Resumen ejecutivo

• Crea la Agencia de Protección de Datos Personales, cuyo objetivo será garantizar el respeto de los derechos de los titulares y la conformidad a La ley del Tratamiento de Datos. Para ello, contará con facultades normativas, de aplicación e interpretación, fiscalización, determinación y sanción de infracciones, resolución de solicitudes y reclamos, certificación y registro, entre otras.
• Establece el campo de aplicación de la ley e incorpora un catálogo de definiciones donde se actualiza la comprensión de los datos personales y los datos personales sensibles. Asimismo, determina los principios que los sujetos obligados deberán observar, donde destacan los de licitud, finalidad y transparencia.
• El proyecto da un rol principal de consentimiento como fuente de licitud, el cual se manifiesta en forma inequívoca autorizando el tratamiento para uno o varios fines específicos, siendo revocable en cualquier momento. Además, establece una serie de fuentes de licitud que habilitan el tratamiento de datos personales sin contar con la autorización del titular.
• Define reglas generales para el tratamiento de datos y reglas para el tratamiento de datos sensibles, así como obligaciones de los responsables del mismo. Entre ellas: acreditar la licitud de los datos; compartir información exacta, completa y actual; guardar secreto o confidencialidad; suprimir o anonimizar datos en ciertas hipótesis; cumplir con los deberes de transparencia; incorporar medidas de seguridad y evaluaciones de impacto.
• Establece un catálogo de infracciones leves, graves y gravísimas, con un régimen de multas que pueden alcanzar hasta 5.000, 10.000 y 20.000 UTM (USD  353.242,90, 706.485,81 y 1.412.971,61), y con un régimen de agravantes y atenuantes. 
• En caso de reincidencia de infracciones graves o gravísimas, las empresas que no califiquen como pequeñas se podrán multar con hasta el 2 o el 4% de sus ingresos anuales por ventas y servicios en el territorio nacional.
• La ley entraría en vigencia en diciembre de 2026.

Agencia de Protección de Datos Personales

El proyecto crea la Agencia de Protección de Datos Personales, una entidad autónoma de derecho público con un carácter técnico y descentralizado, con personalidad jurídica y patrimonio propio, que se relacionará con el Presidente a través del Ministerio de Economía. Su objetivo será garantizar que los derechos de los individuos en materia de datos personales (DP) sean respetados y supervisar el cumplimiento de la ley.

La Agencia contará con amplias facultades. Tendrá la responsabilidad de la emisión de instrucciones y normas generales obligatorias para regular las operaciones de tratamiento de DP, las que deberán ser publicadas y sometidas a consulta pública; además de la potestad de interpretar y aplicar administrativamente las disposiciones legales y reglamentarias en esta materia.

La Agencia fiscalizará el cumplimiento de la ley, pudiendo requerir información y documentos a las entidades que traten datos personales, y determinar las infracciones a la normativa. También, podrá ejercer la potestad sancionadora, aplicando multas y otras sanciones a quienes incumplan la ley. Además, tendrá la facultad de resolver reclamaciones presentadas por los titulares de datos y desarrollar programas de difusión y promoción de los derechos de privacidad entre la ciudadanía.

Tendrá la capacidad de proponer al Presidente y el Congreso reformas legales y reglamentarias para mejorar la protección de los DP y la prestación de asistencia técnica a diversos organismos públicos, y de mantener relaciones de cooperación tanto a nivel nacional como internacional, suscribiendo convenios con entidades relacionadas con la protección de datos. 

Finalmente, certificará y supervisará los Modelos de Prevención de Infracciones (MPI), administrará un registro de sanciones y garantizará el cumplimiento de los programas de protección de DP en Chile.

