Elías Mohor, miembro del Consejo de Ética y Autorregulación de la AMDD, y abogado senior en Carey.
Ya estamos en la cuenta regresiva para la entrada en vigor de la Nueva Ley de Protección de Datos –que ocurrirá el 1 de diciembre de este año– y muchas empresas comienzan a revisar sus procesos internos y prepararse. Uno de los aspectos que frecuentemente genera interés e inquietud es la futura autoridad que estará a cargo de velar por el cumplimiento de la ley: la Agencia de Protección de Datos Personales. Las empresas suelen preguntarnos: ¿Quién la liderará? ¿Qué funciones tendrá exactamente? ¿Podrá establecer multas?
En primer lugar, la Agencia será una corporación autónoma de derecho público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio, que se relacionará con el presidente a través del Ministerio de Economía. Será liderada por un Consejo Directivo de tres integrantes, todos ellos designados por el presidente, con el acuerdo de dos tercios de los senadores en ejercicio. El presidente ha presentado ya algunos candidatos al Senado, pero hasta la fecha han sido rechazados.
La principal función de la Agencia será velar por la efectiva protección de los derechos que garantizan la vida privada de las personas, y para ese fin gozará de amplias facultades como:
- Dictar instrucciones y normas generales obligatorias.
- Aplicar e interpretar administrativamente la ley y sus reglamentos, y fiscalizar su cumplimiento.
- Determinar y sancionar las infracciones cometidas por los responsables de datos.
- Resolver las solicitudes y reclamos que formulen las personas afectadas por el uso de sus datos personale.
- Desarrollar programas y proyectos de difusión e información para la ciudadanía.
- Certificar, registrar y supervisar los modelos de prevención de infracciones y programas de cumplimiento que adopten los responsables de datos.
- Asesorar a los organismos del Estado.
La Agencia estará facultada para establecer multas de hasta 5.000 UTM para las infracciones leves ($350 millones, aprox.), 10.000 UTM para las infracciones graves ($700 millones, aprox.) y 20.000 UTM para las infracciones gravísimas ($1.400 millones de pesos, aprox.).
Asimismo, podrá establecer las medidas tendientes a subsanar las causales que hubieren dado lugar a la infracción, y si el responsable sancionado no las adoptare en un plazo no mayor a 60 días, se le podrá imponer un recargo del 50% de la multa cursada. En caso de reincidencia, podrá aplicar una multa de hasta el triple de la multa originalmente cursada.
En el caso de las empresas grandes –aquellas que no califiquen como pymes–, podrá imponer la multa más alta entre el triple antes señalado, o el 4% de los ingresos totales que haya tenido la empresa sancionada durante el último año calendario, tratándose de infracciones gravísimas (en el caso de infracciones graves, este monto se reduce al 2%).
Por último, la Agencia puede ordenar la suspensión de las operaciones y actividades de tratamiento de datos personales realizadas por el responsable, en caso de que se le hayan impuesto multas por infracciones gravísimas reiteradas, en un período de 24 meses.
Las funciones de la Agencia no se limitan a sancionar, sino que también incluyen tareas de orientación y prevención. En particular, destacamos la labor que está llamada a desempeñar en la determinación de los países que serán considerados “adecuados” para el envío de datos personales (algo especialmente relevante para quienes contraten proveedores fuera de Chile), o los criterios que pueda establecer para llevar a cabo las evaluaciones de impacto de privacidad o de interés legítimo, ambos ejercicios que la ley obliga a realizar en ciertas circunstancias.
