¿En qué consiste Compliance Protección de Datos?
Compliance Protección de Datos o Data Protection se refiere a la necesidad de cumplir con los requisitos legales o éticos en relación con los procesos de datos. En Chile se está discutiendo el Proyecto de Ley de Protección de Datos Personales que modifica la Ley N° 19.628, sobre la protección de la vida privada y datos de carácter personal y que ingresó al Congreso el día 11 de enero de 2012.
El objetivo del proyecto de Ley es reforzar la protección de los datos personales frente a toda intromisión de terceros, ya sean entidades públicas o privadas, estableciendo las condiciones legítimas para el tratamiento y procesamiento de los datos personales y su libre circulación.
En resumen se trata de regular los requisitos legales incluyen la necesidad de que los datos personales se procesen de manera justa y legal, que sean precisos y estén actualizados, que se apliquen medidas contra la pérdida o destrucción accidental y que los datos personales solo se transfieran verificando niveles adecuados de protección de datos.
Cabe considerar que desde mayo de 2018, la normativa europea de protección de datos (que se cita casi siempre por sus siglas en inglés: GDPR) se aplica directamente a todos los Estados miembros de la Unión Europea (UE) y tiene un efecto extraterritorial.
¿Quién se ve afectado?
El GDPR (General Data Protection Regulation) se aplica a todas las empresas que ofrecen bienes o servicios a, o monitorean el comportamiento de los ciudadanos de la UE. Se aplica a todas las organizaciones establecidas en la UE, y también a empresas con sede fuera de la UE si tienen ciudadanos de la UE como clientes. Aunque el Reino Unido planea abandonar la UE, las empresas del Reino Unido seguirán teniendo que cumplir con el GDPR debido al período de cruce después de que el GDPR esté en vigor y antes de que el Reino Unido salga de la UE. Otra razón para que las empresas del Reino Unido cumplan es que muchas continuarán teniendo ciudadanos de la UE como clientes después de Brexit.
El GDPR introduce muchas nuevas obligaciones sobre las empresas y los derechos de las personas. Las multas pueden ser de hasta 20 millones de euros o el 4% de la facturación anual global (lo que sea mayor) por incumplimiento. Es esencial que las empresas revisen sus procesos de datos y se aseguren de que cumplen con GDPR. Todas las compañías deben asegurarse de poder cumplir con los derechos de las personas, como el derecho a ser olvidado y las solicitudes de sus datos, y algunas empresas necesitan un Oficial de Protección de Datos. Las acciones requeridas serán específicas para cada empresa y sus procesos de datos. 
Prelafit Compliance® y el grupo de profesionales especialistas en Data Protection busca detectar y gestionar los riesgos de inobservancia o incumplimiento de obligaciones normativas y mitigar los riesgos de sanciones y las pérdidas patrimoniales o de reputación que deriven de tales incumplimientos.
Necesita contactarnos escríbanos
Normativa asociada a Data Protection
En Chile, la protección de datos personales fue regulada por la Ley de Protección de Datos Personales Nº 19.628, del año 1999. La norma estableció disposiciones generales sobre los datos personales procesados por terceros.
La principal obligación que recae en estas partes es que deben informar a los interesados sobre el propósito para el cual se almacenarán sus datos y obtener su consentimiento por escrito, aunque la ley no estipula requisitos formales más específicos. Las debilidades en la ley incluyen la falta de mecanismos de supervisión adecuados y la falta de cobertura del procesamiento de la información a través de los medios digitales. Para remediar estas deficiencias, los legisladores chilenos han estado trabajando en una reforma de la ley durante varios años, proponiendo la creación de una agencia de protección de datos personales para garantizar el cumplimiento de las obligaciones legales y penalizar cualquier incumplimiento de la misma. Esta reforma se encuentra en una etapa avanzada de su paso.
El diseño de la nueva agencia chilena de protección de datos personales, incorporada en el proyecto legislativo actual, tiene en cuenta la experiencia de la Agencia Española de Protección de Datos Personales. La agencia española y las regulaciones europeas sirvieron de modelo para los legisladores chilenos a la hora de determinar las características clave del nuevo marco legal de protección de datos para Chile. En consecuencia, la opinión mayoritaria en el mercado es que el Ministerio de Economía, el organismo que supervisa la aprobación del proyecto de ley, tendrá en cuenta el GDPR y modificará el proyecto de ley legislativa para adaptarlo a las disposiciones europeas.
