Este artículo es la continuación de Protección de Datos Personales, I Parte.

Se crea un derecho para los titulares de datos personales, consistente en que no podrá dirigírsele comunicaciones comerciales y publicitarias en caso que se hayan incluido en un registro electrónico dispuesto por el SERNAC en su sitio Web, con la finalidad de evitar la recepción de tales comunicaciones. Los interesados en ejercer este derecho podrán elegir el o los medios a través de los que no deseen recibir las comunicaciones comerciales y publicitarias, tales como llamadas telefónicas, correo postal, correo  electrónico, etc.

  • Se regula el flujo transfronterizo de datos. Se establece que el responsable de un registro de datos sólo podrá realizar transferencias de datos personales al extranjero, si las partes de la transferencia establecen contractualmente garantías y obligaciones aplicables al receptor de los datos, sea en calidad de responsable del registro o banco de datos o de encargado del tratamiento de datos.

Las partes de una operación de transferencia internacional de datos podrán adoptar modelos de prevención de infracciones a la presente ley, acreditados por empresas certificadoras. Se asegura al titular que aquel que envíe sus datos al exterior siempre será responsable de que el tratamiento cumpla con lo dispuesto en la ley, debiendo indemnizar al titular afectado en caso de incumplimiento de la normativa aplicable por el receptor de la transferencia, sin perjuicio de repetir en contra de este último de acuerdo a las garantías y obligaciones pactadas.

Se establecen excepciones que autorizan el flujo transfronterizo de datos personales, que justifican que no medie el consentimiento previo del titular, e.g. cuando existe consentimiento específico del titular de datos para la transferencia; cuando la transferencia es necesaria para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; cuando la transferencia resulta de la aplicación de tratados o convenios internacionales en los que el Estado de Chile sea parte.

  • Deber de informar registros o bases de datos. Se incorpora un deber para el responsable de un registro o banco de datos de carácter personal, consistente en mantener a disposición permanente del público, en su sitio Web, un vínculo donde sea posible conocer las bases de datos que administra y un correo electrónico al cual se notificarán las oposiciones y reclamos de los titulares de datos personales.

En caso que el responsable de la base de datos no cuente con un sitio Web, deberá mantener en un lugar visible al público dentro de su establecimiento un aviso que señale el tipo de registros o bases de datos personales de que dispone y el correo electrónico al cual se notificarán las oposiciones y reclamos de los titulares de datos personales.

  • El proyecto de ley prohíbe el tratamiento de todos los datos personales de niños, salvo los que sean indispensables para su identificación o en caso de urgencia médica, los que podrán otorgarse con consentimiento específico de quien ejerce su cuidado personal. Respecto de los adolescentes sólo se prohíbe el tratamiento de sus datos sensibles.
  • Se establece un procedimiento de reclamo, el cual distingue según se trate de organismos públicos o privados: tratándose de infracciones cometidas por organismos públicos, el afectado podrá reclamar ante el Consejo para la Transparencia y si no está conforme, podrá acudir a la Corte de Apelaciones correspondiente.

Respecto de reclamaciones en contra de organismos privados, se promueve un posible acuerdo voluntario a través del SERNAC. Si esto no funciona, el titular podrá acudir al Juzgado Civil. Además, el SERNAC podrá entablar demandas colectivas si considera que la infracción afecta al interés colectivo.

  • Se establece un catálogo de infracciones que se calificarán como leves, graves y gravísimas, con sus respectivas sanciones.
  • Creación de instrumentos que facilitan el cumplimiento de la ley, por la vía de incentivar la autorregulación, ejemplos:

a) Atenuante especial por autodenuncia. En caso que el infractor detecte haber cometido o estar ejecutando cualquier infracción establecida en la ley, podrá denunciarse al SERNAC, informando el cese inmediato del hecho que constituye la infracción y proponiendo bases de un entendimiento voluntario para reparar a los titulares de datos afectados.

b) Atenuante especial por prevención de infracciones. Los responsables del registro o banco de datos personales o encargados del tratamiento de datos personales que incurrieren en alguna infracción prevista en la Ley, podrán atenuar su responsabilidad en la aplicación de las multas, si acreditan haber cumplido diligentemente sus deberes de dirección y supervisión para la protección de los datos personales bajo su responsabilidad o tratamiento. Para ello, se considera que los deberes de dirección y supervisión se han cumplido cuando, con anterioridad a la comisión de la infracción, se ha adoptado la implementación de un modelo de organización, administración y supervisión para prevenir la infracción cometida, certificado por una empresa certificadora de cumplimiento, cuyo registro se encontrará en la página web del SERNAC.

c) Propuestas de acuerdos reparatorios. El responsable y el encargado del tratamiento de bases de datos personales podrán presentar al SERNAC, propuestas de acuerdos sujetos a aprobación judicial, que contengan alternativas de solución para todos los titulares afectados por la misma situación.

  • Creación de un mercado de empresas certificadoras de cumplimiento. Para el adecuado funcionamiento de los modelos de prevención de infracciones que permitirán atenuar la responsabilidad de quienes invierten en ellos, se establece que los certificados que indican el nivel de cumplimiento podrán ser expedidos por una empresa certificadora de cumplimiento, la que podrá ser una empresa de auditoría externa, sociedad clasificadora de riesgo u otra entidad acreditada por el SERNAC.
  • Plazo de prescripción. Las acciones para sancionar las infracciones descritas en el proyecto de Ley prescriben en el plazo de tres años, contado desde el cese de la conducta.

Para aprender más de los datos personales en 38 jurisdicciones del mundo recomiendo el siguiente libro: Data Protection & Privacy

Otros artículos y sentencias que dicen relación con Protección de Datos Personales que recomiendo:

Sentencias relacionadas con datos personales:

Derecho-Chile quiere estar más cerca suyo, para ello dejamos abierta la invitación a que nos sigas a través de las redes sociales,  éstas permiten tener un nuevo canal de información y comunicación con nosotros donde encontrará: artículos jurídicos, noticias, comentarios y sugerencias.