General de la Presidencia y suscrito por el Ministro de Hacienda, previo informe de la Agencia. En este mismo reglamento se regularán los procedimientos de anonimización de los datos personales, especialmente los datos personales sensibles.
Con todo, este reglamento no será aplicable a aquellas cesiones en las que tenga participación alguno de los órganos a los que se refiere el Título VIII de esta ley.”.
La Cámara de Diputados, en segundo trámite constitucional incorporó, en el inciso primero del artículo 26 propuesto, a continuación de la expresión “por el Ministro de Hacienda” lo siguiente: “y por el Ministro de Economía, Fomento y Turismo”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Numeral 11)
Senado
El Senado, en primer trámite constitucional reemplazó el Título V, por el siguiente:
“Título V
De la transferencia internacional de datos personales.
Integran este título los artículos 27 a 29 de esta iniciativa.
Artículo 27
El Senado, en primer trámite constitucional aprobó el siguiente artículo 27:
“Artículo 27.- Regla general de autorización. Cumpliéndose los requisitos que, de conformidad a esta ley, confieren licitud al tratamiento de datos, son lícitas las operaciones de transferencia internacional de datos en los siguientes casos:
a) Cuando la transferencia se realice a una persona, entidad u organización pública o privada, sujeta al ordenamiento jurídico de un país que proporcione niveles adecuados de protección de datos personales, de conformidad a lo dispuesto en el artículo 28.
b) Cuando la transferencia de datos quede amparada por cláusulas contractuales u otros instrumentos jurídicos suscritos entre el responsable que efectúa la transferencia y el que la recibe, y en ellas se establezcan los derechos y garantías de los titulares, las obligaciones de los responsables y los medios de control.
c) Cuando el responsable que efectúa la transferencia y el que la recibe, adopten un modelo de cumplimiento o autorregulación vinculante y certificado de acuerdo a la legislación aplicable para cada uno de ellos.
d) Cuando exista consentimiento expreso del titular de datos para realizar una transferencia internacional de datos específica y determinada.
e) Cuando se refiera a transferencias bancarias, financieras o bursátiles específicas y que se realicen conforme a las leyes que regulan estas transferencias.
f) Cuando la transferencia se efectúe entre sociedades o entidades que pertenezcan a un mismo grupo empresarial, empresas relacionadas o sujetas a un mismo controlador en los términos previstos en la Ley de Mercado de Valores, siempre que todas ellas operen bajo los mismos estándares y políticas en materia de tratamiento de datos personales. El responsable que efectúe la transferencia de datos asumirá la responsabilidad por cualquier infracción a los estándares y políticas corporativas vinculantes en que incurra algunos de los miembros del grupo empresarial. El responsable sólo podrá exonerarse de esta responsabilidad cuando acredite que la infracción no fue imputable al miembro del grupo empresarial correspondiente.
g) Cuando se deban transferir datos para dar cumplimiento a obligaciones adquiridas en tratados o convenios internacionales que hayan sido ratificados por el Estado chileno y se encuentren vigentes.
h) Cuando la transferencia resulte necesaria por aplicación de convenios de cooperación, intercambio de información o supervisión que hayan sido suscritos por órganos públicos para el cumplimiento de sus funciones y en el ejercicio de sus competencias.
i) Cuando la transferencia de datos realizada por una persona natural o jurídica, pública o privada, haya sido autorizada expresamente por la ley y para una finalidad determinada.
j) Cuando la transferencia sea efectuada con el objeto de prestar o solicitar colaboración judicial internacional.
k) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.
l) Cuando sea necesario adoptar medidas urgentes en materia médica o sanitaria, para la prevención o diagnóstico de enfermedades, para tratamientos médicos o para la gestión de servicios sanitarios o de salud.”.
En segundo trámite constitucional, la Cámara de Diputados, consignó este número como nuevo numeral 12). Asimismo, introdujo las siguientes enmiendas al artículo 27.
Reemplazó la expresión “confieren licitud” por “autorizan”. Igualmente incorporó, a continuación de la frase “transferencia internacional de datos en”, la expresión “cualquiera de”.
En su literal b) aprobó dos enmiendas. La primera, para reemplazar la expresión “y el que la recibe” por la frase “y el responsable o tercero mandatario que la reciba”.
La segunda, mediante la cual incorporó, a continuación de la expresión “de los responsables”, lo siguiente: “y terceros mandatarios”.
Finalmente, en el literal c) sustituyó la frase “y el que la recibe” por “y el responsable o tercero mandatario que la reciba".
- Sometidas a votación estas modificaciones, fueron rechazadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 28
Senado
El Senado, en primer trámite constitucional aprobó el artículo 28 en los siguientes términos:
“Artículo 28.- Regla de determinación de países adecuados y demás normas aplicables a la transferencia internacional de datos. Se entiende que el ordenamiento jurídico de un país posee niveles adecuados de protección de datos, cuando cumple con estándares similares o superiores a los fijados en esta ley. La Agencia determinará fundadamente los países que poseen niveles adecuados de protección de datos considerando, a los menos, lo siguiente:
a) El establecimiento de principios que rigen el tratamiento de los datos personales.
b) La existencia de normas que reconozcan y garanticen los derechos de los titulares de datos y la existencia de una autoridad pública jurisdiccional o administrativa de control o tutela.
c) La imposición de obligaciones de información y seguridad a los responsables del tratamiento de los datos.
d) La determinación de responsabilidades en caso de infracciones.
La Agencia pondrá en su página web a disposición de los interesados modelos tipo de cláusulas contractuales y otros instrumentos jurídicos para la transferencia internacional de datos.
Cuando no se verifique ninguna de las circunstancias señaladas en el artículo anterior, la Agencia podrá autorizar, mediante resolución fundada, la transferencia internacional de datos siempre que el transmisor y el receptor de los datos otorguen las garantías adecuadas en relación con la protección de los derechos de las personas que son titulares de estos datos y la seguridad de la información transferida. La Agencia podrá imponer condiciones previas para que se verifique la transferencia.
Corresponderá al responsable de datos que efectuó la transferencia internacional de datos, acreditar que ésta se practicó de conformidad a las reglas establecidas en esta ley.
La Cámara de Diputados, en segundo trámite constitucional aprobó una serie de enmiendas a dicho artículo 28:
Incorporó, en el literal c) del inciso primero, a continuación de la expresión “a los responsables” lo siguiente: “y terceros mandatarios”.
Intercaló, en el inciso segundo, a continuación de la palabra “interesados”, la frase “una nómina de países adecuados y”.
Reemplazó, los incisos tercero y cuarto por los siguientes:
“Cuando no se verifique ninguna de las circunstancias señaladas en el artículo anterior, la Agencia podrá autorizar, mediante resolución fundada, la transferencia internacional de datos para un caso particular, siempre que el transmisor y el receptor de los datos otorguen las garantías adecuadas en relación con la protección de los derechos de las personas que son titulares de estos datos y la seguridad de la información transferida, de conformidad con la presente ley. Se considerarán garantías adecuadas aquellos instrumentos, mecanismos, cláusulas que contengan similares o mayores principios, derechos y garantías a aquellas que ofrece la presente ley, y en particular, que otorguen derechos exigibles y acciones legales efectivas a los titulares de los datos. La Agencia podrá imponer condiciones previas para que se verifique la transferencia y podrá aprobar cláusulas modelo que contengan dichas garantías para el flujo transfronterizo de datos, las que estarán a disposición de los responsables.
Corresponderá al responsable de datos que efectuó la transferencia internacional de datos, acreditar ante la Agencia que ésta se practicó de conformidad a las reglas establecidas en esta ley.”.
- Sometidas a votación estas modificaciones, fueron rechazadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Numeral 12)
Senado
La Cámara de Diputados consigna este número como nuevo numeral 13).
En primer trámite constitucional, el Senado intercaló los siguientes Títulos VI, VII y VIII, nuevos a la ley N° 19.628.
“Título VI
Autoridad de Control en materia de Protección de Datos Personales.
Este título incluye los artículos 30, 30 bis, 30 ter, 30 quater, 30 quinquies, 30 sexies, 30 septies, 30 octies, 30 nonies, 31, 32 y 32 bis. Hacemos presente que el artículo 30 no fue objeto de modificaciones por parte de la Cámara de Diputados.
Artículo 30 bis
Este artículo define las funciones y atribuciones de la Agencia de Protección de Datos Personales.
El Senado, en primer trámite constitucional aprobó el siguiente artículo 30 bis.
