Columnas
Data Privacy: Nuevas sanciones en Chile vs. el mundo
Si realizamos una comparación a nivel regional, la normativa chilena supera notablemente en cuanto al monto de las multas aplicables, respecto de algunos países latinoamericanos, como Colombia, Perú, Costa Rica y Argentina, pero se ubica por debajo de otros con mayor población, como México y Brasil.
Una de las novedades que introduce el recientemente aprobado Proyecto de Ley de Protección de Datos Personales (“LPDP”), no es solo la creación de un nuevo órgano de control – la “Agencia de Protección de Datos Personales”- sino que además le dota a esta última de facultades sancionatorias robustas, entre las que destacan multas que pueden alcanzar hasta los USD $1.466.600; e incluso, sanciones accesorias, como la suspensión parcial o total de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos hasta por un término de 30 días, plazo que puede ser renovable incluso indefinidamente. Interesante resulta además que las sanciones que establezca la Agencia deberán anotarse en un registro público y electrónico – el “Registro Nacional de Sanciones y Cumplimiento” -, como medida de divulgación de las entidades sancionadas.
Si realizamos una comparación a nivel regional, la normativa chilena supera notablemente en cuanto al monto de las multas aplicables, respecto de algunos países latinoamericanos, como Colombia, Perú, Costa Rica y Argentina, pero se ubica por debajo de otros con mayor población, como México y Brasil.
Fuera de nuestra región, el proyecto aprobado también destaca al establecer sanciones más altas que las dispuestas por la normativa de California (Estados Unidos) y la de Canadá, aunque sus montos se encuentran de todos modos por debajo de los consagrados por la legislación del Reino Unido, y por el RGPD europeo, la norma internacional más exigente en la materia.
Algunos de los umbrales más altos a nivel mundial, en cuanto a sanciones económicas aplicables en materia de datos personales se reflejan en la siguiente tabla:
En Chile, hasta ahora, la jurisprudencia sobre sanciones – y en particular sanciones económicas – aplicadas en temas de datos personales ha sido bastante exigua. Así, por ejemplo, en el ámbito público, la mayor parte de las resoluciones del Consejo para la Transparencia, en esta esfera se han circunscrito a rechazar total o parcialmente la entrega de información de datos personales solicitados por terceros ante organismos estatales, confirmando el criterio de estos últimos. En el ámbito privado, el habeas data, recurso judicial consagrado en favor de los titulares de datos personales en la normativa vigente, ha tenido una utilización prácticamente nula en nuestro ordenamiento, por lo que los pronunciamientos de la Corte Suprema en el asunto han recaído principalmente sobre recursos de protección, donde dicho ente se ha limitado a ordenar la eliminación de datos personales específicos – tales como deudas existentes en registros de información financiera[1] – habiendo resuelto incluso en otros casos más controvertidos, como el del Rutificador[2], a favor de entidades que publican datos personales.
Bajo este panorama, la nueva Agencia tendrá la delicada tarea de ejercer prudencialmente sus facultades de control y sanción, con escasos precedentes judiciales a la mano, y bajo el rigor de una normativa nueva, mucho más exigente que la anterior, sin perder de vista, sin embargo, que sus pronunciamientos irán conformando una de las primeras señales claras de la autoridad hacia los fiscalizados, en un ámbito del derecho donde hasta ahora las sanciones habían sido prácticamente nulas.
*Oliver Ortiz. Gerente en Deloitte Legal.
[1] Corte Suprema, 10 de junio 2020, Rol N°33.187-2020
[2] Corte Suprema, 3 de junio 2015, Rol N°5.243-2015
