En promedio, te demorarías 40 minutos al día en leer todos los términos y condiciones de las aplicaciones que usas. Como nadie tiene ese tiempo, algunos dicen que se trata de un juego de ficción que hay entre clientes y empresas: las empresas pueden decir que cumplieron con la regulación de mostrar los términos y condiciones porque los clientes, sin haberlas leído, hacen click en que las leyeron para poder usar la aplicación rapido. Al final es como esa famosa frase: “Si un árbol cae en un bosque y nadie está cerca para escucharlo ¿hace algún sonido?” Si se mostraron términos y condiciones, que nadie leyó ¿existieron realmente?
Por eso siempre aparecen experimentos sociales para demostrar que muy pocas personas leen este tipo de documentos legales: uno famoso del 2016 tenía una cláusula donde las personas que aceptaban, le regalarían su primer hijo a la empresa. Un 98% de las personas no se dio cuenta. Y un experimento más reciente escondía de regalo una botella de vino en una cláusula que se agregó en febrero del 2024. Solo en mayo de ese año llegó alguien que la leyó, a pedirla.
Así que cuando se publican nuevas leyes como esta de protección de datos personales en Chile, es una oportunidad: al ser novedad, aparece en la prensa y te puedes enterar rápido dónde está rayada la cancha de los términos y condiciones que te pueden mostrar las empresas y aplicaciones. Y además, te enteras de por qué valdría la pena poner atención a esa letra chica: ¿hay alguna compensación para los clientes si una empresa incumple?
El pasado 13 de diciembre, Chile dio un gran paso con la publicación de la nueva ley 21.719 que regula la protección y el tratamiento de datos personales y crea la agencia de datos personales, que será clave para fiscalizar y sancionar los abusos a este derecho. Esta ley entrará en vigencia en diciembre de 2026, un plazo necesario para que las organizaciones puedan implementar sus disposiciones..
La primera buena noticia de esta nueva ley, es que pasaremos a estar a la altura del mismísimo Reglamento General de Protección de Datos Personales de la Unión Europea (más conocido como “GDPR” por sus siglas en inglés) que es una normativa que garantiza que tus datos no anden “paseando” por ahí de forma insegura.
¿Por qué necesitamos urgente esta nueva ley?
La ley de “Protección de la Vida Privada” (Nº 19.628) con la que fuimos pioneros alguna vez en Latinoamérica, fue publicada en el año 1999, una época en que no existía gmail, nadie usaba Google y nadie confiaba en la página web de los bancos o Mercado Libre. Todo eso con Believe de Cher de fondo, que fue una de las canciones más reproducidas ese año en la radio.
Hoy vivimos en un mundo en el que te cuestionas si tu celular es capaz de leer tu mente porque apenas piensas en algo y ya te sale la publicidad.
En efecto, nuestra antigua ley quedó completamente obsoleta. Y lejos de ser pioneros, pasamos a ser uno de los países más atrasados de Latinoamérica en esta materia. Como dato, recién en el año 2018 con la Ley Nº 21.096, los datos personales fueron consagrados como un derecho fundamental en la Constitución en Chile, pero sin otorgar mecanismos para ejercer este derecho como el que establece la nueva ley.
Mientras Chile recién logró ajustar su normativa, países como Perú, Colombia y México cuentan con una ley y una autoridad de protección de datos personales. Uruguay por ejemplo, fue declarado un país “adecuado” para transferir datos a la Unión Europea y Brasil el 2018 actualizó su normativa en protección de datos personales al estándar del GDPR. Por su parte, EE.UU. tiene un acuerdo de privacidad llamado “Data Privacy Framework” para la transferencia de datos personales desde EE.UU. a la Unión Europea, y las empresas que quieran adherirse deben certificarse. El estado de California, uno de los más avanzados en esta regulación cuenta con una normativa que cumple el estándar internacional del GDPR: su conocida “California Consumer Privacy Act” (CCPA).
Uno de los temas que más se discutió en la tramitación legislativa de esta nueva ley fue el de multas e infracciones. No por nada este proyecto ha estado casi 8 años en tramitación legislativa, y una de sus mayores críticas son sus elevadas multas. Pero ¿qué tan elevadas son estas multas en comparación con otras normativas?