Su texto es el siguiente:
“Artículo 30 bis.- Funciones y atribuciones de la Agencia. La Agencia tendrá las siguientes funciones y atribuciones:
a) Dictar instrucciones y normas generales y obligatorias con el objeto de regular las operaciones de tratamiento de datos personales conforme a los principios establecidos en esta ley. Las instrucciones y normas generales que dicte la Agencia deberán ser emitidas previa consulta pública efectuada a través de la página web institucional y deberán estar relacionadas estrictamente con la regulación de tratamiento de datos personales y que sea necesaria para el fiel cumplimiento de la presente ley, disponiéndose los mecanismos necesarios para que los interesados puedan formular observaciones a ésta.
b) Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de protección de los datos personales y las instrucciones y normas generales que dicte la Agencia.
c) Fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos y las instrucciones y normas generales que se dicten respecto de los tratamientos de datos personales. Para ello, podrá requerir a quienes realicen tratamiento de datos personales la entrega de cualquier documento, libro o antecedente y toda la información que fuere necesaria para el cumplimiento de su función fiscalizadora.
d) Determinar las infracciones e incumplimientos en que incurran quienes realicen tratamiento de datos personales, en sus operaciones de tratamiento de datos, respecto de los principios y obligaciones establecidos en esta ley, sus reglamentos y las instrucciones y normas generales que emita la Agencia. Para tales efectos, y de manera fundada, podrá citar a declarar, entre otros, al titular, a los representantes legales, administradores, asesores y dependientes de quien trate datos personales, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver un procedimiento sancionatorio. Asimismo, podrá tomar las declaraciones respectivas por otros medios que aseguren su fidelidad.
e) Ejercer la potestad sancionadora sobre las personas naturales o jurídicas que traten datos personales con infracción a esta ley, sus reglamentos y a instrucciones y normas generales dictadas por la Agencia, aplicando las sanciones establecidas en la presente ley.
f) Resolver las solicitudes y reclamos que formulen los titulares de datos en contra de quienes traten datos personales con infracción a esta ley, sus reglamentos o las instrucciones y normas generales dictadas por la Agencia.
g) Desarrollar programas, proyectos y acciones de difusión, promoción e información a la ciudadanía, en relación al respeto a la protección de sus datos personales.
h) Proponer al Presidente de la República y al Congreso Nacional, en su caso, las normas legales y reglamentarias para asegurar a las personas la debida protección de sus datos personales y perfeccionar la regulación sobre el tratamiento y uso de esta información.
i) Prestar asistencia técnica, cuando le sea requerida, al Congreso Nacional, al Poder Judicial, a la Contraloría General de la República, al Ministerio Público, al Tribunal Constitucional, al Banco Central, al Servicio Electoral, a la Justicia Electoral y los demás tribunales especiales creados por ley, en la dictación y ejecución de las políticas y normas internas de estos organismos, con el objeto que sus operaciones y actividades de tratamiento de datos personales se realicen conforme a los principios y obligaciones establecidos en esta ley.
j) Relacionarse y colaborar con los órganos públicos en el diseño e implementación de políticas y acciones destinadas a velar por la protección de los datos personales y su correcto tratamiento.
k) Suscribir convenios de cooperación y colaboración con entidades públicas o privadas, nacionales, extranjeras o internacionales, que tengan competencia o estén relacionadas al ámbito de los datos personales. En los casos de suscribir convenios con entidades públicas internacionales se requerirá consultar previamente al Ministerio de Relaciones Exteriores, de conformidad a lo establecido en el artículo 35 de la ley N° 21.080.
l) Participar, recibir cooperación y colaborar con organismos internacionales en materias de protección de datos personales.
m) Certificar, registrar y supervisar los modelos de prevención de infracciones y los programas de cumplimiento y administrar el Registro Nacional de Cumplimiento y Sanciones.
n) Ejercer las demás funciones y atribuciones que la ley le encomiende.”.
La Cámara de Diputados, en segundo trámite constitucional introdujo dos enmiendas al artículo 30 bis propuesto por esta Corporación:
En primer lugar, reemplazó, en el literal m) del inciso primero, la expresión “Registro Nacional de Cumplimiento y Sanciones” por “Registro Nacional de Sanciones y Cumplimiento”.
Asimismo, incorporó el siguiente inciso segundo:
“Requerido un organismo de la Administración para el ejercicio de las funciones o atribuciones que esta ley le entrega a la Agencia, deberá dar cumplimiento a lo dispuesto en el inciso segundo del artículo 14 de la ley N°19.880.”.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 30 quater
El Senado, en primer trámite constitucional, aprobó el siguiente artículo 30 quater:
“Artículo 30 quater.- Miembros del Consejo Directivo de la Agencia. El Consejo Directivo de la Agencia estará integrado por tres consejeros, designados por el Presidente de la República, con acuerdo del Senado, adoptado por los dos tercios de sus miembros en ejercicio.
Para efectos de su designación, el Presidente de la República hará la proposición de la nómina que corresponda y el Senado deberá pronunciarse respecto de la propuesta.
Los candidatos a consejero deberán ser personas de reconocido prestigio profesional o académico en materias de protección de datos personales.
El Presidente de la República designará al presidente y al vicepresidente del Consejo Directivo de la Agencia, dentro de los miembros del Consejo Directivo de la Agencia. Los cargos de presidente y vicepresidente durarán tres años o el tiempo que les reste como consejeros en cada caso.
Los consejeros durarán seis años en sus cargos, no podrán ser designados para un nuevo periodo y se renovarán de forma individual, cada dos años.
El cargo de consejero del Consejo Directivo de la Agencia exige dedicación exclusiva.
El Consejo Directivo de la Agencia adoptará sus decisiones por la mayoría de sus miembros y, en caso de empate, resolverá su presidente, o su vicepresidente en caso de ausencia de este último. El quórum mínimo para sesionar será de dos consejeros. El reglamento establecerá las demás normas necesarias para su funcionamiento.
El Consejo Directivo de la Agencia deberá celebrar sesiones ordinarias a lo menos una vez por semana, y sesiones extraordinarias cuando las cite especialmente su presidente por sí o a requerimiento escrito de dos consejeros, en la forma y condiciones que determine su normativa interna de funcionamiento. El presidente no podrá negarse a realizar la citación indicada, debiendo la respectiva sesión tener lugar dentro de los dos días hábiles siguientes al requerimiento señalado.”.
En segundo trámite constitucional, la Cámara de Diputados reemplazó, en su inciso cuarto la oración: “El Presidente de la República designará al presidente y al vicepresidente del Consejo Directivo de la Agencia, dentro de los miembros del Consejo Directivo de la Agencia.” por la siguiente: “El Consejo Directivo de la Agencia designará a su presidente y vicepresidente, de entre sus miembros, de conformidad con lo establecido en los estatutos de la Agencia.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 31
Senado
El Senado, en primer trámite constitucional aprobó el siguiente artículo 31:
“Artículo 31.- Coordinación regulatoria. Cuando la Agencia deba dictar una instrucción o norma de carácter general y obligatoria que pueda tener efectos en los ámbitos de competencia del Consejo para la Transparencia, de acuerdo a las funciones y atribuciones señaladas en la ley N° 20.285, le remitirá todos los antecedentes y requerirá de éste un informe para efectos de evitar o precaver potenciales conflictos de normas y asegurar la coordinación, cooperación y colaboración entre ambos órganos.
El Consejo para la Transparencia deberá evacuar el informe solicitado dentro del plazo de treinta días corridos, contado desde la fecha en que hubiere recibido el requerimiento a que se refiere el inciso precedente.
La Agencia considerará el contenido de la opinión del Consejo para la Transparencia expresándolo en la motivación de la instrucción o norma que dicte. Transcurrido el plazo sin que se hubiere recibido el informe, se procederá conforme al inciso segundo del artículo 38 de la ley N° 19.880.
A su vez, cuando el Consejo para la Transparencia deba dictar una instrucción general que tenga claros efectos en los ámbitos de competencia de la Agencia, de acuerdo a las funciones y atribuciones señaladas en esta ley, el Consejo para la Transparencia remitirá los antecedentes y requerirá informe a la Agencia, la cual deberá evacuarlo en el plazo de treinta días corridos, contado desde la fecha en que hubiere recibido el requerimiento. El Consejo para la Transparencia considerará el contenido de la opinión de la Agencia expresándolo en la motivación de la instrucción general que dicte al efecto. Transcurrido el plazo sin que se hubiere recibido el informe, se procederá conforme al inciso segundo del artículo 38 de la ley N° 19.880.”.
La Cámara de Diputados, en segundo trámite constitucional, intercaló, en su inciso primero, a continuación de la expresión “Coordinación regulatoria” la siguiente frase: “con el Consejo para la Transparencia”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
-.-.-
Título VII
Senado
Incorpora un título que se denomina “De las infracciones y sus sanciones, de los procedimientos y de las responsabilidades.”.
Artículo 33
El Senado, en primer trámite constitucional aprobó el siguiente precepto:
“Artículo 33.- Régimen general de responsabilidad. El responsable de datos, sea una persona natural o jurídica, de derecho público o privado, que en sus operaciones de tratamiento de datos personales infrinja los principios, derechos y obligaciones establecidos en esta ley, será sancionado de conformidad con las normas del presente Título.”.
La Cámara de Diputados, en segundo trámite constitucional suprimió la coma que sigue a la palabra “principios” y ha incorporado a continuación la frase “señalados en el artículo 3 y los”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 34
Senado
Este artículo es precedido por un párrafo primero, relativo a los temas de la responsabilidad, las infracciones y las sanciones aplicables a las personas naturales o jurídicas de derecho privado.
El Senado, en su primer trámite constitucional aprobó el siguiente artículo 34:
“Artículo 34.- Infracciones leves, graves y gravísimas. Las infracciones cometidas por los responsables de datos a los principios, derechos y obligaciones establecidos en esta ley se califican, atendida su gravedad, en leves, graves y gravísimas.
