Ciberseguridad

Protección de datos personales: Qué regulaciones, leyes y normativas hay en Chile



Dirección copiada

La batalla por legislar el derecho al cuidado de información sensible data de fines del siglo XX en el país. Sin embargo, en la actualidad, la ley busca considerar a la protección de datos personales como un órgano del cuerpo que no pueda ser objeto de tráfico ni manipulación.

Publicado el 11 mar 2024



Regulaciones de Protección de datos personales en Chile

La protección de datos personales se ha convertido en un aspecto crucial para las operaciones y estrategias comerciales de las empresas en todo el mundo. Esto ocurrió, principalmente, porque hay una mayor consciencia sobre la privacidad y la seguridad de la información entre los consumidores, y también porque las empresas saben que la confianza del cliente está directamente ligada a la forma en que se gestionan y protegen los datos personales.

Por otro lado, describir esta realidad -sin mencionar la globalización de Internet y la enorme digitalización que se vivió en los últimos quince años- sería desconocer un aspecto clave en esta cuestión. Hoy se pueden encontrar datos en la web que décadas atrás hubiesen sido imposible de ubicar y están al alcance de la mano para los ciberdelincuentes.

A su vez, es importante remarcar que gran parte de la actividad, que se hace en plataformas de redes sociales (Instagram, Meta o X) o páginas web (de cualquier índole), generan datos del usuario que a veces son utilizados sin nuestro consentimiento. Entender esto es fundamental para cuidar nuestra privacidad.

Actualmente, organizaciones como la UNESCO trabajan para que los Estados del mundo atiendan la problemática del tráfico de información personal y promulguen normativas en sus países. Distintos organismos internacionales promueven la regulación de la protección de datos personales e invitan a los distintos países a producir leyes que obliguen a quienes trabajan con información de usuarios a resguardarse y a utilizarla correctamente.

Protección de datos en chile

Chile cuenta desde 1999 con la Ley N° 19.628, que dispone la protección “de la vida privada o protección de datos de carácter personal”. La norma define qué clase de datos se buscan proteger y cuál es el marco jurídico que otorga a cada uno de ellos.

De acuerdo con la ley, son datos sensibles aquellos que “se refieren a las características físicas o morales de las personas, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual”.

Evolución y marco legal de la protección de datos en el contexto chileno

Chile fue el primer país de América Latina en aprobar una ley que pone en práctica aquello que Europa había comenzado a regular en la década de 1980 mediante la creación del GDPR (Reglamento Europeo de Protección de Datos Personales, por sus siglas en inglés). Hay que remarcar que este fue actualizado recientemente y ofrece un nuevo conjunto de “derechos digitales” para sus ciudadanos, en una época en la que el valor económico de los datos personales está aumentando.

Después de Chile, Argentina ratificó en 2000 la Ley N° 25.326. Más tarde, se sumó Colombia en 2012 y Brasil en 2020. Todos estos países promulgaron una ley con el mismo fin: regular la forma y condiciones en la cual se efectúa el tratamiento y protección de los datos privados de las personas dentro de sus territorios nacionales.

Entre 2022 y 2023, el Congreso chileno aprobó una serie de cambios para adaptar la ley al contexto digital de la actualidad, tal como hizo la Unión Europea, ante el avance de la internet, las redes sociales y el tráfico de datos personales.

Entre otras medidas, la actualización de la ley estableció por primera vez una autoridad de control nacional conocida como Agencia de Protección de Datos Personales. Es un organismo público y autónomo que, desde su creación, en 2023, vela por el cumplimiento de cada uno de los más de 20 artículos dispuestos en la Ley N°19.628.

Importancia de la protección de datos en diversas industrias en Chile

Al utilizar una aplicación móvil, escribir un mensaje de texto, tomar una fotografía, presionar un mismo botón repetidas veces, prestar más atención a determinada publicidad o contenido audiovisual en internet, dar un “me gusta” y comentar; entre otras acciones, se generan datos de comportamiento del usuario que son utilizados por las propias empresas (desde Instagram, Meta hasta el e-commerce de una marca) con el propósito de mejorar el tiempo de permanencia del usuario o promover la venta de un producto; entre otros fines.

Una economía del siglo XXI que basa sus funcionamientos en los avances tecnológicos y del internet como principal organizador de la economía y la sociedad, precisa de un ordenamiento que proteja a los usuarios que navegan y utilizan esa red. Así lo plantea el Consejo Para la Transparencia del Gobierno de Chile (CPLT), corporación autónoma de derecho público, cuya principal labor es velar por el buen cumplimiento de la Ley de Transparencia de la Función Pública y de Acceso a la Información de la Administración del Estado.