Ámbito de aplicación

Las disposiciones de la ley aplican al tratamiento de datos personales cuando:

• El responsable o su mandatario esté ubicado en el territorio nacional.
• El mandatario realiza el tratamiento en nombre de un responsable establecido en Chile.
• El responsable o mandatario no está ubicado en el país, pero sus actividades se dirigen a ofrecer bienes o servicios a personas en Chile o a monitorear su comportamiento. 
• El responsable está sujeto a la legislación chilena por contrato o derecho internacional, aunque no esté establecido en el país.

El concepto de dato personal y el consentimiento

Un DP es cualquier información vinculada o referida a una persona natural identificada o identificable. Se entenderá que una persona es identificable cuando se pueda determinar su identidad mediante indicadores como su nombre, número de cédula de identidad o elementos propios de su identidad, ya sea de manera directa o indirecta. Para determinar si alguien es identificable, se deben considerar todos los medios y factores objetivos que razonablemente podrían usarse para la identificación en el momento del tratamiento.

Un DP se considera sensible cuando se refiere a características físicas o morales de las personas, así como a hechos o circunstancias de su vida privada o intimidad que revelen su origen étnico o racial; afiliación política, sindical o gremial; situación socioeconómica; ideología; filosofía; creencias religiosas; salud; perfil biológico; datos biométricos; vida y orientación sexual y su identidad de género.

Principios para el tratamiento de datos personales

El proyecto establece principios que los sujetos obligados deberán observar en el tratamiento de DP.

• Licitud y lealtad: los datos deben ser tratados de manera legal y justa, siendo un deber del responsable acreditarlo.
• Finalidad: los datos deben recolectarse con fines específicos, explícitos y lícitos, y solo utilizarse para estos fines (o fines compatibles informados previamente).
• Proporcionalidad: solo deben tratarse los DP necesarios y pertinentes, considerándolos solo por el tiempo requerido para cumplir con su propósito, después de lo cual deben eliminarse o anonimizarse.
• Calidad: los datos deben ser exactos, completos, actuales y relevantes, según su proveniencia y fines del tratamiento.
• Responsabilidad: los responsables del tratamiento deben cumplir con estos principios y sus obligaciones legales, siendo legalmente responsables de ello.
• Seguridad: los datos deben protegerse contra el tratamiento no autorizado, pérdida o daño, con medidas de seguridad adecuadas.
• Transparencia e información: los responsables deben proporcionar al titular toda la información necesaria para el ejercicio de sus derechos, de manera clara y accesible.
• Confidencialidad: se debe mantener la confidencialidad de los datos, incluso después de terminada la relación con el titular.

Derechos de los titulares de datos personales

La ley establece un catálogo de derechos a los titulares de DP, cuyo carácter es personal, intransferible e irrenunciable. Estos son:

• Derecho de acceso: los titulares pueden ejercer solicitar y obtener confirmación sobre si sus datos están siendo tratados, así como acceder a información detallada sobre los datos y su tratamiento.
• Derecho de rectificación: los titulares pueden solicitar la corrección de datos inexactos, desactualizados o incompletos.
• Derecho de supresión: los titulares pueden pedir la eliminación de sus datos cuando ya no sean necesarios, cuando revoquen su consentimiento o cuando los datos se hayan obtenido o tratado en forma ilícita.
• Derecho de oposición: los titulares pueden oponerse al tratamiento de sus datos en ciertas circunstancias, especialmente cuando se trate de marketing directo o cuando se realice únicamente sobre la base de haber obtenido los datos desde fuentes de acceso público, entre otras hipótesis.
• Derecho de bloqueo: los titulares pueden solicitar la suspensión temporal del tratamiento de sus datos mientras se resuelve una solicitud de rectificación, supresión u oposición.
• Derecho de portabilidad: los titulares pueden recibir una copia de sus datos en un formato electrónico y solicitar que estos se transfieran a otro responsable de datos cuando sea técnicamente posible.
• Derecho de oposición a decisiones individuales automatizadas: los titulares pueden oponerse a decisiones basadas en el tratamiento automatizado de sus datos, salvo por determinados supuestos.