Las responsabilidades en que incurra una persona natural o jurídica por las infracciones establecidas en esta ley, se entienden sin perjuicio de las demás responsabilidades legales, civiles o penales, que pudieran corresponderle.”.
La Cámara de Diputados, en segundo trámite constitucional suprimió la coma que sigue a la palabra “principios” e incorporó a continuación la frase “señalados en el artículo 3 y los”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 34 bis
Senado
En el primer trámite constitucional, el Senado, en aprobó la siguiente disposición:
“Artículo 34 bis.- Infracciones leves. Se consideran infracciones leves, las siguientes:
a) Incumplimiento total o parcial del deber de información y transparencia, establecido en el artículo 14 ter.
b) Carecer de la individualización del domicilio postal, correo electrónico o medio electrónico equivalente que permita comunicarse con el responsable de datos o su representante legal, actualizado y operativo, a través del cual los titulares de datos puedan dirigir sus comunicaciones o ejercer sus derechos.
c) Omitir la respuesta, responder en forma incompleta o fuera de plazo, las solicitudes formuladas por el titular de datos en conformidad a esta ley.
d) Omitir el envío a la Agencia de las comunicaciones previstas obligatoriamente en esta ley o sus reglamentos.
e) Incumplimiento de las instrucciones generales impartidas por la Agencia en los casos que no esté sancionado como infracción grave o gravísima.
f) Cometer cualquier otra infracción a los derechos y obligaciones establecidas en esta ley, que no sea calificada como una infracción grave o gravísima.”.
En segundo trámite constitucional, la Cámara de Diputados intercaló la siguiente letra f) nueva, pasando la actual, a ser letra g):
“f) Entregar información incompleta en el proceso de registro o certificación del modelo de prevención de infracciones.”.
- Sometida a votación esta modificación, fue rechazada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 34 ter
El Senado, en primer trámite constitucional aprobó un precepto, cuyo texto es el siguiente:
“Artículo 34 ter.- Infracciones graves. Se consideran infracciones graves, las siguientes:
a) Tratar los datos personales sin contar con el consentimiento del titular de datos o sin un antecedente o fundamento legal que otorgue licitud al tratamiento, o tratarlos con una finalidad distinta de aquélla para la cual fueron recolectados.
b) Comunicar o ceder datos personales, sin el consentimiento del titular, en los casos en que dicho consentimiento sea necesario, o comunicar o ceder los datos para un fin distinto del autorizado.
c) Efectuar tratamiento de datos personales innecesarios en relación con los fines del tratamiento.
d) Tratar datos personales inexactos, incompletos o desactualizados en relación con los fines del tratamiento, salvo que la actualización de estos datos corresponda al titular en virtud de la ley o el contrato.
e) Impedir u obstaculizar el ejercicio legítimo de los derechos de acceso, rectificación, cancelación, oposición o portabilidad del titular.
f) Omitir la respuesta, responder tardíamente o denegar la petición sin causa justificada, en los casos de solicitudes fundadas de bloqueo temporal del tratamiento de datos personales de un titular.
g) Realizar tratamiento de datos personales de niños, niñas y adolescentes con infracción a las normas previstas en esta ley.
h) Realizar tratamiento de datos personales sin cumplir los requisitos establecidos para las personas jurídicas de derecho privado sin fines de lucro y cuya finalidad sea política, filosófica, religiosa, cultural, sindical o gremial, respecto de los datos de sus asociados.
i) Vulnerar el deber de secreto o confidencialidad establecido en el artículo 14 bis.
j) Vulnerar o infringir las obligaciones de seguridad en el tratamiento de los datos personales establecidas en el artículo 14 quinquies.
k) Omitir las comunicaciones o los registros en los casos de vulneración de las medidas de seguridad establecidas en el artículo 14 quinquies.
l) Adoptar medidas de calidad y seguridad insuficientes o no idóneas para el tratamiento de datos personales con fines históricos, estadísticos o científicos y para estudios o investigaciones que atiendan fines de interés público.
m) Realizar operaciones de transferencia internacional de datos en contravención a las normas previstas en esta ley.
n) Incumplimiento de una resolución o un requerimiento específico y directo que haya impartido la Agencia.”.
En segundo trámite constitucional, la Cámara de Diputados introdujo las siguientes enmiendas al artículo 34 ter:
En primer lugar, incorporó en el literal c), a continuación de la expresión “fines del tratamiento” la frase “vulnerando lo dispuesto en el literal c) del artículo 3.”.
De igual forma, reemplazó en el literal e) la palabra “cancelación” por el vocablo “supresión”.
Finalmente, en el literal n), sustituyó la expresión “Incumplimiento de” por la palabra “Incumplir”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 34 quater
Senado
El Senado, en primer trámite constitucional aprobó el siguiente precepto:
“Artículo 34 quater. - Infracciones gravísimas. Se consideran infracciones gravísimas, las siguientes:
a) Efectuar tratamiento de datos personales en forma fraudulenta.
b) Destinar maliciosamente los datos personales a una finalidad distinta de la consentida por el titular o prevista en la ley que autoriza su tratamiento.
c) Comunicar o ceder, a sabiendas, información no veraz, incompleta, inexacta o desactualizada sobre el titular de datos.
d) Vulnerar el deber de secreto o confidencialidad sobre los datos personales sensibles y datos personales relativos a la comisión y sanción de infracciones penales, civiles, administrativas y disciplinarias.
e) Tratar, comunicar o ceder, a sabiendas, datos personales sensibles o datos personales de niños, niñas y adolescentes, en contravención a las normas de esta ley.
f) Omitir en forma deliberada la comunicación de las vulneraciones a las medidas de seguridad que puedan afectar la confidencialidad, disponibilidad o integridad de los datos personales.
g) Efectuar tratamiento masivo de datos personales contenidos en registros electrónicos de infracciones penales, civiles, administrativas y disciplinarias, que llevan los organismos públicos, sin contar con autorización legal para ello.
h) Realizar a sabiendas operaciones de transferencia internacional de datos en contravención a las normas previstas en esta ley.
i) Incumplimiento de una resolución de la Agencia que resuelve la reclamación de un titular sobre el ejercicio de sus derechos de acceso, rectificación, cancelación, oposición, portabilidad o bloqueo temporal.
j) Entregar información falsa, incompleta o manifiestamente errónea en el proceso de registro o certificación del modelo de prevención de infracciones.”.
La Cámara de Diputados, en el segundo trámite constitucional, introdujo las siguientes enmiendas esta disposición:
En relación a su literal i) reemplazó la palabra “cancelación” por “supresión”.
Luego, en su literal j), a continuación de la palabra “Entregar” incorporó la expresión “, a sabiendas,”.
Finalmente, incorporó el siguiente literal k) al artículo 34 quater propuesto:
“k) Incumplir la obligación establecida en el artículo 15 ter, en los casos que corresponda.”.
- Sometidas a votación estas modificaciones, fueron rechazadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 35
Senado
El Senado, en primer trámite constitucional aprobó el artículo 35, cuyo texto es el siguiente:
“Artículo 35.- Sanciones. Las sanciones a las infracciones en que incurran los responsables de datos serán las siguientes:
a) Las infracciones leves serán sancionadas con amonestación escrita o multa de 1 a 100 unidades tributarias mensuales.
b) Las infracciones graves serán sancionadas con multa de 101 a 5.000 unidades tributarias mensuales.
c) Las infracciones gravísimas serán sancionadas con multa de 5.001 a 10.000 unidades tributarias mensuales.
En cada caso, la Agencia señalará las medidas tendientes a subsanar las causales que dieron motivo a la sanción, las que deberán ser adoptadas en un plazo no mayor a 60 días, de lo contrario se impondrá un recargo de 50% a la multa cursada, sin perjuicio de lo establecido en el artículo 51. En caso de que exista reincidencia, de conformidad al literal a) del inciso segundo del artículo 36, la Agencia podrá aplicar una multa de hasta tres veces el monto asignado a la infracción cometida.”.
La Cámara de Diputados, en segundo trámite constitucional, introdujo las siguientes enmiendas a este precepto:
En relación al literal a), reemplazó la expresión “1 a” por la palabra “hasta”.
En el literal b) introdujo dos enmiendas: reemplazó la expresión “101 a” por la palabra “hasta”.
Igualmente intercaló, a continuación de la palabra “mensuales” la frase “o, en el caso de empresas, multa de hasta la suma equivalente al 2% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 10.000 unidades tributarias mensuales”.
En el literal c) introdujo dos modificaciones:
Sustituyó la expresión “5.001 a” por la palabra “hasta”.
De igual forma, intercaló entre la palabra “mensuales” y el punto y aparte, el siguiente texto: “o, en el caso de empresas, multa de hasta la suma equivalente al 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 20.000 unidades tributarias mensuales”.
Finalmente, en el último inciso del artículo 35 reemplazó el guarismo ”51” por “49”.
- Sometidas a votación estas modificaciones, fueron rechazadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 36
Senado
El Senado, en primer trámite constitucional, aprobó el siguiente artículo:
“Artículo 36.- Circunstancias atenuantes y agravantes de responsabilidad. Se considerarán circunstancias atenuantes:
1) Las acciones unilaterales de reparación que realice el responsable y los acuerdos reparatorios convenidos con los titulares de datos que fueron afectados.
