Las infracciones bajo el Proyecto de Ley de Protección de Datos

Contexto regulatorio actual v/s Proyecto de Ley de Datos Personales

La nueva normativa supondrá un cambio de paradigma con respecto al nivel de exigencia efectiva de las obligaciones legales relacionadas con datos personales. A continuación, se presenta un breve cuadro comparativo con las principales novedades y el impacto que tendrá la nueva regulación:

Ley 19.628	Proyecto de Ley de Datos Personales
i) Multa de 1 a 10 UTM, o de 10 a 50 UTM si se tratare de datos de carácter financiero o bancario. ii) No se establece un catálogo de infracciones. iii) Multa determinada por un juez de letras en lo civil.	i) Se establece un catálogo de infracciones, clasificándolas en leves, graves y gravísimas. ii) Las sanciones van desde amonestación escrita hasta un máximo de 20.000 UTM. iii) Se establecen circunstancias atenuantes y agravantes de responsabilidad. iv) Existen diversos criterios que la Agencia deberá aplicar prudencialmente a la hora de determinar el monto de la multa. v) Se establecen sanciones accesorias en caso de infracciones gravísimas reiteradas. vi) Se crea un Registro Nacional de Sanciones y Cumplimiento.

Ley 19.628

Proyecto de Ley de Datos Personales

i) Multa de 1 a 10 UTM, o de 10 a 50 UTM si se tratare de datos de carácter financiero o bancario.
ii) No se establece un catálogo de infracciones.
iii) Multa determinada por un juez de letras en lo civil.

i) Se establece un catálogo de infracciones, clasificándolas en leves, graves y gravísimas.
ii) Las sanciones van desde amonestación escrita hasta un máximo de 20.000 UTM.
iii) Se establecen circunstancias atenuantes y agravantes de responsabilidad.
iv) Existen diversos criterios que la Agencia deberá aplicar prudencialmente a la hora de determinar el monto de la multa.
v) Se establecen sanciones accesorias en caso de infracciones gravísimas reiteradas.
vi) Se crea un Registro Nacional de Sanciones y Cumplimiento.

Infracciones del Proyecto de Ley de Datos Personales

Uno de los cambios más importantes del Proyecto de Ley de Protección de Datos Personales es la reestructuración completa del sistema de infracciones y de la forma en que las impondrá la futura autoridad de control, esto es, la Agencia.

Bajo el Proyecto de Ley, existen tres categorías de infracciones:

Infracciones leves
Infracciones graves
Infracciones gravísimas

De forma ilustrativa, conductas tales como incumplir total parcialmente con el deber de información de trasparencia, omitir la respuesta a las solicitudes formuladas por el titular de datos en conformidad a la ley, carecer de individualización de domicilio postal, correo o medio electrónicos equivalente que permita comunicarse con el responsable, entre otros, son consideradas infracciones leves (artículo 34 bis).

Por otra parte, tratar datos personales sin contar con el consentimiento del titular de datos o sin un antecedente o fundamento legal que otorgue licitud al tratamiento, comunicar o ceder datos sin el consentimiento del titular, entre otras, son conductas que configuran infracciones graves (art. 34 ter).

Finalmente, son infracciones gravísimas conductas tales como efectuar tratamiento de datos personales de datos personales en forma fraudulenta, destinar maliciosamente los datos a una finalidad distinta de la consentida por el titular o prevista en la ley que autoriza su tratamiento, realizar a sabiendas operaciones de transferencia internacional de datos en contravención a las normas previstas en la ley, entre otras (art 34 quáter).

Sanciones

En este orden de ideas, las infracciones leves se sancionan con una amonestación escrita o multa de hasta 100 UTM.
Por su parte, las infracciones graves se sancionarán con una multa de hasta 5000 UTM o, en el caso de las empresas, una multa que sea el equivalente de hasta el 2% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de hasta 10.000 UTM.
Por último, las infracciones gravísimas se sancionan con una multa de hasta 10.000 UTM o, en caso de las empresas, una multa equivalente de hasta el 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 20.000 UTM.

Determinación del monto de las multas

Mientras que en la actual Ley 19.628 las sanciones podían ascender hasta un máximo de 10 UTM o 50 UTM (dependiendo de si correspondían a datos de carácter económico), en el caso del Proyecto de Ley, la determinación del monto de la multa dependerá, entre otros, de los siguientes factores: (i) gravedad de la conducta; (ii) de las circunstancias atenuantes o agravantes de la responsabilidad que concurran frente a la conducta sancionada; (iii) número de titulares afectados; (iv) capacidad económica del infractor; etc.

Sanciones accesorias

La Agencia estará facultada para imponer, como sanción accesoria a las multas, la suspensión de las operaciones y actividades de tratamiento de datos que realiza el responsable, hasta por un término de 30 días, prorrogables si el responsable no adopta las medidas necesarias a las exigencias dispuestas por la Agencia.