Regla general del tratamiento de datos

El proyecto exige el consentimiento para el tratamiento de DP, salvo que concurra otra fuente de licitud definida por la ley. El consentimiento se define como una manifestación de voluntad, libre, específica, informada e inequívoca, por la cual el titular acepta el tratamiento de sus datos para uno o varios fines específicos, pudiendo revocarlo en cualquier momento.

Se presumirá que el consentimiento no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección, con la excepción de que quien ofrezca bienes, servicios o beneficios lo requiera como única contraprestación para tratar DP.

Fuentes de licitud

Otras fuentes de licitud del tratamiento de datos, que no requieren contar con el consentimiento del titular, son:

• Tratamiento referido a datos socioeconómicos u obligaciones de carácter económico, financiero, bancario o comercial.
• Tratamiento necesario para la ejecución o cumplimiento de una obligación legal o lo disponga la ley.
• Tratamiento necesario para la celebración o ejecución de contratos entre el titular y el responsable, o la ejecución de medidas precontractuales.
• Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular.
• Cuando el tratamiento sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.

Regla para el tratamiento de datos sensibles

Los DP sensibles solo podrán ser tratados con el consentimiento del titular otorgado en forma expresa, mediante una declaración escrita, verbal o por un medio tecnológico equivalente. Sin perjuicio de ello, se habilitan como fuentes de licitud para realizar el tratamiento sin el consentimiento del titular, cuando:

• Los DP se hayan hecho manifiestamente públicos y el tratamiento se relacione con los fines para los que fueron publicados.
• El tratamiento se basa en un interés legítimo realizado por una persona jurídica de derecho público o privado sin fines de lucro, bajo ciertas condiciones.
• Sea necesario para salvaguardar la vida, salud o integridad del titular.
• Sea necesario para formular, ejercer o defender un derecho ante los tribunales de justicia u otro órgano administrativo.
• Sea necesario para el ejercicio de derechos y el cumplimiento de obligaciones del responsable o el titular en el marco del ámbito laboral o de seguridad social.
• El tratamiento de DP sensibles lo autorice o mandate expresamente la ley.

Los DP sensibles relativos a la salud y el perfil biológico humano; de carácter biométrico; niños, niñas y adolescentes; con fines históricos, estadísticos o científicos y de geolocalización, contarán con disposiciones específicas de tratamiento.

Obligaciones del responsable de datos

El responsable de datos deberá:

• Contar con el consentimiento u otra fuente de licitud señalada en la ley, informando y acreditando al titular de ello.
• Compartir o transferir información exacta, completa y actual según la ley.
• Suprimir o anonimizar datos personales obtenidos para la ejecución de medidas precontractuales.
• Guardar secreto o confidencialidad sobre los DP, incluso cuando concluye la relación entre el responsable y el titular.
• Cumplir con los deberes de transparencia respecto a los titulares, facilitando al público la información relativa a sus políticas de privacidad y los tratamientos llevados a cabo en forma permanente.
• Incorporar la protección desde el diseño y por defecto, con anterioridad al tratamiento de los DP, y que garanticen que solo sean objeto de tratamiento los DP que sean necesarios para la actividad. 
• Regular el procesamiento de datos con el mandatario o encargado cuando se realice el tratamiento de datos a través del tercero mandatario.
• Contar con una evaluación de impacto en protección de datos personales en caso de que un tipo de tratamiento pueda producir un alto riesgo para los derechos de los titulares.
• Adoptar medidas de seguridad y reportar las vulneraciones a la Agencia de Protección de Datos Personales.

Transferencia internacional de datos personales

Las condiciones bajo las cuales se permite la transferencia internacional de datos personales deberán cumplir requisitos como la existencia de un nivel adecuado de protección en el país receptor o la implementación de garantías adecuadas mediante cláusulas contractuales o modelos de cumplimiento. En ausencia de estas garantías, se permite la transferencia en situaciones excepcionales, como con el consentimiento expreso del titular o en cumplimiento de obligaciones legales o internacionales. 