2) La colaboración que el infractor preste en la investigación administrativa practicada por la Agencia.
3) La ausencia de sanciones previas del responsable de datos.
4) La autodenuncia ante la Agencia. Junto con la autodenuncia, el infractor deberá comunicar las medidas adoptadas para el cese de los hechos que originaron la infracción o las medidas de mitigación implementadas, según corresponda.
5) El haber cumplido diligentemente sus deberes de dirección y supervisión para la protección de los datos personales sujetos a tratamiento, lo que se verificará con el certificado expedido de acuerdo a lo dispuesto en el artículo 52.
Se considerarán circunstancias agravantes:
a) La reincidencia. Existe reincidencia cuando el responsable ha sido sancionado en dos o más ocasiones, en los últimos treinta meses, por infracción a esta ley. Las resoluciones que aplican las sanciones respectivas deberán encontrarse firmes o ejecutoriadas.
b) El carácter continuado de la infracción.
c) El haber puesto en riesgo la seguridad de los titulares de los datos personales.”.
La Cámara de Diputados, en el segundo trámite constitucional, le introdujo las siguientes enmiendas:
En el numeral 5) del inciso primero, reemplazó el guarismo “52” por “51”.
Sustituyó el literal c) del inciso segundo por el siguiente:
“c) El haber puesto en riesgo la seguridad de los derechos y libertades de los titulares en relación a sus datos personales.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 38
Senado
El Senado, en primer trámite constitucional aprobó el siguiente texto:
“Artículo 38.- Sanciones accesorias. En caso que se impongan multas por infracciones gravísimas reiteradas, en un período de veinticuatro meses, la Agencia podrá disponer la suspensión de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un término de treinta días.
Durante este período el responsable deberá adoptar las medidas necesarias con el objeto de adecuar sus operaciones y actividades a las exigencias dispuestas en la resolución que ordenó la suspensión.
Si el responsable no da cumplimiento a lo dispuesto en la resolución de suspensión temporal, esta medida se podrá prorrogar indefinidamente, por períodos sucesivos de treinta días, hasta que el responsable cumpla con lo ordenado.
Cuando la suspensión afecte a una entidad sujeta a supervisión por parte de un organismo público de carácter fiscalizador, la Agencia deberá previamente poner los antecedentes en conocimiento de la autoridad regulatoria correspondiente, para los efectos de cautelar los derechos de los usuarios de dicha entidad.”.
La Cámara de Diputados, en el segundo trámite constitucional introdujo algunas enmiendas al texto aprobado por el Senado:
En relación al literal a), incorporó en el inciso primero, a continuación del punto y aparte, que ha pasado a ser punto y seguido, la siguiente oración: “Esta suspensión no afectará el almacenamiento de datos por parte del responsable.”.
Asimismo, agregó el siguiente inciso segundo, nuevo, pasando los actuales incisos segundo, tercero y cuarto a ser incisos tercero, cuarto y quinto, respectivamente:
“La suspensión que disponga la Agencia como sanción accesoria podrá ser parcial o total, y no podrá decretarse cuando con ello se afecten los derechos de los titulares.”.
Por último, en relación al inciso tercero del artículo 38 propuesto incorporó en su inciso tercero, que ha pasado a ser cuarto, a continuación de la frase “por períodos sucesivos de” la expresión “máximo.”.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 39
Senado
El Senado, en primer trámite constitucional aprobó el siguiente artículo 39:
“Artículo 39.- Registro Nacional de Cumplimiento y Sanciones. Créase el Registro Nacional de Cumplimiento y Sanciones, administrado por la Agencia. El registro será público y su acceso gratuito. Se consultará y llevará en forma electrónica.
En este registro se deberán consignar a los responsables de datos que hayan sido sancionados por infringir los principios y obligaciones establecidos en esta ley, distinguiéndose según la gravedad de la infracción. Adicionalmente, se deberá consignar la conducta infraccionada, las circunstancias atenuantes y agravantes de responsabilidad y la sanción impuesta. También se deberá consignar, los responsables que adopten modelos certificados de prevención de infracciones y a aquellos a quienes se les haya revocado la certificación.
Las anotaciones en el registro serán de acceso público por el período de cinco años, a contar de la fecha en que se practicó la anotación.”.
En segundo trámite constitucional, la Cámara de Diputados sustituyó íntegramente el texto propuesto por el siguiente:
“Artículo 39.- Registro Nacional de Sanciones y Cumplimiento. Créase el Registro Nacional de Sanciones y Cumplimiento, administrado por la Agencia. El registro será público y su acceso gratuito. Se consultará y llevará en forma electrónica.
En él se deberán consignar a los responsables de datos que hayan sido sancionados por infringir los derechos y obligaciones establecidos en esta ley. Deberá distinguirse según la gravedad de la infracción. Adicionalmente, se deberá consignar la conducta infraccionada, las circunstancias atenuantes y agravantes de responsabilidad y la sanción impuesta. También se deberá consignar, los responsables que adopten modelos certificados de prevención de infracciones, con carácter vigente.
Las anotaciones en el registro serán de acceso público por el período de cinco años, a contar de la fecha en que se practicó la anotación.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Párrafo Segundo
De los procedimientos administrativos
Artículo 41
Senado
El Senado, en el primer trámite constitucional, dio su aprobación al siguiente precepto:
“Artículo 41.- Procedimiento administrativo de tutela de derechos. El titular de datos podrá reclamar ante la Agencia cuando el responsable le haya denegado una solicitud realizada de conformidad al artículo 11 de la presente ley, o no hubiere dado respuesta a dicha solicitud dentro del plazo legal establecido en ese artículo.
La reclamación presentada se tramitará conforme a las siguientes reglas:
a) Deberá ser presentada por escrito, en formato físico o electrónico dentro del plazo de quince días hábiles contado desde que reciba la respuesta negativa del responsable de datos o haya vencido el plazo que disponía el responsable para responder el requerimiento formulado por el titular. La reclamación deberá señalar la decisión impugnada en caso de rechazo u omisión de respuesta y acompañar todos los antecedentes en que aquella se funda e indicar un domicilio postal o una dirección deagregué correo electrónico u otro medio electrónico equivalente donde se practicarán las notificaciones.
b) Junto con la interposición del reclamo, a petición fundada del titular y sólo en casos justificados, la Agencia podrá suspender el tratamiento de los datos personales que conciernen al titular y que son objeto de la reclamación, debiendo previamente oír al responsable de datos.
c) Recibido el reclamo, la Agencia, dentro de los diez días hábiles siguientes, deberá determinar si éste cumple con los requisitos establecidos en la letra anterior para ser acogido a tramitación. En caso de que no se acoja a trámite la reclamación, la resolución de la Agencia debe ser fundada y se notificará al titular. En todo caso, se entenderá acogido a tramitación el reclamo si la Agencia no se pronuncia en el término indicado precedentemente.
d) Acogido el reclamo a tramitación, la Agencia notificará al responsable de datos, quien dispondrá de un plazo de 15 días hábiles para responder la reclamación, acompañando todos los antecedentes que estime pertinentes. Las notificaciones que se practiquen al responsable se realizarán a su domicilio postal, dirección de correo electrónico u otro medio electrónico equivalente a que alude la letra c) del artículo 14 ter.
e) Vencido este plazo, haya o no contestado el responsable de los datos y, sólo si existen hechos sustanciales, pertinentes y controvertidos, la Agencia podrá abrir un término probatorio de diez días hábiles en el cual las partes pueden hacer valer todos los medios de prueba que estimen convenientes.
f) El responsable de datos en su respuesta podrá allanarse a la reclamación, en cuyo caso deberá acompañar los antecedentes o testimonios que acrediten esta circunstancia. Verificado lo anterior y notificado el titular de datos, la Agencia procederá al archivo de los antecedentes, previa aplicación de la sanción, cuando correspondiere.
g) La Agencia tendrá amplias facultades para solicitar antecedentes o informes que contribuyan a su resolución. Podrá convocar a las partes a una audiencia e instarlas a alcanzar un acuerdo. Las opiniones que puedan expresar los funcionarios de la Agencia en esta audiencia, no los inhabilitará para seguir conociendo del asunto en caso que no se alcance un acuerdo. Logrado el acuerdo se archivarán los antecedentes.
h) La resolución del reclamo deberá dictarse por la Agencia y deberá ser fundada. El procedimiento administrativo de tutela de derechos no podrá superar los seis meses.
i) La resolución de la Agencia que no acoge a tramitación un reclamo y la resolución que resuelve la reclamación, podrán ser impugnadas judicialmente dentro del plazo de quince días hábiles contados desde su notificación, a través del procedimiento establecido en el artículo 43.
Las reclamaciones y las solicitudes de suspensión del tratamiento formuladas en caso de rechazo de una solicitud de bloqueo temporal, deberán ser resueltas por la Agencia en el más breve plazo, sin necesidad de oír previamente a las partes.”.
