Nueva Ley de Protección de Datos Personales, y sus efectos en la empresa.
El pasado 26 de agosto se aprobó la nueva Ley sobre Protección de Datos Personales, modificando la actual Ley Nº 19.628 quedando pendiente su publicación y promulgación. Esta Ley actualiza la legislación vigente y eleva el estándar de protección a los derechos de las personas. Cualquier persona jurídica o empleador que realice tratamiento de información de sus clientes como de sus trabajadores, deberán dar cumplimiento a esta ley.
La nueva ley sobre protección de datos personales tiene el objeto de regular la forma y condiciones en las que se realiza el tratamiento de este tipo de información y mejorar la protección de los derechos de sus titulares.
La nueva legislación aumenta el estándar chileno homologando al establecido por el Reglamento General de Protección de Datos de la Unión Europea, erigido como la referencia internacional para la protección de los derechos de las personas y sus datos personales ajustando: i) Derechos a los titulares de los datos; ii) Crea principios de tratamientos de datos; iii) Implementa sanciones y multas para los incumplimientos.
La propuesta busca que el tratamiento se realice con el consentimiento del titular de dichos datos o en los casos que lo autorice la ley. Además, procura que se aseguren estándares de calidad, información, transparencia y seguridad.
En tal sentido cualquier persona jurídica o empleador que realice tratamiento de información de sus clientes como de sus trabajadores, deberán dar cumplimiento a esta ley.
Se entiende como “Todo tratamiento de datos personales que realice una persona natural o jurídica, incluidos los órganos públicos, debe respetar los derechos y libertades de las personas y quedará sujeto a las disposiciones de esta ley.”
El artículo 3º de la Ley, establece los principios de licitud y lealtad; finalidad; proporcionalidad; calidad; responsabilidad; seguridad; transparencia e información; y confidencialidad.
Algunas consideraciones de la presente ley:
- El artículo 12 establece que es lícito el tratamiento de los datos personales que le conciernen al titular, cuando otorgue su consentimiento para ello.
- El consentimiento del titular debe ser libre, informado y específico en cuanto a su finalidad o finalidades. El consentimiento debe manifestarse, además, en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular
- El titular puede revocar el consentimiento otorgado en cualquier momento y sin expresión de causa, utilizando medios similares o equivalentes a los empleados para su otorgamiento.
- Los medios utilizados para el otorgamiento o la revocación del consentimiento deben ser expeditos, fidedignos, gratuitos y estar permanentemente disponibles para el titular.
- Se presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección.
- Corresponde al responsable probar que contó con el consentimiento del titular y que el tratamiento de datos fue realizado en forma lícita, leal y transparente.
- El artículo 14 bis sobre el deber de secreto o confidencialidad establece que el responsable de datos está obligado a mantener secreto o confidencialidad acerca de los datos personales que conciernan a un titular, salvo cuando el titular los hubiere hecho manifiestamente públicos. Este deber subsiste aún después de concluida la relación con el titular.
- Los responsables de datos deberán implementar mecanismos y herramientas tecnológicas que permitan que el titular ejerza sus derechos en forma expedita, ágil y eficaz. Los medios dispuestos por el responsable deben ser sencillos en su operación.
- El ejercicio de los derechos de rectificación, supresión y oposición siempre serán gratuitos para el titular. El derecho de acceso también se ejercerá en forma gratuita, al menos trimestralmente.
En cuanto a las sanciones, se regulan en el Título VII a partir del artículo 33 y siguientes, en tal sentido, el responsable de datos, sea una persona natural o jurídica, de derecho público o privado, que en sus operaciones de tratamiento de datos personales infrinja los principios establecidos en el artículo 3° de la presente ley, derechos y obligaciones establecidos en esta ley, será sancionado de conformidad con las normas del presente Título.
En el ámbito laboral, haciendo referencia al Ord.1061 (22.03.2019) no debemos olvidar que el legislador ampara este derecho, de modo expreso en el artículo 154 bis que dispone “El empleador deberá mantener reserva de toda la información y datos privados del trabajador a que tenga acceso con ocasión de la relación laboral”.
La ley entrará en vigencia 24 meses de su publicación en el Diario Oficial. Además junto con la reciente entrada en vigencia de la Ley de Delitos Económicos para las personas jurídicas, se suma un nuevo elemento a considerar en las áreas de cumplimiento al interior de la empresa, será importante construir una nueva cultura de prevención al interior de la empresa, estableciendo canales para el ejercicio de sus derechos, políticas, entre otros a fin de resguardar y proteger la información de los trabajadores.
Ignacio Cartes
Abogado área Negociación Colectiva
Lizama Abogados