Se encuentra próximo a ser promulgado (tercer trámite constitucional) el proyecto de ley sobre datos personales que eleva sustancialmente los estándares de protección actualmente vigentes.

Las mayores innovaciones normativas son: 

• Ajustes al concepto de dato personal y datos sensibles, incluyendo datos de salud y biométricos.
• Nuevos deberes específicos que debe cumplir toda entidad que trate datos personales.
• Las empresas que traten datos deberán responder prontamente (15 días hábiles) las solicitudes que presenten los titulares de sus datos, como serían el bloqueo o su portabilidad, bajo riesgo de sanciones.
• Cuando el tratamiento sea encargado a un tercero (mandatario), debe existir un mandato que contemple específicamente las obligaciones que supone el encargo.
• Para prevenir la comisión de infracciones, el proyecto admite la implementación voluntaria de un modelo de prevención de infracciones que servirá como atenuante de responsabilidad, el cual deberá considerar un delegado de protección de datos.
• Se creará una Agencia de Protección de Datos encargada de velar por el efectivo cumplimiento de la ley (“Agencia”), la que atenderá los reclamos de los titulares y podrá sancionar de oficio a quienes incumplan con la ley.

Todo responsable que infrinja los principios, obligaciones y derechos previstos en el proyecto será sancionado conforme a la entidad de la infracción (leve, grave o gravísima). Las sanciones serán las siguientes:

• Infracciones leves: amonestación por escrito y multas hasta 100 UTM.
• Infracciones graves: multas de hasta 5.000 UTM, o hasta 2% de ingresos anuales con tope de 10.000 UTM en caso de empresas.
• Infracciones gravísimas: multas de hasta 10.000 UTM, o hasta 4% de ingresos anuales con tope de 20.000 UTM en caso de empresas.

Existirá un recargo de 50% en caso de que no se subsane la infracción dentro de 60 días. En caso de reincidencia (2 o más sanciones en 30 meses), se podrá aplicar una multa de hasta de tres veces. Incluso, en caso de infracciones gravísimas dentro de 24 meses, la Agencia podrá determinar la suspensión del tratamiento de datos por un plazo de 30 días.

Dado lo anterior, el llamado es a realizar un control preventivo del tratamiento de datos que se realiza en cada entidad con el objeto de evaluar el real nivel de cumplimiento normativo y comenzar a ajustar su actividad a los nuevos estándares que impone el proyecto.

Bofill Mir Abogados cuenta con un área especializada para hacerse cargo de esos desafíos para las empresas, lo que implicará la auditoría del estatus normativo, la elaboración de planes de mejoras y gobernanza de datos, la implementación de un programa de cumplimiento conforme el tipo de empresa y la necesaria difusión de su contenido.