La Cámara de Diputados, en segundo trámite constitucional, introdujo las siguientes enmiendas al texto aprobado:
En relación al literal a) del inciso segundo del artículo 41 se reemplazó la expresión “deagregué” por la palabra “de”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
En el literal f) del inciso segundo, se reemplazó su oración final por la siguiente: “Verificado lo anterior, será notificado el titular de datos quien tendrá diez días para hacer valer sus derechos. Cumplido el plazo, la Agencia procederá al archivo de los antecedentes, previa aplicación de la sanción y/o instrucción al responsable de datos, cuando corresponda.”.
- Sometida a votación esta modificación, fue rechazada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
En el inciso final, se sustituyó la frase “en el más breve plazo” por la siguiente: “en el plazo máximo de tres días hábiles.”.
- Sometida a votación esta modificación, también fue rechazada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 42
Senado
El Senado, en primer trámite constitucional aprobó el siguiente artículo:
“Artículo 42.- Procedimiento administrativo por infracción de ley. La determinación de las infracciones que cometan los responsables de datos por incumplimiento o vulneración de los principios, derechos y obligaciones establecidas en esta ley y la aplicación de las sanciones correspondientes, se sujetará a las siguientes reglas especiales:
a) El procedimiento sancionatorio será instruido por la Agencia.
b) La Agencia podrá iniciar un procedimiento sancionatorio, de oficio o a petición de parte, como resultado de un proceso de fiscalización o a consecuencia de una reclamación presentada por un titular de datos, en virtud del procedimiento establecido en los artículos 23 y 41 de esta ley. En este último caso, se deberá certificar la recepción del reclamo. Junto con la apertura del expediente, la Agencia deberá designar un funcionario responsable de la instrucción del procedimiento.
c) La Agencia deberá presentar una formulación de cargos en contra del responsable de datos en que describa los hechos que configuran la infracción, los principios y obligaciones incumplidos o vulnerados por el responsable, las normas legales infringidas y cualquier otro antecedente que sirva para sustentar la formulación.
d) La formulación de cargos debe notificarse al responsable de datos a su domicilio postal, dirección de correo electrónico u otro medio electrónico equivalente señalado en la letra c) del artículo 14 ter.
e) El responsable de datos tendrá un plazo de quince días hábiles para presentar sus descargos. En esa oportunidad, el responsable de datos puede acompañar todos los antecedentes que estime pertinentes para desacreditar los hechos imputados. Junto con los descargos, el responsable deberá fijar una dirección de correo electrónico a través de la cual se realizarán todas las demás comunicaciones y notificaciones.
f) Recibidos los descargos o transcurrido el plazo otorgado para ello, la Agencia podrá abrir un término probatorio de diez días en el caso que existan hechos sustanciales, pertinentes y controvertidos.
g) La Agencia dará lugar a las medidas o diligencias probatorias que solicite el responsable en sus descargos, siempre que sean pertinentes y necesarias. En caso de rechazo, deberá fundar su resolución.
h) Los hechos investigados y las responsabilidades de los presuntos infractores pueden acreditarse mediante cualquier medio de prueba admisible en derecho, los que se apreciarán de acuerdo a las reglas de la sana crítica.
i) La Agencia tendrá amplias facultades para solicitar antecedentes o informes que contribuyan a su resolución.
j) La resolución que ponga fin al procedimiento sancionatorio debe ser fundada y resolver todas las cuestiones planteadas en el expediente, pronunciándose sobre cada una de las alegaciones y defensas formuladas por el responsable de datos y contendrá la declaración de haberse configurado el incumplimiento o vulneración de los principios, derechos y obligaciones establecidos en la ley por el responsable o su absolución, según corresponda. En caso que la Agencia considere que se ha verificado la infracción, en la misma resolución ponderará las circunstancias que agravan o atenúan la responsabilidad del infractor e impondrá la sanción, de acuerdo a la gravedad de la infracción cometida.
k) La resolución que establezca el incumplimiento o vulneración a los principios, derechos y obligaciones de esta ley y aplique la sanción correspondiente deberá ser fundada. Esta resolución debe indicar los recursos administrativos y judiciales que procedan contra ella en conformidad a esta ley, los órganos ante los que deben presentarse y los plazos para su interposición. La resolución de la Agencia que resuelve el procedimiento por infracción de ley será reclamable judicialmente conforme al artículo siguiente.
l) El procedimiento administrativo de infracción de ley no podrá superar los seis meses. Cuando hayan transcurrido más de seis meses desde la fecha de la certificación indicada en la letra b) de este artículo sin que la Agencia haya resuelto la reclamación, el interesado podrá presentar un reclamo de ilegalidad en los términos previstos en el siguiente artículo.”.
La Cámara de Diputados, en segundo trámite constitucional introdujo en el encabezado del inciso primero del artículo 42 propuesto, a continuación de la palabra “principios”, la expresión “establecidos en el artículo 3”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Párrafo Tercero
Del procedimiento de reclamación judicial
Artículo 43
Senado
El Senado, en primer trámite constitucional, aprobó el siguiente texto:
“Artículo 43.- Procedimiento de reclamación judicial. Las personas naturales o jurídicas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, según las siguientes reglas:
a) El reclamante señalará en su escrito, con precisión, la resolución objeto del reclamo, la o las normas legales que se suponen infringidas, la forma en que se ha producido la infracción, y cuando procediere, las razones por las cuales el acto le causa agravio.
b) La Corte podrá declarar inadmisible la reclamación si el escrito no cumple con las condiciones señaladas en la letra a) anterior. Asimismo, podrá decretar orden de no innovar cuando la ejecución del acto impugnado le produzca un daño irreparable al recurrente.
c) Recibida la reclamación, la Corte requerirá de informe de la Agencia, concediéndole un plazo de diez días al efecto.
d) Evacuado el traslado o teniéndosele por evacuado en rebeldía, la Corte puede abrir un término de prueba, si así lo estima necesario, el que se regirá por las reglas de los incidentes que contempla el Código de Procedimiento Civil.
e) Vencido el término de prueba, se ordenará traer los autos en relación. La vista de esta causa gozará de preferencia para su inclusión en la tabla.
f) Si la Corte da lugar al reclamo, en su sentencia decidirá si existió agravio y ordenará, según sea procedente, la rectificación del acto impugnado y la dictación de la respectiva resolución, según corresponda.
g) Tratándose de reclamaciones en contra de una resolución que resuelve un procedimiento sancionatorio, la Corte podrá confirmar o revocar la resolución impugnada, establecer o desechar la comisión de la infracción, según corresponda y, mantener, dejar sin efecto o modificar la sanción impuesta al responsable o su absolución, según sea el caso.
h) En todo aquello no regulado por el presente artículo, regirán las normas establecidas en el Código Orgánico de Tribunales y en el Código de Procedimiento Civil, según corresponda.”.
La Cámara de Diputados, en segundo trámite constitucional, introdujo dos enmiendas referidas al inciso primero de dicha disposición:
En primer lugar, incorporó, a continuación de la palabra “jurídicas”, el vocablo “interesadas”.
Igualmente, suprimió la frase “y les cause perjuicio”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Párrafo Cuarto
De la responsabilidad de los órganos públicos, de la autoridad o jefe superior del órgano y de sus funcionarios
Artículo 44
El Senado, en primer trámite constitucional aprobó el siguiente texto:
“Artículo 44.- Responsabilidad administrativa del jefe superior del órgano público. El jefe superior de un órgano público deberá velar por que el órgano respectivo realice sus operaciones y actividades de tratamiento de los datos personales con arreglo a los principios, derechos y obligaciones establecidos en el Título IV de esta ley.
Asimismo, los órganos públicos deberán someterse a las medidas tendientes a subsanar o prevenir infracciones que indique la Agencia o a los programas de cumplimiento o de prevención de infracciones del artículo 51.
Las infracciones a los principios, derechos y obligaciones en que puedan incurrir los órganos públicos se tipifican en los artículos 34 bis, 34 ter y 34 quáter y serán sancionadas con multa de veinte por ciento a cincuenta por ciento de la remuneración mensual del jefe superior del órgano público infractor. La cuantía de la multa se determinará considerando la gravedad de la infracción, la naturaleza de los datos tratados y el número de titulares afectados. En la determinación de la sanción se deberán considerar también las circunstancias que atenúan la responsabilidad del infractor.
Si el órgano público persiste en la infracción, se le aplicará al jefe superior del órgano público el duplo de la sanción originalmente impuesta y la suspensión en el cargo por un lapso de cinco días.
Tratándose de datos personales sensibles, la multa será del 50% de la remuneración mensual del jefe superior del órgano público y procederá la suspensión en el cargo de hasta treinta días.
Las infracciones en que incurra un órgano público en el tratamiento de los datos personales serán determinadas por la Agencia de acuerdo al procedimiento establecido en el artículo 42.
Habiéndose configurado la infracción, las sanciones administrativas señaladas en este artículo serán aplicadas por la Agencia. Con todo, la Contraloría General de la República, a petición de la Agencia podrá, de acuerdo a las normas de su ley orgánica, incoar los procedimientos administrativos y proponer las sanciones que correspondan.
En contra de las resoluciones de la Agencia se podrá deducir el reclamo de ilegalidad establecido en el artículo 43.