Las multas dependen de la gravedad del incumplimiento:
Leves hasta 5.000 UTM (aprox $337 millones)
Graves hasta 10.000 UTM (aprox $673 millones) y;
Gravísimas hasta 20.000 UTM (aprox $1.346 millones)
Para tener una referencia:
- Las sanciones a la Ley de Libre Competencia pueden llegar a 60.000 UTA (aprox. $49 mil millones de pesos) o el 30% de las ventas vinculadas al infractor
- Las multas de la Ley marco de ciberseguridad pueden llegar a 40.000 UTM (aprox 2.700 millones de pesos)
- Las sanciones en normativa de medio ambiente pueden llegar hasta las 10.000 UTA (aprox 8 mil millones de pesos)
- En el sector financiero, la CMF puede imponer multas de 15.000 a 75.000 UF (entre 570 y 2.900 millones de pesos)
En corto: no, no son multas excesivas.
La adaptación a esta nueva ley significa un enorme desafío cultural de concientizar sobre este derecho a las organizaciones y personas partiendo por lo básico: cuando hablamos de “datos personales" estamos hablando de nombre, rut, domicilio, teléfono, imágenes, voz, correo electrónico o cualquier dato que la identifique o haga identificable a una persona. Cuando hablamos de “datos sensibles” estamos hablando de hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.
Según el estudio de Data Driving 2024: un 80% de los líderes de organizaciones declaran como “importantes” y “críticos” los datos personales. Pero esta percepción contrasta notablemente con el bajo conocimiento sobre esta nueva ley, solo un 21,8% de estos profesionales conocían el proyecto de ley. Por otro lado, un 34,7% señala que las barreras regulatorias limitan el desarrollo de datos en su mercado. Y, a pesar de estos desafíos regulatorios, un 92% de los líderes dijo que el intercambio de datos favorece a las organizaciones. En otras palabras: estamos frente a un problema lleno de trade-offs.
¿Y cómo quiso resolver este problema la nueva ley? Te dejamos bien al grano los cambios principales, explicados:
Se crea una Agencia Nacional de Protección de Datos Personales, un organismo independiente y especializado que será el encargado de fiscalizar el cumplimiento de la ley, sancionar su incumplimiento y lo más importante, establecer las directrices para crear esta cultura de protección de datos personales que hoy no existe en nuestro país.
Establece un nuevo estándar de consentimiento, que se vuelve mucho más exigente: ya no basta que sea expreso, tendrá que ser previo, específico, inequívoco, libre e informado, sino la organización se arriesga a tener las penas del infierno. En otras palabras, ya no bastará el “para seguir navegando” debes aceptar las políticas de privacidad, ahora tendrás que leer el aviso de privacidad, antes de crear una cuenta y aceptar mediante un check box.
Nuevos derechos para los titulares, además de los derechos ya existentes con la actual ley, como el de acceso, rectificación, cancelación, supresión u oposición al tratamiento de sus datos, se suman el derecho de portabilidad de datos y el derecho de oposición a ser objeto de decisiones automatizadas, incluida la elaboración de perfiles.
En términos simples, le podrás pedir a las empresas acceso a todos los datos que tengan sobre ti, te podrás oponer al uso de tus datos para fines de marketing, podrás pedir que rectifiquen datos incorrectos o que los actualicen y podrás solicitar que borren todos tus datos.
Bases legales para tratar tus datos: antes sólo contábamos con la ley y el consentimiento. Ahora con la nueva ley se incluyen la ejecución de un contrato; el cumplimiento de una obligación legal; el interés legítimo y obligaciones de carácter económicas o financieras (como por ejemplo transferir los datos para enviarlos al SII o pagar cotizaciones) o la defensa de un derecho en tribunales.
Se incorporan nuevos principios para el tratamiento de datos, que serían como nuevas obligaciones para las organizaciones, entre ellas el de información y transparencia que se traduce en políticas de privacidad claras. Uno de los principios más importantes es el llamado “responsabilidad proactiva”, que implica que las organizaciones deberán probar ante la futura agencia, que han tomado todas las medidas para dar cumplimiento a la ley. Otro principio que cobra bastante relevancia, es el de seguridad, estableciendo un nuevo estándar de ciberseguridad para las organizaciones.
Otra novedad es la protección de datos personales desde “el diseño y por defecto”, lo que implica un tremendo cambio de paradigma en la creación de productos y servicios, que ahora deben considerar la protección de datos desde su arquitectura inicial. Por ejemplo, para garantizar esta protección “por defecto” las plataformas de redes sociales tienen que tener como configuración inicial por defecto el perfil privado. Lo que significa un trabajo en conjunto entre las áreas de producto, tecnología, seguridad y legal para contemplar esta nueva regulación desde la creación de un producto o servicio.