Proyecto de Ley de Protección de Datos Personales
¿Cuáles son los principales cambios que propone el proyecto de Ley?
Acceso y utilización de nuestros datos personales:
1. Deberá existir “consentimiento previo”: Las personas deberán manifestar expresamente su voluntad de entregar sus datos personales a través de un procedimiento libre e informado y deberá quedar constancia a través de cualquier medio físico o tecnológico. Toda persona podrá cambiar su decisión y revocar el consentimiento. No se requerirá consentimiento previo” en casos de:
• Urgencia médica
• Investigación criminal.
• Cuando sean parte de fuentes públicas; además cuando la información se transfiera entre estos organismos públicos con el propósito de entregarle servicios o beneficios que al titular.
• Estudios estadísticos, históricos o científicos pero los datos no se podrán presentar de manera individual.
• Cumplimiento con una relación contractual, científica o profesional.
• Identificación del titular de información comercial morosa o vencida.
2. Obligaciones del responsable del registro o base de datos personales:
2.1 Comunicar al titular de los datos personales, los siguientes ítems:
▪ Registro o base de datos personales en el cual estará su información.
▪ Datos del responsable o encargado del registro.
▪ Finalidad de la recolección de datos.
▪ Destinatarios de la información.
▪ Obligatoriedad de la entrega de datos personales, si es el caso, y las consecuencias de la entrega de dicha información.
▪ Cuando envíe información (comercial o publicitaria) al titular, deberá indicar el origen de los datos que permitieron tal envío.
2.2 Mantener a disposición permanente del público, en su sitio Web, un vínculo para conocer las bases de datos que administra y un correo electrónico al cual se notificarán las oposiciones y reclamos de los titulares de datos personales
3. Derechos del titular sobre sus datos personales:
• Página web “No Insista” del SERNAC: Si se han incluido a este registro electrónico, podrán elegir el o los medios a través de los que no deseen recibir las comunicaciones comerciales y publicitarias, por ejemplo: “indicar que no se desea recibir más llamadas telefónicas”.
• Acceder de manera gratuita y una vez al año, a todos sus datos personales que se encuentren en registros o bases de datos públicos o privados.
• Solicitar el bloqueo temporal de sus datos personales.
4. Protección de los datos personales de niños y adolescentes:
◦ Se prohibirá el tratamiento de datos personales de los niños y niñas, excepto los que sean indispensables para su identificación o en caso de urgencia médica, siempre con el consentimiento de quien los cuide.
◦ En el caso de los adolescentes sólo se prohíbe el tratamiento de sus datos sensibles.
Se detalla objetivamente el procedimiento de reclamo.
◦ Se distingue el procedimiento según organismos públicos o privados:
▪ Reclamo a organismos públicos: El afectado podrá reclamar ante el Consejo para la Transparencia y si no está conforme, podrá acudir a la Corte de Apelaciones correspondiente.
▪ Reclamo a organismos privados: Se promueve un posible acuerdo voluntario a través del SERNAC. Pero si esto no funciona, el titular podrá acudir al Juzgado Civil.
▪ Además, el SERNAC podrá entablar demandas colectivas si considera que la infracción afecta al interés colectivo.
5. Cumplimiento:
◦ Catálogo de infracciones y de sanciones: Distinguirá entre sanciones leves, graves y gravísimas , con sus respectivas sanciones, consistentes en multas que van desde 20 a 1.000 UTM dependiendo de la gravedad del delito y, en ciertos casos, suspensión del registro hasta por 6 meses e incluso su clausura.
◦ Creación de instrumentos para incentivar la autorregulación. Serán atenuantes las siguientes prácticas:
▪ Infractor se auto denuncia frente al SERNAC.
▪ Infractor demuestra que previo a la falta había adoptado un modelo de organización para prevenir la infracción cometida.
▪ Sólo empresas certificadoras (cuyo registro se encontrará en la página web del SERNAC) podrán otorgar certificado de ello.
▪ Infractor propone acuerdos reparatorios ante el SERNAC: Estas propuestas estarán sujetas a aprobación judicial.
◦ Creación de División Especializada del SERNAC.
6. Seguridad mercados globales:
◦ El responsable de un registro o base de datos sólo podrá realizar transferencias de datos personales al extranjero, si las partes establecen garantías y obligaciones aplicables al receptor de los datos.
◦ Las partes de una operación de transferencia internacional de datos podrán adoptar modelos de prevención de infracciones a la presente ley, acreditados por empresas certificadoras, cuyo registro estará en la página web del SERNAC.