Las sanciones previstas en este artículo deberán ser publicadas en el sitio web de la Agencia y del respectivo órgano o servicio dentro del plazo de cinco días hábiles contado desde que la respectiva resolución quede firme.”.
La Cámara de Diputados, en el segundo trámite constitucional introdujo dos enmiendas al artículo 44:
En relación al inciso segundo, sustituyó el guarismo “51” por el guarismo “49”.
En el inciso tercero incorporó, a continuación de la palabra “principios”, la expresión: “establecidos en el artículo 3”.
- Sometidas a votación estas modificaciones, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Párrafo Quinto
De la responsabilidad civil
Artículo 47
Senado
El Senado, en el primer trámite constitucional aprobó el siguiente artículo 47:
“Artículo 47.- Norma general. El responsable de datos deberá indemnizar el daño patrimonial y extrapatrimonial que cause al o los titulares, cuando en sus operaciones de tratamiento de datos infrinja los principios, derechos y obligaciones establecidos en esta ley y les cause perjuicio. Lo anterior no obsta al ejercicio de los demás derechos que concede esta ley al o los titulares de datos.
La acción indemnizatoria señalada en el inciso anterior podrá interponerse una vez ejecutoriada la resolución que resolvió favorablemente el reclamo interpuesto ante la Agencia o la sentencia se encuentre firme y ejecutoriada, en caso de haber presentado un reclamo de ilegalidad, y se tramitará de conformidad a las normas del procedimiento sumario establecidas en los artículos 680 y siguientes del Código de Procedimiento Civil.
Las acciones civiles que deriven de una infracción a la presente ley prescribirán en el plazo de cinco años, contados desde que se encuentre ejecutoriada la resolución administrativa o la sentencia judicial, según sea el caso, que imponga la multa respectiva.”.
La Cámara de Diputados, en segundo trámite constitucional introdujo una enmienda al inciso primero del artículo 47 propuesto, mediante la cual incorporó, a continuación de la palabra “principios”, la expresión “establecidos en el artículo 3.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 49
Senado
El Senado, en primer trámite constitucional aprobó el siguiente precepto:
“Artículo 49.- Modelo de prevención de infracciones. Los responsables de datos podrán voluntariamente adoptar un modelo de prevención de infracciones. Configuran un modelo de prevención de infracciones cualesquiera de los siguientes mecanismos o instrumentos:
a) Designación de un encargado de prevención o delegado de protección de datos personales.
Los órganos públicos que establezcan un encargado de prevención o delegado de protección de datos personales deberán designar para ello a un funcionario de la dotación vigente del respectivo organismo.
b) Adopción de un programa de cumplimiento o de prevención de infracciones. “.
A su turno, la Cámara de Diputados, en segundo trámite constitucional, reemplazó esta norma por la siguiente:
“Artículo 49.- Modelo de prevención de infracciones. Los responsables de datos podrán voluntariamente adoptar un modelo de prevención de infracciones consistente en un programa de cumplimiento.
El programa de cumplimiento deberá contener, al menos, los siguientes elementos:
a) Designación de un delegado de protección de datos personales.
b) Definición de medios y facultades del delegado de protección de datos.
c) La identificación del tipo de información que la entidad trata, el ámbito territorial en que opera, la categoría, clase o tipos de datos o bases de datos que administra, y la caracterización de los titulares de datos.
d) La identificación de las actividades o procesos de la entidad, sean habituales o esporádicos, en cuyo contexto se genere o incremente el riesgo de comisión de las infracciones señaladas en los artículos 34 bis, 34 ter y 34 quáter.
e) El establecimiento de protocolos, reglas y procedimientos específicos que permitan a las personas que intervengan en las actividades o procesos indicados en la letra anterior, programar y ejecutar sus tareas o labores de una manera que prevenga la comisión de las referidas infracciones.
f) Mecanismos de reporte interno sobre el cumplimiento de lo dispuesto en la presente ley, y mecanismos de reporte a la Autoridad de Protección de Datos para el caso del artículo 14 sexies.
g) La existencia de sanciones administrativas internas, así como de procedimientos de denuncia o castigo de responsabilidades de las personas que incumplan el sistema de prevención de infracciones.
La regulación interna a que dé lugar la implementación del programa, en su caso, deberá ser incorporada expresamente como una obligación en los contratos de trabajo o de prestación de servicios de todos los trabajadores, empleados y prestadores de servicios de las entidades que actúen como responsables de datos o los terceros que efectúen el tratamiento, incluidos los máximos ejecutivos de ellas, o bien, como una obligación del reglamento interno del que tratan los artículos 153 y siguientes del Código del Trabajo. En este último caso, se deben realizar las medidas de publicidad establecidas en el artículo 156 del mismo Código.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 50
Senado
El Senado, en primer trámite constitucional, aprobó el siguiente artículo:
“Artículo 50.- Encargado de prevención o delegado de protección de datos. El responsable de datos podrá designar un encargado de prevención o delegado de protección de datos personales.
El encargado o delegado de protección de datos deberá ser designado por la máxima autoridad directiva o administrativa del responsable de datos. Se considerará como la máxima autoridad directiva o administrativa al directorio, un socio administrador o a la máxima autoridad de la empresa o servicio, según corresponda.
El encargado o delegado de protección de datos deberá contar con autonomía respecto de la administración, en las materias relacionadas con esta ley. En las micro, pequeñas y medianas empresas, el dueño o sus máximas autoridades podrán asumir personalmente las tareas de encargado de prevención o delegado de protección de datos.
El encargado de prevención o delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.
Las sociedades o entidades que pertenezcan a un mismo grupo empresarial, empresas relacionadas o sujetas a un mismo controlador en los términos previstos en la Ley de Mercado de Valores, podrán designar un único encargado de prevención o delegado de protección de datos, siempre que todas ellas operen bajo los mismos estándares y políticas en materia de tratamiento de datos personales, y el encargado sea accesible para todas las entidades y establecimientos.
La designación del encargado de prevención o delegado de protección de datos debe recaer en una persona que reúna los requisitos de idoneidad, capacidad y conocimientos específicos para el ejercicio de sus funciones.
Los titulares de datos podrán ponerse en contacto con el encargado de prevención o delegado de protección de datos en lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo de esta ley.
El encargado de prevención o delegado de protección de datos estará obligado a mantener estricto secreto o confidencialidad de los datos personales que conociere en ejercicio de su cargo. Los funcionarios públicos que desempeñen estas funciones e infrinjan este deber de secreto o confidencialidad, serán sancionados de conformidad a lo que se prescribe en los artículos 246 a 247 bis del Código Penal. El responsable se hará cargo por las infracciones al deber de secreto o confidencialidad que debía cumplir su encargado de prevención o delegado de protección, sin perjuicio de las acciones de repetición que pueda ejercer contra éste.
El responsable de datos deberá disponer que el encargado o delegado cuente con los medios y facultades suficientes para el desempeño de sus funciones, debiendo otorgarle los recursos materiales necesarios para realizar adecuadamente sus labores, en consideración al tamaño y capacidad económica de la entidad.
Sin perjuicio de las demás funciones que se le puedan asignar, el encargado de prevención o delegado de protección de datos tendrá las siguientes funciones:
a) Informar y asesorar al responsable de datos, a los terceros encargados o mandatarios y a los dependientes del responsable, respecto de las disposiciones legales y reglamentarias relativas al derecho a la protección de los datos personales y a la regulación de su tratamiento.
b) Promover y participar en la política que dicte el responsable de datos respecto de la protección y el tratamiento de los datos personales.
c) Supervisar el cumplimiento de la presente ley y de la política que dicte el responsable, dentro del ámbito de su competencia.
d) Preocuparse de la formación permanente de las personas que participan en las operaciones de tratamiento de datos.
e) Desarrollar un plan anual de trabajo y rendir cuenta de sus resultados.
f) Absolver las consultas y solicitudes de los titulares de datos.
g) Cooperar y actuar como punto de contacto de la Agencia.”.
La Cámara de Diputados, en segundo trámite constitucional, introdujo las siguientes enmiendas a esta disposición:
En su inciso primero, reemplazó la expresión “Encargado de prevención o delegado de protección de datos” por “Atribuciones del delegado”. Asimismo, eliminó la expresión “encargado de prevención o”.
Eliminó, en el inciso segundo, la expresión “encargado o”.
Suprimió, en el inciso tercero, las expresiones “encargado o” y “encargado de prevención o”.
Por su parte, en el inciso cuarto eliminó la expresión “encargado de prevención o”.
Igualmente, incorporó, a continuación de la palabra “cometidos”, la primera vez que aparece, la expresión “, procurando mantener la independencia en su función”.
En el inciso quinto, eliminó la expresión “encargado de prevención o”. Además, reemplazó la palabra “encargado” por “delegado”.
En los incisos sexto, séptimo y octavo ha eliminado la expresión “encargado de prevención o”.
En el inciso noveno eliminó la expresión “encargado o”.
En el inciso décimo eliminó la expresión “encargado de prevención o”.
Finalmente, incorporó a continuación del literal d), el siguiente literal e), nuevo, pasando los actuales literales e), f) y g) a ser literales f), g) y h), respectivamente:
“e) Asistir a los miembros de la organización en la identificación de los riesgos asociados a la actividad de tratamiento y las medidas a adoptar para resguardar los derechos de los titulares de datos personales.”.