Mención expresa a los datos biométricos, la antigua ley no se hacía cargo del tratamiento de estos datos, los datos biométricos (huella, rostro, iris) como datos de especial protección (los llamados sensibles), en la nueva ley se establecen requisitos específicos para su tratamiento y consentimiento. Hasta ahora en nuestro país eran comúnmente usados por ejemplo para registrar la asistencia de los trabajadores, o para el famoso juego de recompensas de Worldcoin (ahora simplemente World) del CEO de Open AI.
Los menores de edad, que por la antigua ley estaban completamente olvidados, y otras normativas tuvieron que suplir este vacío regulando la protección de datos de este grupo vulnerable, con la nueva ley son reconocidos expresamente como datos de especial protección.
Un modelo de cumplimiento voluntario: la nueva ley introduce un sistema para que las organizaciones puedan cumplir con la ley, a través de un modelo de cumplimiento de protección de datos personales, certificado por la futura Agencia de Protección de Datos Personales que servirá de atenuante en caso de infracciones a la ley.
Reporte de brechas de seguridad: se deberá informar a la agencia sobre incidentes de ciberseguridad que impliquen un riesgo para los titulares de los datos personales y también notificar a estos si se trata de datos de menores de edad o datos de carácter económicos.
¿Qué pasa si no se cumple esta ley?
La Agencia de Protección de Datos será la encargada de fiscalizar el cumplimiento de la ley y sancionar su incumplimiento. Esta ley, como cualquier otra que regula derechos fundamentales, aplicará sus multas e infracciones sin distinción. Sin embargo, establece un régimen diferenciado para las pymes con un periodo de “gracia”.
Si bien existen las multas según gravedad que mencionamos anteriormente, la labor de la agencia, más que sancionar, será crear conciencia sobre el derecho fundamental de la protección de datos.
En cuanto a infracciones declaradas “reiteradas” o casos de “reincidencia” graves o gravísimas en 24 meses, que serán de carácter excepcionales y se determinarán de acuerdo a la gravedad de la inflación, las multas comprenderán el 2% o 4% de los ingresos anuales de la empresa y cuyo caso más grave, supone la suspensión de las actividades de tratamiento.
¿Qué pasa con las Pymes?
Las micro, pequeñas y medianas empresas tendrán mayor flexibilidad para adaptarse a esta nueva ley: contarán con un periodo de gracia de 12 meses posterior a la entrada en vigencia de la ley. Asimismo, en caso que quieran certificar su modelo de cumplimiento, el Delegado de Protección de Datos podrá ser el dueño de la empresa.
Y la persona afectada (o titular de los datos) ¿recibirá alguna indemnización por parte de la futura Agencia?
No, estás multas solo están establecidas para las organizaciones por parte de la Agencia de Protección de Datos. Si la persona quiere reclamar una indemnización de perjuicios, tendrá que ir a los tribunales de justicia.
¿Cómo deben prepararse las organizaciones para esta nueva realidad?
En pocas palabras, tomar más control sobre la información personal que manejan. Algunos tips.
- Primero, no dejarlo para última hora, la ley tiene 24 meses de vacancia, es decir, empezará a regir en diciembre de 2026, no lo dejen para el último momento.
- Hacer una capacitación a los trabajadores y directorio de la organización. la
- Hacer un inventario de actividades de tratamiento de datos personales. ¿Qué datos se tratan? Datos de los trabajadores, clientes, usuarios, entre otros, y bajo qué bases de licitud.
- Identificar a proveedores a los que se les encarga el tratamiento de datos personales, y las transferencias de datos internacionales para realizar contratos con obligaciones al respecto.
- Identificar los riesgos y establecer medidas de control.
- Actualizar las políticas internas y externas de protección de datos personales.
- Establecer un procedimiento para manejar las solicitudes de ejercer sus derechos por parte de los titulares de los datos y gestionar incidentes.
- Es clave el trabajo interdisciplinario entre las áreas más técnicas de tecnologías como seguridad de la información, el área legal y las áreas que tratan datos dentro de una organización para su implementación.
En fin, ya llegó la hora de que las empresas empiecen a tomarse en serio la protección de los datos personales de todos, incluso de la tía que postea toda su vida en Facebook: ahora cuidar su información será tan importante como cuidar su contraseña.
