El 13 de diciembre de 2024, fue publicada la Ley 21.719 que regula la Protección y el Tratamiento de los Datos Personales y crea la Agencia de Protección de Datos Personales (en adelante, la “Nueva Ley”).
Esta Nueva Ley modifica de manera íntegra la actual Ley N° 19.628 sobre protección de la vida privada, modernizando la regulación nacional de protección de datos personales y creando una entidad reguladora encargada de velar por su cumplimiento.
Entre las principales innovaciones de la Nueva Ley, se encuentra la creación de la Agencia de Protección de Datos (en adelante, la Agencia), organismo que tendrá facultades normativas, fiscalizadoras y sancionadoras, pudiendo iniciar procedimientos sancionatorios de oficio o a petición de parte, resolviendo los reclamos que formulen los titulares de datos en contra de los responsables de datos por infracción a esta normativa.
Respecto del procedimiento sancionatorio y la imposición de sanciones por parte de la Agencia, se contempla un sistema de determinación de la multa que considera beneficio económico obtenido, capacidad económica, gravedad de los hechos, grado de culpabilidad, atenuantes y agravantes, entre otras. Las sanciones podrán ir desde la amonestación por escrito y hasta multas de 20.000 U.T.M, dependiendo del carácter leve, grave o gravísimo de la infracción. En casos de reincidencia, la sanción podrá incluso triplicarse hasta 60.000 UTM o el equivalente al 2% o hasta 4% de las ventas anuales brutas tratándose de grandes empresas.
La Agencia, además, podrá certificar, registrar y supervisar los modelos de prevención de infracciones y los programas de cumplimiento y administrar el Registro Nacional de Cumplimiento y Sanciones. De esta forma, la Nueva Ley innova en la regulación, incorporando expresamente la posibilidad de adoptar programas de cumplimiento normativo de carácter voluntario denominados como “Modelo de Prevención de Infracciones” (en adelante, MPI).
Los elementos o requisitos esenciales de estos Modelos incluyen la designación de un delegado de protección de datos personales con la definición de medios y facultades para sus tareas; la identificación del tipo de información que la entidad trata, el ámbito territorial en que opera, la categoría, clase o tipos de datos o bases de datos que administra; la identificación de las actividades o procesos de la entidad, sean habituales o esporádicos, en cuyo contexto se genere o incremente el riesgo de comisión de las infracciones; el establecimiento de protocolos, reglas y procedimientos específicos; mecanismos de reporte interno de cumplimiento normativo, y mecanismos de reporte a la Autoridad de Protección de Datos; y la existencia de sanciones administrativas internas, así como de procedimientos de denuncia o castigo de responsabilidades de las personas que incumplan el sistema de prevención de infracciones.
La Nueva Ley establece que el cumplimiento diligente de los deberes de supervisión y dirección para la protección de datos verificado con la certificación del programa de prevención de infracciones ante la Agencia, constituirá una circunstancia atenuante. En atención a lo anterior y en consideración de la abultada carga regulatoria que, entre otras cosas, exige la implementación de medidas de seguridad técnicas y organizativas en asuntos de ciberseguridad, la creación de protocolos para la recepción de solicitudes de ejercicio de derechos ARCO y la obligación a notificar a la Agencia y a los titulares afectados (en caso de datos sensibles o situaciones específicas) sobre vulneraciones a la seguridad que impliquen riesgos significativos, es que la implementación oportuna de los Modelo de Prevención de Infracciones, puede ser una herramienta eficaz no sólo para prevenir sanciones de relevancia, sino que para afrontar el enorme esfuerzo que las organizaciones deberán enfrentar para cumplir con los estándares exigidos en la Ley.
Conclusiones
Pese a que la Nueva Ley se ha publicado recientemente y que sus modificaciones a la Ley N°19.628 entrarán en vigencia el 1 de diciembre de 2026, resulta fundamental que las organizaciones comiencen desde ya a adecuar su estructura operativa y sus procesos internos, con objeto de dar cumplimiento a los nuevos estándares de esta ley.
La Nueva Ley de Protección de Datos impone una gran carga regulatoria para las empresas.
Sin embargo, también ofrece una oportunidad al adoptar un enfoque preventivo y basado en el riesgo, lo que permitirá identificar y mitigar riesgos, implementar las medidas organizativas y técnicas necesarias, y garantizar el cumplimiento efectivo de las obligaciones que impone esta nueva regulación a través de la implementación del Modelo de Prevención de Infracciones y la designación de un Delegado de Protección de Datos, permitiendo evitar sanciones futuras y fortaleciendo la confianza de los titulares en la gestión de sus datos personales.