- Sometidas a votación estas enmiendas, fueron aprobadas por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 51
Senado
El Senado, en primer trámite constitucional aprobó el siguiente texto:
“Artículo 51.- Programa de cumplimiento o de prevención de infracciones. Los responsables de datos podrán adoptar programas de cumplimientos o de prevención de infracciones, los que deberán contener, a los menos, los siguientes elementos:
a) Designación de un encargado de prevención o delegado de protección de datos personales.
b) Definición de medios y facultades del encargado de prevención o delegado de protección de datos.
c) Establecimiento de un programa de cumplimiento que deberá contemplar, a lo menos, lo siguiente:
i. La identificación del tipo de información que la entidad trata, el ámbito territorial en que opera, la categoría, clase o tipos de datos o bases de datos que administra, y la caracterización de los titulares de datos.
ii. La identificación de las actividades o procesos de la entidad, sean habituales o esporádicos, en cuyo contexto se genere o incremente el riesgo de comisión de las infracciones señaladas en los artículos 34 bis, 34 ter y 34 quáter.
iii. El establecimiento de protocolos, reglas y procedimientos específicos que permitan a las personas que intervengan en las actividades o procesos indicados en la letra anterior, programar y ejecutar sus tareas o labores de una manera que prevenga la comisión de las referidas infracciones.
iv. Mecanismos de reporte hacia las autoridades para el caso de contravenir lo dispuesto en la presente ley.
v. La existencia de sanciones administrativas internas, así como de procedimientos de denuncia o castigo de responsabilidades de las personas que incumplan el sistema de prevención de infracciones.
d) Supervisión y certificación del programa de cumplimiento o de prevención de infracciones.
La regulación interna a que dé lugar la implementación del programa, en su caso, deberá ser incorporada expresamente como una obligación en los contratos de trabajo o de prestación de servicios de todos los trabajadores, empleados y prestadores de servicios de las entidades que actúen como responsables de datos o los terceros que efectúen el tratamiento, incluidos los máximos ejecutivos de la misma, o bien, como una obligación del reglamento interno del que tratan los artículos 153 y siguientes del Código del Trabajo. En este último caso, se deben realizar las medidas de publicidad establecidas en el artículo 156 del mismo Código.”.
Por su parte, la Cámara de Diputados, en segundo trámite constitucional, eliminó este precepto.
- Sometida a votación esta supresión, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 52
Senado
El Senado, en primer trámite constitucional aprobó el siguiente precepto:
“Artículo 52.- Certificación, registro, supervisión del modelo de prevención de infracciones y reglamento. La Agencia será la entidad encargada de certificar que el modelo de prevención de infracciones y el programa de cumplimiento reúna los requisitos y elementos establecidos en la ley y su reglamento y supervisarlos.
La Agencia creará un registro público en que consten las entidades que posean una certificación y aquellas cuya certificación haya sido revocada.
Un reglamento expedido por el Ministerio de Hacienda y suscrito por el Ministro Secretario General de la Presidencia y por el Ministro de Economía, Fomento y Turismo establecerá los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los modelos de prevención de infracciones y los programas de cumplimiento.”.
La Cámara de Diputados, en segundo trámite constitucional introdujo las siguientes enmiendas al artículo:
En primer lugar, consignarlo como nuevo artículo 51. Igualmente, acordó sustituir su contenido por el siguiente:
“Artículo 51.- Certificación, registro, supervisión del modelo de prevención de infracciones y reglamento. La Agencia será la entidad encargada de certificar que el modelo de prevención de infracciones reúna los requisitos y elementos establecidos en la ley y su reglamento y supervisarlos.
La Agencia incorporará en el Registro Nacional de Sanciones y Cumplimiento a las entidades que posean una certificación vigente.
Un reglamento expedido por el Ministerio de Hacienda y suscrito por el Ministro Secretario General de la Presidencia y por el Ministro de Economía, Fomento y Turismo establecerá los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los modelos de prevención de infracciones.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 53
Senado
El Senado, en primer trámite constitucional aprobó el siguiente artículo 53:
“Artículo 53.- Vigencia de los certificados. Los certificados expedidos por la Agencia tendrán una vigencia de tres años. Sin perjuicio de lo anterior, quedarán sin efecto en los siguientes casos:
a) Por revocación efectuada por la Agencia.
b) Por fallecimiento del responsable de datos en los casos de personas naturales.
c) Por disolución de la persona jurídica.
d) Por resolución judicial ejecutoriada.
e) Por cese voluntario de la actividad del responsable de datos.
El término de vigencia de un certificado por alguna de las causales señaladas precedentemente será inoponible a terceros, mientras no sea eliminado del registro.
La Cámara de Diputados, en segundo trámite constitucional y por haber sido eliminado el artículo 51, dispuso que sea consignado como artículo 52, sin enmiendas.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo 54
El Senado, en primer trámite constitucional aprobó el siguiente artículo 54:
Artículo 54.- Revocación de la certificación. La Agencia puede revocar la certificación indicada en los artículos precedentes, si el responsable no da cumplimiento a lo establecido en este Párrafo. Con este objeto, la Agencia podrá requerir toda aquella información que fuere necesaria para el ejercicio de sus funciones.
Los responsables pueden exceptuarse de entregar la información solicitada cuando la misma esté amparada por una obligación de secreto o confidencialidad, debiendo acreditar dicha circunstancia.
El incumplimiento en la entrega de la información requerida, así como la entrega de información falsa, incompleta o manifiestamente errónea, será sancionado en conformidad con esta ley.
Cuando un certificado ha sido revocado por la Agencia, para volver a solicitarlo el responsable de datos debe acreditar fehacientemente que la causal que dio origen a su revocación ha sido subsanada.
La Cámara de Diputados, en segundo trámite constitucional y por haber sido eliminado el artículo 51, dispuso que sea consignado como artículo 53, sin enmiendas.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Título VIII
Del tratamiento de datos personales por el Congreso Nacional, el Poder Judicial y organismos públicos dotados de autonomía constitucional
Artículo 55
El Senado, en primer trámite constitucional aprobó el siguiente artículo:
“Artículo 55.- Regla general del tratamiento de datos personales. Es lícito el tratamiento de los datos personales que efectúan el Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral, y los demás tribunales especiales creados por ley, cuando se realiza para el cumplimiento de sus funciones legales, dentro del ámbito de sus competencias y, de conformidad a las normas especiales que se establecen en sus respectivas leyes orgánicas y a las disposiciones del Título IV de esta ley aplicables a los órganos públicos, con excepción de lo dispuesto en el artículo 14 quinquies y en los artículos 44 a 46, en lo referido a la intervención de la Contraloría General de la República en la determinación de la responsabilidad administrativa y la aplicación de la ley N° 18.834. Los funcionarios de estos organismos deberán guardar secreto de tales datos. En esas condiciones estas instituciones y organismos detentan la calidad de responsables de datos y no requieren el consentimiento del titular para efectuar el tratamiento de sus datos personales.
Corresponde a los órganos internos de las instituciones y organismos señalados en el inciso anterior ejercer las funciones y adoptar las decisiones que esta ley encomienda a la Agencia.
Las autoridades superiores de los órganos internos de estas instituciones deberán dictar las políticas, normas e instrucciones necesarias para dar cumplimiento a los principios y obligaciones establecidos en esta ley, especialmente aquellas que permitan el ejercicio de los derechos que se reconocen a los titulares de datos y las que fijan los estándares o condiciones mínimas de control, seguridad y resguardo que se deben observar en el tratamiento de los datos personales, pudiendo requerir para ello la asistencia técnica de la Agencia. Asimismo, las autoridades de estos órganos ejercerán la potestad disciplinaria respecto de sus funcionarios, en relación a las infracciones que se produzcan en el tratamiento de los datos personales, particularmente las infracciones señaladas en los artículos 34 bis, 34 ter y 34 quater.
Las instituciones y organismos señalados en este artículo no estarán sujetas a la regulación, fiscalización o supervigilancia de la Agencia.”.
La Cámara de Diputados, en segundo trámite constitucional dispuso dos enmiendas a dicha norma:
En primer lugar, dispuso consignarlo como artículo 54.
Luego, introdujo dos enmiendas a este precepto.
- Eliminó los incisos segundo.
Sometida a votación esta modificación, fue rechazada por mayoría de votos. Se pronunciaron a favor Honorables Senadores señora Ebensperger y señores Galilea, Huenchumilla y Pugh. Se abstuvo el Honorable Senador señor De Urresti.
- Suprimió el inciso cuarto.
Sometida a votación esta modificación, fue rechazada por mayoría de votos. Se pronunciaron a favor Honorables Senadores señora Ebensperger y señores De Urresti, Galilea y Pugh. Se abstuvo el Honorable Senador señor Huenchumilla.
Artículo 56
Senado
En el primer trámite constitucional, el Senado aprobó la siguiente norma:
“Artículo 56.- Ejercicio de los derechos y reclamaciones. Los titulares de datos ejercerán los derechos que les reconoce esta ley ante el Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral, y los demás tribunales especiales creados por ley, de acuerdo a procedimientos racionales y justos, y ante los organismos que dispongan estas instituciones, de conformidad a lo señalado en el artículo anterior.
