Legitimación de las bases de datos anteriores a la entrada en vigencia de la nueva ley de protección de datos

Uno de los principios estructurales de la nueva ley de protección de datos es el principio de licitud y lealtad, el cual exige que todo tratamiento tenga una fuente de licitud apropiada. Los responsables que manejen bases de datos que hayan sido organizadas de forma previa a la entrada en vigencia de la nueva Ley de Protección de Datos se enfrentarán a un gran desafío: la adecuación de sus bases de datos a la nueva regulación, lo que a todas luces supondrá una carrera contra el tiempo.

¿Qué se entiende por base de datos?

La nueva Ley de Protección de Datos Personales define como “bases de datos personales” a un conjunto organizado de datos personales, cualquiera sea la finalidad, forma o modalidad de su creación, almacenamiento, organización y acceso, que permita relacionar los datos entre sí, así como realizar su tratamiento.

Esto significa que, ya sea que los datos estén en una elaborada planilla computacional o en un simple cuaderno, si permiten relacionar datos y realizar su tratamiento, se consideran bases de datos.

La nueva ley se aplicará, en general, a todo tratamiento de datos personales que realice una persona natural o jurídica, incluyendo la recolección y almacenamiento de datos personales en bases de datos.

Desafío de los responsables: adecuar sus bases de datos a los nuevos requerimientos

Uno de los principios estructurales de la nueva Ley de Protección de Datos Personales es el de licitud y lealtad. Esto implica que cada tratamiento de datos debe tener una fuente de licitud o base legal apropiada.

Lo anterior supone un desafío importante para los responsables de datos que manejen bases de datos cuya recolección y tratamiento se haya iniciado con anterioridad a la entrada en vigencia de la nueva ley.

En definitiva, será necesario que los responsables evalúen de forma seria si sus bases de datos cuentan con una base de licitud adecuada y pertinente que les permita seguir realizando tratamiento de datos sobre estas bases de datos.

A modo meramente ejemplar, en aquellos casos en que los responsables lleven a cabo tratamiento de datos en virtud de la base jurídica consentimiento, deberán reevaluar si dicho consentimiento otorgado bajo el estándar de la legislación previa cumple con los nuevos requisitos de la nueva Ley de Protección de Datos, la cual impone condiciones ostensiblemente más elevadas. Así las cosas, en muchos casos se podría llegar a la conclusión de que esas bases de datos no cuentan con la base de licitud correspondiente, siendo necesaria una nueva base de licitud para continuar con el tratamiento.

¿Cuánto tiempo tendrán los responsables de datos para identificar una fuente de licitud apropiada para su base de datos?

El proyecto de ley presentado en 2017 contenía un artículo transitorio que establecía un plazo de cuarenta y ocho meses para que las bases de datos existentes se adecuaran a los términos de la nueva ley. Sin embargo, este artículo fue desechado, no prosperando en la propuesta final de la nueva ley.

Como consecuencia de lo anterior, los responsables de datos deberán tener sus bases de datos regularizadas al momento en que la ley entre vigencia. Es importante destacar que la nueva ley contempla un período de vacancia de 24 meses desde su publicación en el Diario Oficial. Aun cuando dicho plazo no es menor, la experiencia comparada demuestra que en algunos casos puede no ser mucho tiempo, por lo que el llamado es a llevar a cabo estas evaluaciones de las bases de datos cuanto antes.

¿Qué fuentes de licitud existen?

La nueva Ley de Protección de Datos establece que el consentimiento es la regla general para realizar un tratamiento de datos de forma lícita. Sin embargo, también considera lícito el tratamiento de datos personales sin el consentimiento del titular en ciertos casos, como en la celebración o ejecución de un contrato, el cumplimiento de una obligación legal, la satisfacción de intereses legítimos, entre otros.

Si el responsable de datos no puede vincular su tratamiento con una de las otras fuentes de licitud, enfrentará el desafío de solicitar el consentimiento de cada uno de los titulares que se encuentren en su base de datos, considerando que el consentimiento debe cumplir con ciertos requisitos: ser previo al tratamiento, expreso, libre, específico en cuanto a las finalidades, informado e inequívoco.

¿Qué pasa si el responsable no adecúa una base de datos a alguna de las fuentes de licitud establecidas en la ley?

El responsable se expone a una sanción grave, cuya multa podría ascender hasta 10.000 UTM.

En caso de reincidencia, la Agencia de Protección de Datos Personales podría aplicar multas de hasta 30.000 UTM, o hasta el monto correspondiente al 2% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario.

Si bien la adecuación de las bases de datos en una corta ventana de tiempo es un desafío importante, también es una oportunidad para mejorar las prácticas de manejos de datos y garantizar la protección de los individuos en relación con sus datos personales.

AUTORES: José Ignacio Mercado, Iván Meleda, Gabriela García.

Política de privacidad

Carey y Cía Ltda. (“Carey”) se compromete a respetar su privacidad. Usted no está obligado a facilitar ninguna información personal al consultar nuestro sitio web. Sin embargo, puede optar por comunicarse con nosotros completando el formulario disponible en la sección “Contacto” de este sitio, en cuyo caso y para efectos de poder responderle adecuadamente, se le pedirá que proporcione su nombre y dirección de correo electrónico, y acepte en forma expresa esta política de privacidad. En ese evento, haremos tratamiento de sus datos sólo para comunicarnos con usted y poder brindarle la información que usted ha solicitado. No compartiremos su información personal con ningún tercero, excepto cuando sea requerido por ley. También podemos utilizar sus datos para comunicarnos con usted para preguntarle si le gustaría recibir información sobre nuestros eventos, publicaciones y otros servicios que podrían ser de su interés. Sin embargo, no lo añadiremos a ninguna de nuestras listas de distribución de correos sin su consentimiento expreso. Usted también puede registrarse por sí mismo para recibir nuestras alertas legales en la sección de News Alerts disponible en nuestro sitio.

Una “cookie” es un pequeño archivo de datos que puede ser colocado en el disco duro de su computador o en un servidor web. Estas cookies no recuperan la información almacenada en su disco duro y no causan daño ni a su equipo ni a los archivos que se guardan en ella. Usted no está obligado a aceptar cookies, y de hecho, puede modificar su navegador para que no las acepte. Utilizamos cookies para que nuestro sitio web reconozca su idioma preferido, el cual es seleccionado a partir de una visita anterior a nuestro sitio. También realizamos un seguimiento a las pautas de navegación de nuestros usuarios a través de nuestra página web, con el fin de evaluar y mejorar el sitio. Utilizamos esta información para recopilar datos estadísticos sobre el uso de nuestro sitio web, pero dicha información se utiliza de forma anónima, agregada y usted no puede ser identificado a partir de ella. Cuando usted visita nuestro sitio web, nuestro servidor registra su dirección IP junto con la fecha, hora y duración de su visita. Una dirección IP es un número asignado, similar a un número de teléfono, que le permite a su computador comunicarse a través de Internet. Analizamos estos datos para obtener tendencias estadísticas, y luego los descartamos.

Disclaimer

Disclaimer

Política de privacidad

Cookies

Privacy Policy

Cookies