La industria bancaria, la del Retail, la Salud y o mismo la de Seguros se apoyan a diario en los datos personales para analizar la calidad de sus productos, ofrecer mejores servicios a sus clientes, evaluar el otorgamiento de un crédito o establecer nuevas tácticas de marketing. Otorgándole a estos una gran preponderancia.

Según el CPLT, tan solo entre el 2009 y 2016 el número de conexiones móviles a Internet en Chile se habría cuadruplicado con un crecimiento anual de un 21%. Para el 2020, cada persona generaba un total de 1.7 megabytes de datos en solo un segundo.

Los datos se convierten así en una materia prima que distintas industrias utilizan para prestar servicios a terceros. Sin embargo, considerar a los datos como una commodity relega el valor que esta información tiene para el consumidor que los entrega, muchas veces, sin ser consciente de ello. Por eso, la economía digital y la protección de los datos personales generan nuevos desafíos e interrogantes de cara al futuro.

Según el CPLT, existe una falta de confianza en el consumo online y la adopción de los servicios que ofrecen las plataformas de la economía digital, impidiendo, por lo tanto, el desarrollo de nuevas tecnologías.

Al existir una línea delgada entre la rentabilidad de los datos y la vulnerabilidad de los derechos de las personas, es necesario una legislación que proteja los datos personales de cada individuo y no quedar relegado de la economía digital.

Principales regulaciones y normativas de protección de datos en Chile

Ley N° 19.628 sobre Protección de la Vida Privada

PromulgaciónPublicaciónVersiónÚltima ModificaciónMaterias
18-AGO-199928-AGO-1999Última Versión – 09-MAY-202310-NOV-2022 – Ley 21504Derecho a la Privacidad, Ley no. 19.628

Tal como describimos, la Ley N° 19.628 sobre Protección de la Vida Privada, promulgada en 1999, fue la base de la regulación de protección de datos en Chile. Esta ley regula el tratamiento de datos personales, estableciendo principios como la finalidad, calidad, y seguridad de los datos personales, así como los derechos de acceso, rectificación, cancelación y oposición por parte de los titulares de los datos. Sin embargo, dada su antigüedad, esta ley fue objeto de críticas por no abordar adecuadamente los desafíos de la era digital.

Reconociendo la necesidad de actualizar la legislación vigente, el Gobierno de Chile (durante el segundo mandato del Presidente Sebastián Piñera, quien estuvo en el cargo desde marzo de 2018 hasta marzo de 2022) propuso entonces un Proyecto de Ley sobre Protección de Datos Personales que buscaba modernizar y fortalecer el marco legal en materia de protección de datos. Se inspiró en estándares internacionales, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, y tenía como objetivo proporcionar una mayor protección a los datos personales en el contexto digital.

Su aprobación representó un cambio significativo en la forma en que se manejan los datos personales en el país.

Aspectos clave de la nueva Ley de Protección de Datos Personales

Autoridad de protección de datos

La creación de una agencia o autoridad independiente encargada de supervisar la aplicación de la ley, garantizar la protección de los datos personales de los ciudadanos y ofrecer un recurso en caso de violaciones.

Consentimiento informado

Se requerirá que las organizaciones obtengan un consentimiento claro e informado de los individuos antes de recopilar, usar o compartir sus datos personales, con ciertas excepciones por motivos legítimos.

Derechos de los titulares de datos

Ampliación de los derechos de los individuos con respecto a sus datos personales, incluyendo el derecho a acceder, rectificar, eliminar o portar sus datos, así como el derecho a oponerse a su tratamiento en ciertas circunstancias.

Obligaciones para manejo de datos

Imposición de requisitos más estrictos para la seguridad de los datos y medidas preventivas contra brechas de datos, incluyendo la obligación de notificar tanto a la autoridad competente como a los afectados en caso de incidentes de seguridad.

Transferencias internacionales de datos

Regulación de la transferencia de datos personales fuera de Chile, asegurando que estos movimientos solo ocurran hacia países o entidades que ofrezcan niveles adecuados de protección de datos.

Sanciones por incumplimiento

Establecimiento de un régimen de sanciones para las violaciones a la ley, que puede incluir multas significativas, así como otras medidas correctivas.

Implicaciones para empresas y organizaciones

Las organizaciones que operan en Chile o manejan datos de ciudadanos chilenos necesitarán revisar y posiblemente modificar sus prácticas de gestión de datos para cumplir con la nueva legislación. Esto incluye implementar políticas de privacidad transparentes, asegurar el consentimiento de los usuarios de manera adecuada, adoptar medidas de seguridad de datos robustas y prepararse para responder a los derechos de acceso y rectificación por parte de los titulares de los datos.

