Comparación Ley 19.628 y Nueva Ley de Datos Personales
El presente cuadro comparativo tiene por objeto retratar las principales diferencias entre la Ley 19.628 y la nueva Ley de Datos Personales.
| Ley 19.628 | Nueva Ley de Datos Personales | |
|---|---|---|
| Fuentes de licitud | Se establecen dos fuentes de licitud: 1) La ley 2) El consentimiento del titular | Se establece el consentimiento como regla general, y se introducen nuevas fuentes de licitud, entre las cuales se encuentran: 1) Datos relativos a obligaciones de carácter económico, financiero, bancario o comercial 2) Ejecución o el cumplimiento de una obligación legal 3) Celebración o ejecución de un contrato 4) Satisfacción de intereses legítimos del responsable o de un tercero 5) Formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos |
| Principios del tratamiento | No se regulan de forma explícita y deben ser extraídos de diversas disposiciones. | Se regulan de forma explícita, entre los cuales se encuentran: 1) Licitud y lealtad 2) Finalidad 3) Proporcionalidad 4) Calidad 5) Responsabilidad 6) Seguridad 7) Transparencia e información 8) Confidencialidad |
| Derechos de los titulares | Establece los derechos de: 1) Información 2) Modificación 3) Cancelación (o eliminación) 4) Bloqueo | Establece los derechos de: 1) Acceso 2) Rectificación 3) Supresión 4) Oposición 5) Oposición a decisiones automatizadas 6) Portabilidad 7) Bloqueo |
| Autoridad de control | No existe una autoridad de control. Solo se contempla un procedimiento judicial frente a vulneración de derechos de los titulares. El control es ejercido en forma difusa por los tribunales de justicia, Consejo para la Transparencia y SERNAC. | Se crea una Agencia de Protección de Datos Personales. La Agencia contara con facultades normativas, fiscalizadoras, sancionatorias y certificadoras. |
| Deberes del responsable | No existe un título en la ley que regule los deberes u obligaciones de los responsables, pero se establecen ciertos deberes generales a través de la ley, como la obligación de guardar secreto (art. 7). | El responsable tiene una serie de obligaciones genéricas y específicas. Entre ellos se encuentran: (i) el deber de secreto o confidencialidad; (ii) el deber de información o transparencia; (iii) el deber de protección desde el diseño y por defecto; y (iv) el deber de adoptar medidas de seguridad; entre otros. |
| Transferencia internacional de datos | No se encuentra regulada. No existen restricciones respecto a las transferencias de datos personales a otros países o jurisdicciones. En consecuencia, se aplican las reglas generales. | Se regulan específicamente las transferencias internacionales. Es lícita en determinados casos y se establecen reglas para determinar la calidad de “país adecuado” para transferir datos desde Chile. |
| Seguridad de los datos | El deber de seguridad se considera implícito en la normativa en el artículo 11, que impone un deber al responsable de “cuidar de los datos con la debida diligencia”. | La Nueva Ley de Datos Personales contiene las siguientes consideraciones: 1) Principio de seguridad 2) Obligación de adoptar medidas de seguridad 3) Obligación de reportar y registrar vulneraciones a las medidas de seguridad 4) Obligaciones de seguridad para el mandatario en el tratamiento de datos personales |
| Infracciones y sanciones asociadas | Se establecen multas que van desde 1 a 10 UTM, o de 10 a 50 UTM si se tratare de datos de carácter financiero o bancario. No se establece un catálogo de infracciones y estas multas son determinadas por un juez de letras en lo civil. | Se establece un catálogo de infracciones (leves, graves y gravísimas), con multas que ascienden hasta las 20.000 UTM y en casos extremos, la suspensión del tratamiento por hasta 30 días. |