El día 13 de diciembre de 2024 fue publicada en el Diario Oficial la Ley N° 21.7191 que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales, un nuevo órgano de control al que se le entregan facultades sancionatorias robustas.
Entre las capacidades de la nueva Agencia de Protección de Datos Personales destacan multas que pueden alcanzar hasta USD 1.500.000, e incluso, sanciones accesorias, como la suspensión parcial o total de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un término de 30 días, plazo que puede ser renovable hasta indefinidamente.
Interesante resulta además que las sanciones que establezca la Agencia deberán anotarse en un registro público y electrónico –el “Registro Nacional de Sanciones y Cumplimiento”–, como medida de divulgación de las entidades sancionadas.
Comparación de las sanciones a faltas a la protección de datos
Si realizamos una comparación a nivel regional, la normativa chilena supera notablemente en cuanto al monto de las multas aplicables respecto de algunos países latinoamericanos, como Colombia, Perú, Costa Rica y Argentina, pero se ubica por debajo de otros con mayor población, como México y Brasil.
Sin embargo, fuera de nuestra región, sus montos son de todos modos inferiores a los consagrados por la legislación del Reino Unido, y por el RGPD europeo, la norma internacional más exigente en la materia.
Algunos de los umbrales más altos a nivel mundial, en cuanto a sanciones económicas aplicables en materia de datos personales se reflejan en la siguiente tabla2:
En Chile, la antigua regulación sobre protección de datos, entre otras debilidades, carecía de un procedimiento sancionatorio administrativo, y de una agencia de control especializada, que supervisara su aplicación. Como resultado de ello, vemos que hasta ahora la jurisprudencia sobre sanciones –y en particular sanciones económicas– aplicadas en temas de datos personales ha sido bastante exigua.
Así, por ejemplo, el habeas data, recurso judicial consagrado en favor de los titulares de datos personales en la normativa vigente, ha tenido una utilización prácticamente nula en nuestro ordenamiento, por lo que los pronunciamientos de la Corte Suprema en el asunto han recaído principalmente sobre recursos de protección, donde dicho ente se ha limitado a ordenar la eliminación de datos personales específicos –tales como deudas existentes en registros de información financiera3– habiendo resuelto incluso en otros casos más controvertidos, como el del Rutificador4, a favor de entidades que publican datos personales.
Bajo este panorama, la nueva Agencia –que seguramente entrará en sus funciones en el año 2027– tendrá la delicada tarea de ejercer prudencialmente sus facultades de control y sanción, con escasos precedentes judiciales a la mano, y bajo el rigor de una normativa nueva, mucho más exigente que la anterior, sin perder de vista, sin embargo, que sus pronunciamientos irán conformando una de las primeras señales claras de la autoridad hacia los fiscalizados, en un ámbito del derecho donde hasta ahora las sanciones habían sido prácticamente nulas.
1. Entrará en vigencia el 1 de diciembre de 2026
2. Según se desprende de los ordenamientos nacionales de protección de datos de cada jurisdicción (UK: Data Protection Act 2018; Europa: Reglamento General de Protección de Datos ; México: Ley Federal de Protección de Datos Personales en Posesión de los Particulares; Brasil: Ley General de Protección de Datos; Chile: Ley sobre protección de los datos personales N°21.719)
3. Corte Suprema, 10 de junio 2020, Rol N°33.187-2020
4. Corte Suprema, 3 de junio 2015, Rol N°5.243-2015