Ley N° 21.180 de Transformación Digital del Estado

Aunque su enfoque principal es la digitalización de los servicios públicos, la Ley N° 21.180 de Transformación Digital del Estado, promulgada en 2019, también tiene implicaciones en la protección de datos personales. Promueve el uso seguro y eficiente de los datos por parte de las entidades estatales, estableciendo normativas para la interoperabilidad y seguridad de los sistemas de información del sector público.

Herramientas y prácticas destacadas en la protección de datos en chile

Hacia el año 2018, el programador y empresario estadounidense Mark Zuckerberg fue intimado por la Comisión Federal de Comercio de los Estados Unidos (FTC por sus siglas en inglés) a pagar una millonaria multa por las malas prácticas de la protección de datos personales de los usuarios de Meta (ex Facebook), la red social de la cual es fundador y actualmente preside. La FTC ordenó a Zuckerberg a pagar un total de US$ 5.000 millones de dólares por el caso Cambridge Analytica, popularizado en aquel entonces.

Según un artículo publicado por la BBC de Londres en el año 2019, el gobierno norteamericano acusó a Facebook de compartir información privada de más de 87 millones de usuarios de la red social a la agencia de consultoría política Cambridge Analytica, donde se cree que los datos pudieron haber sido utilizados para influenciar tanto resultados de las elecciones estadounidenses de 2016 como el Brexit en el Reino Unido.

La multa, una de las más altas jamás impuestas en referencia a la violación a la privacidad del consumidor y el mal uso de los datos personales en internet; sirvió como ejemplo al mundo para problematizar y dialogar acerca de qué clase de información está en juego al utilizar herramientas de la vida diaria como las redes sociales, la navegación en internet y los algoritmos web que mejoran la experiencia del usuario frente a la red de acuerdo con una serie de patrones que los consumidores ejecutan involuntariamente.

Tanto la Ley de Protección de Datos en Chile como las normativas de la Agencia de Protección de Datos Personales consideran a la ciberseguridad como un fenómeno reciente en el que las empresas deben considerar y prestar atención al momento de trabajar con datos personales de los individuos. Para prevenir sanciones semejantes a la red social norteamericana, es necesario que las empresas chilenas implementen medidas de seguridad técnicas adecuadas a la ley, entre las cuales se destacan:

  • Mantener datos personales actualizados;
  • Recopilar datos personales necesarios para un único propósito;
  • No divulgar información privada con terceros sin consentimiento;
  • Llevar a cabo un protocolo ante la violación y filtración de datos;
  • Utilizar contraseñas seguras y software actualizados;
  • Educar a sus empleados en materia de ciberseguridad;
  • Implementar el uso de antivirus en el hardware disponible para trabajar.

A su vez, el CPLT enfatiza en invertir en la seguridad de los sistemas de red de las empresas chilenas, así como los software que utilizan. De tal modo que se pueda prevenir ataques de piratería, también conocidos como back doors, y filtrar datos sensibles de la empresa. Para eso, se recomienda limitar los permisos de acceso a ejecutivos y personas a cargo del estrecho control de accesos a la red de datos, actualizar contraseñas débiles y no abrir software maliciosos o malwares que provengan de terceros ajenos al personal de trabajo.

Educación y concientización sobre la protección de datos: programas y recursos disponibles en chile

Actualmente, el Consejo para la Transparencia ofrece una serie de publicaciones acerca de protección de datos personales, su resguardo y buenos usos dentro de su página web oficial. Debido a su carácter como agencia pública que brega por la transparencia de la Administración Pública, posee además una base de datos abiertos los cuales pueden ser reutilizados para distintos fines que personas u organismos estimen, de modo que puedan crearse a partir del catálogo Opendata nuevas formas de información, interrelación, reusabilidad y nuevos usos.

El CPLT trabajó activamente junto al Gobierno Nacional de Chile durante la pandemia de COVID-19 en relación con la protección de los datos personales, promoviendo guías para instituciones públicas con el objetivo de elevar estándares en el tratamiento de información sensible dentro del Estado Nacional. El estado de salud, por ejemplo, es un dato personal y su difusión requiere el consentimiento de un titular, tal como lo marca la ley 19.628.

Además, bajo el eslogan #ExigeQueCuidenTusDatos, el CPLT llevó a cabo una serie de campañas audiovisuales en su página web para concientizar a los chilenos y personas interesadas en la ciberseguridad acerca de qué es considerado un dato personal, cómo funcionan los reconocimientos faciales en la vía pública y una guía sobre los usos seguros de plataformas como WhatsApp o Instagram.

