Contexto regulatorio actual v/s Proyecto de Ley de Datos Personales
La Ley 19.628 no establece su ámbito de aplicación territorial de forma explícita. Sin embargo, considerando que su aplicación es general de acuerdo con su artículo primero (“el tratamiento de los datos de carácter personal en registros o bancos de datos por organismos públicos o por particulares se sujetará a las disposiciones de esta ley”), y teniendo en cuenta lo dispuesto por el artículo 14 del Código Civil, que establece de forma general y supletoria el principio de territorialidad de las disposiciones legales en nuestro país, es posible desprender que este principio es aplicable para nuestra Ley N°19.628 de forma implícita. De esta forma, nuestra actual ley se aplicaría a cualquier tratamiento de datos personales que se lleve a cabo en Chile, con independencia de la residencia, ciudadanía o ubicación física del titular de los datos, y no sería aplicable al tratamiento realizado en el extranjero. Si al menos una parte del tratamiento tiene lugar en Chile (por ejemplo, la recopilación inicial de los datos), entonces nuestra ley sería aplicable.
En cambio, el proyecto de ley viene a regular expresamente el ámbito de su aplicación territorial.
El siguiente recuadro ilustra el cambio que se introduce en esta materia con el proyecto:
Ley 19.628 | Proyecto de Ley de Datos Personales |
---|---|
No se establece de forma explícita, pero se desprende del artículo 1 y del art. 14 del Código Civil. | Disposiciones de la ley tienen aplicación territorial, dependiendo de circunstancias determinadas, entre ellas (i) cuando el responsable está establecido en territorio nacional, (ii) cuando las operaciones afectan a titulares que se encuentran en Chile, (iii) cuando se realizan en nombre de responsables establecidas en chile o (iv) en virtud de un contrato o del derecho internacional. |
Aplicación territorial del Proyecto de Ley de Datos Personales
El proyecto de ley de protección de datos regula su ámbito de aplicación territorial, estableciendo, al igual que el Reglamento de Protección de Datos de la Unión Europea, que en algunos casos sus disposiciones tendrán aplicación extraterritorial:
- Cuando el responsable o mandatario esté establecido o constituido en territorio nacional.
- Cuando el mandatario, con independencia de su lugar de establecimiento o constitución, realice las operaciones de tratamiento de datos personales a nombre de un responsable establecido o constituido en territorio nacional.
- Cuando el responsable o mandatario no se encuentren establecidos en el territorio nacional, pero sus operaciones de tratamiento de datos personales estén destinadas: (i) a ofrecer bienes o servicios a titulares que se encuentren en Chile, independientemente de si a éstos se les requiere un pago; o (ii) a monitorear el comportamiento de titulares que se encuentran en territorio nacional, incluyendo su análisis, rastreo, perfilamiento o predicción de comportamiento.
Además, se señala que la ley también se aplicará al tratamiento de datos personales que sea realizado por un responsable que, si bien no esté establecido en territorio nacional, le resulte aplicable la legislación nacional a causa de un contrato o del derecho internacional.