En caso que la Contraloría General de la República, el Ministerio Público, el Banco Central o el Servicio Electoral denieguen injustificada o arbitrariamente el ejercicio de un derecho reconocido por esta ley a un titular de datos, o bien infrinjan algún principio, deber u obligación establecida en ella, causándole perjuicio, el titular que se vea agraviado o afectado por la decisión del organismo, podrá reclamar ante la Corte de Apelaciones, de acuerdo al procedimiento dispuesto en el artículo 43 de esta ley.
Las autoridades superiores del Congreso Nacional, del Poder Judicial, del Tribunal Constitucional, de la Justicia Electoral y de los demás tribunales especiales creados por ley, deberán asegurarse que en el tratamiento de los datos personales que realizan estas instituciones se cumplen estrictamente con los principios y deberes y, se respeten los derechos de los titulares establecidos en esta ley, adoptando las medidas de fiscalización y control interno que resulten necesarias y adecuadas para esta finalidad.”.
En segundo trámite constitucional, la Cámara de Diputados, introdujo las siguientes enmiendas al artículo 56 propuesto:
La primera de ellas es consignarlo como nuevo artículo 55.
Asimismo, incorporó en su inciso segundo, a continuación de la palabra “principio”, la expresión “establecido en el artículo 3”.
Finalmente, en su inciso tercero, agregó a continuación de la palabra “principios”, la expresión “establecidos en el artículo 3”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Numeral 13)
El Senado, en primer trámite constitucional, dispuso que en el Título Final se reemplace la denominación del artículo 24 que lo integra, por la siguiente: “Artículo 57.-”.
En segundo trámite constitucional, la Cámara de Diputados, dispuso que dicho numeral 13) pase a ser numeral 14), y lo sustituyó por el siguiente:
“14) Derógase el Título Final.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
-.-.-
Numeral 15), nuevo
Cámara de Diputados
En el segundo trámite constitucional, la Cámara de Diputados incorporó un numeral 15) nuevo, al proyecto por medio del cual elimina los incisos segundo y tercero del artículo 1° transitorio” de la ley Nº19.628, sobre protección de la vida privada.
Cabe hacer presente que dichos incisos regulan la entrada en vigencia de la ley y, en particular, su inciso segundo dispone que los registros o bancos de datos personales de organismos públicos se ajustarán a las disposiciones de este cuerpo legal.
Finalmente, el inciso tercero fija un plazo para la aplicación del artículo 22 de la ley N° 19.628.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
-.-.-
ARTÍCULO TERCERO, NUEVO
Cámara de Diputados
Cabe recordar que la ley N°19.496, que establece normas sobre protección de los derechos de los consumidores.
Su artículo 15 bis dispone lo siguiente:
“Artículo 15 bis. - Las disposiciones contenidas en los artículos 2 bis letra b), 58 y 58 bis serán aplicables respecto de los datos personales de los consumidores, en el marco de las relaciones de consumo, salvo que las facultades contenidas en dichos artículos se encuentren en el ámbito de las competencias legales de otro órgano.
En el segundo trámite constitucional, la Cámara de Diputados, incorporó un artículo tercero, nuevo, que reemplaza el mencionado artículo 15 bis por el siguiente:
“Artículo 15 bis.- Las disposiciones contenidas en los artículos 2 bis letra b) y 58 bis serán aplicables respecto de los datos personales de los consumidores, en el marco de las relaciones de consumo.”.
- Sometida a votación esta incorporación, fue rechazada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
-.-.-
ARTÍCULOS TRANSITORIOS
Artículo primero transitorio
Senado
El Senado, en primer trámite constitucional aprobó el siguiente artículo primero transitorio:
“Artículo primero.- Las modificaciones a las leyes N° 19.628, sobre protección de los datos personales, y Nº 20.285, sobre acceso a la información pública, contenidas en los artículos primero y segundo, respectivamente, de la presente ley entrarán en vigencia el día primero del mes décimo tercero posterior a la publicación de esta ley en el Diario Oficial.”.
En segundo trámite constitucional, la Cámara de Diputados, lo sustituyó por el siguiente:
“Artículo primero. - Las modificaciones a las leyes N°19.628, sobre protección de los datos personales, N°20.285, sobre acceso a la información pública, y N°19.496, que establece normas sobre protección de los derechos de los consumidores, contenidas en los artículos primero, segundo y tercero de la presente ley, respectivamente, entrarán en vigencia el día primero del mes vigésimo cuarto posterior a la publicación de esta ley en el Diario Oficial.”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo segundo transitorio
Senado
El Senado, en primer trámite constitucional dio su aprobación a un artículo segundo transitorio, cuyo texto es:
Artículo segundo. - Las bases de datos constituidas con anterioridad a la entrada en vigencia de la presente ley deberán adecuarse a los términos previstos en ella dentro del plazo de dieciocho meses, contado desde su entrada en vigencia. Con todo, los titulares de datos podrán ejercer los derechos que les confiere esta ley ante el responsable de datos, a partir de la entrada en vigencia de esta ley.
La Camara de Diputados, en el segundo trámite constitucional eliminó este precepto.
- Sometida a votación esta enmienda, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo tercero transitorio
Senado
El Senado, en primer trámite constitucional aprobó el siguiente artículo:
“Artículo tercero. - Los reglamentos referidos en la presente ley deberán dictarse dentro de los seis meses siguientes a la entrada en vigencia de esta ley.”.
La Cámara de Diputados, en el segundo trámite constitucional dispuso dos enmiendas:
Consignar este artículo como artículo segundo transitorio, y sustituir la expresión “entrada en vigencia de esta ley” por la frase “publicación de esta ley en el Diario Oficial”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo cuarto transitorio
Senado
El Senado, en primer trámite constitucional aprobó el siguiente artículo:
“Artículo cuarto.- Dentro de los sesenta días anteriores a la entrada en vigencia de las modificaciones a la ley N° 19.628, contenida en el artículo primero de la presente ley, el Servicio de Registro Civil e Identificación deberá eliminar el registro de bases de datos personales contemplado en el actual artículo 22 de la ley N°19.628.”.
La Cámara de Diputados, en segundo trámite constitucional dispuso que dicho artículo cuarto transitorio pasó a ser artículo tercero transitorio, sin enmiendas.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículo quinto transitorio
Senado
El Senado, en primer trámite constitucional, aprobó el siguiente artículo:
Artículo quinto. - La primera designación de los consejeros del Consejo Directivo de la Agencia de Protección de Datos Personales y del presidente y vicepresidente del Consejo Directivo de la Agencia se hará dentro de los sesenta días anteriores a la entrada en vigencia de la presente ley.
En la propuesta que se haga al Senado para la primera designación, se identificará a un consejero que durará dos años en su cargo, a un consejero que durará cuatro años en su cargo y a un consejero que durará seis años en su cargo. La mencionada propuesta se hará en un solo acto y el Senado deberá pronunciarse respecto de la propuesta como una unidad.
Con todo, los consejeros solo asumirán sus cargos una vez que la presente ley entre en vigencia, en conformidad a lo dispuesto en el artículo primero transitorio.
Los estatutos de la Agencia deberán ser propuestos al Presidente de la República, de conformidad al artículo 30 octies de la presente ley, dentro de los sesenta días siguientes a la entrada en vigencia de la presente ley.”.
La Cámara de Diputados, en el segundo trámite constitucional dispuso que dicho artículo quinto transitorio pase a ser artículo cuarto transitorio. Asimismo, acordó sustituir en su inciso final el guarismo “sesenta” por “noventa”.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
Artículos sexto y séptimo transitorio
Senado
Finalmente, en el primer trámite constitucional el Senado aprobó los siguientes artículos sexto y séptimos transitorios. Su texto es el siguiente:
“Artículo sexto. - Los órganos públicos que establezcan un encargado de prevención o delegado de protección de datos personales deberán designar para ello a un funcionario de la dotación vigente del respectivo organismo
Artículo séptimo. - El mayor gasto fiscal que represente la aplicación de esta ley, durante su primer año presupuestario de vigencia, se financiará con los recursos que se contemplen en el presupuesto del Ministerio de Economía, Fomento y Turismo y, en lo que faltare, con cargo a la Partida Presupuestaria del Tesoro Público del año presupuestario correspondiente. En los años siguientes estará considerado en la Ley de Presupuestos del Sector Público.”.
La Cámara de Diputados, en segundo trámite constitucional, acordó consignarlos como nuevos artículos quinto y sexto transitorios, sin otra enmienda.
- Sometida a votación esta modificación, fue aprobada por la unanimidad de los integrantes de la Comisión, Honorables Senadores señora Ebensperger y señores De Urresti, Galilea, Huenchumilla y Pugh.
ÍNDICE
OBJETIVO DE LA INICIATIVA 1
NORMAS DE QUORUM ESPECIAL 1
ASISTENCIA 2
CONSIDERACIONES PREVIAS 3
RELACIÓN DE MODIFICACIONES Y DEBATE 28
PROPUESTA DE LA COMISIÓN 127
ACORDADO 131
ÍNDICE 132
