En poco más de un año entrará en vigencia la nueva Ley 21.719, que regula la protección y el tratamiento de los datos personales y que cambiará la forma en que empresas e instituciones habían obtenido, procesado y almacenado esta información hasta el momento.
Con el fin de abordar los principales cambios, claves y dudas sobre la ley, la Cámara Chilena de la Construcción, a través de su Gerencia de Asuntos Regulatorios, realizó un webinar explicativo con la abogada y socia del estudio jurídico Bitlaw, Javiera Sepúlveda, en el que se detallaron desde los conceptos más básicos de la normativa hasta consejos sobre cómo prepararse para su aplicación.
La ley, que se aprobó en diciembre de 2024, estableció dos años (hasta el 1 de diciembre de 2026) para que las entidades que traten datos personales adecúen procesos, normativas internas y tecnologías a las obligaciones de la nueva regulación.
Según remarcó Sepúlveda, la ley regulará no solo la recolección de datos, sino también cómo se almacenan, cómo y cuándo se pueden ceder, el tratamiento por terceros, cuándo y cómo se permite la transferencia internacional, su preservación y su eliminación.
¿Cuáles son los datos personales y quiénes están sujetos a la ley?
Sepúlveda detalló que según la ley, “dato personal” es entendido como “cualquier información vinculada o relativa a una personas natural, identificadas o identificables”, y que el tratamiento de esos datos es “cualquier forma de uso de los datos personales. Desde almacenarlo hasta el tratamiento que se pudiera hacer a través de la analítica. Un currículum que llega y se guarda, es un dato personal”, explicó.
En ese marco, los protagonistas de esta regulación son tres: primero, el titular de los datos personales, “como podría ser el cliente de una compraventa inmobiliaria o el trabajador/a de una empresa”, ejemplificó la abogada.
En segundo lugar, el responsable del tratamiento de los datos, que sería “la entidad, persona jurídica, el organismo público, que toma la decisión de por qué y cómo se trata un dato personal”, añadió.
Finalmente, aparece el “mandatario”, que actúa en representación del responsable del tratamiento de los datos, figura que aparece comúnmente en los proveedores, quienes tratan datos personales pero “no lo hacen determinando un fin de manera independiente, sino bajo la instrucción del responsable del tratamiento de los datos”, explicó.
Cambios en las “bases de licitud”
Uno de los cambios más grandes que hace la ley son los cambios relativos a la “base de licitud”, entendiendo por tal la necesidad de contar con un fundamento o permiso para el tratamiento de datos, que con la ley vigente considera sólo la obligación legal y el consentimiento.
«Esta ley abre ese abanico y establece un catálogo más amplio de bases de licitud: el cumplimiento contractual, el interés legítimo y el ejercicio o defensa de un derecho”, detalló Sepúlveda.
Por ejemplo, “si necesito un dato personal para cumplir con una obligación contractual, no necesito pedirle permiso a esa persona para tratar sus datos. O en el caso del uso de cámaras de seguridad, se ha entendido que para los fines de seguridad se puede usar la base de licitud de ‘interés legítimo’,” comentó la abogada.
Entre las recomendaciones que se entregaron en el webinar para enfrentar la implementación de esta ley está que las empresas e instituciones empiecen por realizar un inventario de los datos que se están almacenando actualmente; y la importancia de que las organizaciones diseñen sus productos ya pensando en la privacidad de los datos.
Asimismo, implementar medidas de seguridad y considerar que la ley exige que las vulneraciones de seguridad que afecten a datos personales sean reportadas a la nueva Agencia de Protección de Datos Personales.