Los criterios para determinar si un país posee un nivel adecuado de protección consistirán en el establecimiento de principios que regirán su tratamiento, normas y derechos que garanticen los derechos de los titulares, obligaciones de información y seguridad a los responsables y terceros mandatarios, además de la determinación de responsabilidades en caso de infracciones.

La Agencia tendrá la facultad de aprobar los instrumentos necesarios para garantizar la seguridad de los datos transferidos, además de la autoridad para fiscalizar y suspender temporalmente las transferencias que no cumplan con las normas establecidas.

Infracciones 

Las infracciones en el tratamiento de datos personales se categorizan en leves, graves y gravísimas, dependiendo de la naturaleza y del impacto de la violación a la normativa.

• Infracciones leves: incumplimientos que afectan la gestión y protección de datos personales.  Estas incluyen la falta de comunicación oportuna a los titulares de los datos o el incumplimiento de deberes de transparencia establecidos por la normativa.
• Infracciones graves: constituyen violaciones significativas a los derechos y la privacidad de las personas, ya que comprometen la seguridad, confidencialidad y legalidad del tratamiento de datos. Entre estas, se encuentran el tratamiento de datos sin el consentimiento del titular, la comunicación indebida de información personal, el manejo inadecuado de datos sensibles, y la obstrucción del ejercicio de los derechos de los titulares, tales como el acceso, rectificación o eliminación de sus datos.
• Infracciones gravísimas: se refieren a violaciones intencionales y maliciosas de la privacidad y los derechos de los titulares de datos. Estas incluyen el tratamiento fraudulento o el uso malicioso de datos personales, la comunicación o cesión intencionada de información falsa o incompleta sobre un titular, la violación del deber de secreto respecto a datos sensibles y otros datos especiales, así como la realización de transferencias internacionales de datos a sabiendas de su ilegalidad. 
• También, se consideran gravísimas la omisión deliberada de reportar vulneraciones de seguridad, el tratamiento masivo de datos personales sin la debida autorización y la desobediencia a resoluciones emitidas por la Agencia en respuesta a reclamaciones de los titulares.

Sanciones

Las infracciones se clasifican en leves, graves y gravísimas, cada una con sanciones correspondientes, cuya cuantía dependerá de diversos factores, considerando un régimen de agravantes y atenuantes. Estas son para: 

• Infracciones leves: amonestación escrita o una multa de hasta 5.000 UTM (USD $ 353.242,90).
• Infracciones graves: multa de hasta 10.000 UTM (USD $ 706.485,81).
• Infracciones gravísimas: multa de hasta 20.000 UTM (USD $ 1.412.971,61).

La Agencia podrá proponer medidas correctivas y, en caso de no cumplirse, podrá aplicar un recargo del 50% sobre la multa original.

En situaciones de reincidencia, la Agencia tiene la facultad de triplicar la multa asignada. De este modo, las empresas que no califiquen como de menor tamaño y que reincidan en infracciones graves o gravísimas, podrán ser objeto de una multa de hasta el 2 o el 4% de los ingresos anuales por ventas y servicios en el territorio nacional, respectivamente.

Modelo de Prevención de Infracciones (MPI)

Los responsables del tratamiento de DP podrán adoptar un MPI de manera voluntaria. Este consiste en programas de cumplimiento diseñados para prevenir infracciones a la ley, proporcionando una estructura formal y sistemática para garantizar el respeto a las normativas de protección de datos.

El proyecto establece requisitos mínimos que un MPI debe cumplir, entre los que se encuentra la obligatoriedad de contar con un Delegado de Protección de Datos Personales. Además, se regula el proceso de certificación e inscripción del modelo en un Registro Nacional de Sanciones y Cumplimientos gestionado por la Agencia. 

La correcta aplicación y supervisión del MPI es una circunstancia atenuante de las infracciones y podría reducir la severidad de las sanciones impuestas.