Por otro lado, la Universidad de Chile ofrece un Diplomado en Protección de Datos Personales, el cual dura un total de tres meses y se lleva a cabo de manera remota u online. La diplomatura tiene como objetivo que los profesionales puedan analizar y comprender la naturaleza e importancia de los datos personales en el mundo contemporáneo, revisando el marco normativo vigente, las principales propuestas de reforma legislativa en discusión y los estándares regulatorios internacionales para así identificar y resolver los principales desafíos que una adecuada gestión de un sistema de protección de datos personales supone en cualquier organización.

La diplomatura va dirigida a profesionales del derecho, auditoría, ciencias sociales, políticas públicas, ingeniería, informática o similares que ejerzan en lo público y privado; o que asesoran empresas, instituciones u organizaciones en materia de tratamiento de datos personales.

Desafíos de la protección de datos en Chile

Desafíos y consideraciones éticas en la protección de datos en Chile

En la era de la información, los datos se han convertido en un bien de uso para obtener conocimientos de valor estadístico y tomar decisiones económicas hacia el interior de una organización, tanto pública como privada. Sin embargo, distintas entidades gubernamentales que velan por la implementación de la ley de protección en datos en Chile enfatizan en no perder de vista el sesgo ético que puede tener el considerar a la big data como una herramienta de mercado por fuera de las personas que conforman ese conjunto de datos.

Por tal motivo, el CPLT elaboró una lista de buenas prácticas acerca de la ética en la protección de datos en Chile, enumerando once consejos para el resguardo de los datos personales. Entre ellos, las más importantes son las siguientes:

  • Delimitar la recopilación de información de carácter personal a aquella que resulta estrictamente necesaria para el cumplimiento de un determinado objetivo o finalidad;
  • Elaborar inventarios y mapas de datos, segmentados por categorías o taxonomías;
  • Auditar periódicamente los datos y sus operaciones de tratamiento;
  • Fomentar la capacitación continua en materia de ciberseguridad y protección de datos;
  • Considerar que los datos tienen un ciclo vital y que, así como se almacenan, pueden eliminarse;
  • Realizar simulacros de impacto en la privacidad y riesgos hacia dentro de la base de datos;
  • Fomentar y promover la transparencia hacia el resto de las organizaciones del mismo rubro.

Las distintas cámaras del Congreso en Chile ya han realizado modificaciones en la Ley 19.628, que si bien está sujeta a estándares internacionales, debe adaptarse a la nueva vida diaria atravesada por la tecnología y la abundancia de información.

Es necesario entonces abordar el impacto social que la protección de datos requiere en relación a la privacidad de las personas, el derecho a conocer el paradero y la procedencia de la información y exigir transparencia por parte de las agencias privadas que utilizan información sensible para realizar sondeos, investigaciones y decisiones comerciales.

Colaboraciones y proyectos destacados en el ámbito de la protección de datos en la comunidad chilena

Como país en Latinoamérica, Chile se destaca nuevamente por haber sido pionero en la región tras la aprobación de la Ley N° 19.628 sobre Protección de la Vida Privada o Protección de Datos de Carácter Personal. Sin embargo, también posee otros organismos públicos que trabajan en pos de proteger los datos personales de los chilenos en el país como también en escala internacional.

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) celebra, al igual que en Europa, el Día Internacional de la Protección de Datos cada 28 de enero; con el objetivo de fomentar que los datos de clientes y usuarios de la red de internet se utilicen de forma segura, confidencial, responsable e íntegra. Así, recomienda a los servidores de plataformas y consumidores de internet:

  • Reforzar contraseñas y no repetirlas en distintos accesos;
  • Activar la certificación en dos pasos al momento de ingresar a un sitio;
  • Instalar antivirus en dispositivos móviles;
  • Revisar los permisos solicitados por aplicaciones de celular;
  • Evitar el uso de Wi-Fi público de orígenes desconocidos.

Incluso, en diciembre de 2021, comenzó a regir la Ley Pro Consumidor, donde además de establecer derechos a los consumidores en distintos ámbitos del mercado, destina un punto de la ley al tratado de los datos personales en Chile. Así, la ley entrega al Servicio Nacional del Consumidor (SERNAC) facultades fiscalizadoras al uso de información personal en las relaciones de consumo. Esto lleva a las agencias y marcas privadas a revisar los modos de recolección de referencias de usuarios y clientes en sus estrategias de trabajo, además de implementar las nuevas modificaciones gubernamentales.

Por último, la UNESCO reconoció a Chile como un país pionero en la protección de los neuroderechos. Desde el año 2022, diputados y senadores chilenos discuten acerca de la protección de la integridad mental, el libre albedrío y la no discriminación en el acceso de los ciudadanos a las neurotecnologías. Lo novedoso de esta noticia es que el proyecto de ley busca dar “el estatuto de órgano a los datos personales para que no puedan ser objeto de tráfico o de manipulación” dice la Organización de las Naciones Unidas.

Artículos relacionados

Artículo 1 de 4