Comparación Ley 19.628 y Proyecto de Ley de Datos Personales
El presente cuadro comparativo tiene por objeto retratar las principales diferencias entre la Ley 19.628 y el Proyecto de Ley de Datos Personales.
| Ley 19.628 | Proyecto de Ley de Datos Personales | |
|---|---|---|
| Fuentes de licitud | Se establecen dos fuentes de licitud: i) La ley ii) El consentimiento del titular | Se establece el consentimiento como regla general, y se introducen nuevas fuentes de licitud, entre las cuales se encuentran: i) Datos relativos a obligaciones de carácter económico, financiero, bancario o comercial ii) Ejecución o el cumplimiento de una obligación legal iii) Celebración o ejecución de un contrato iv) Satisfacción de intereses legítimos del responsable o de un tercero v) Formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos |
| Principios del tratamiento | No se regulan de forma explícita y deben ser extraídos de diversas disposiciones. | Se regulan de forma explícita, entre los cuales se encuentran: i) Licitud y lealtad ii) Finalidad iii) Proporcionalidad iv) Calidad v) Responsabilidad vi) Seguridad vii) Transparencia e información viii) Confidencialidad |
| Derechos de los titulares | Establece los derechos de: i) Información ii) Modificación iii) Cancelación (o eliminación) iv) Bloqueo | Establece los derechos de: i) Acceso ii) Rectificación iii) Supresión iv) Oposición v) Oposición a decisiones automatizadas vi) Portabilidad vii) Bloqueo |
| Autoridad de control | No existe una autoridad de control. Solo se contempla un procedimiento judicial frente a vulneración de derechos de los titulares. Él control es ejercido en forma difusa por los tribunales de justicia, Consejo para la Transparencia y SERNAC. | Se crea una Agencia de Protección de Datos Personales. La Agencia contará con facultades normativas, fiscalizadoras, sancionatorias y certificadoras. |
| Deberes del responsable | No existe un título en la ley que regule los deberes u obligaciones de los responsables, pero se establecen ciertos deberes generales a través de la ley, como la obligación de guardar secreto (art. 7). | El responsable tiene una serie de obligaciones genéricas y específicas. Entre ellos se encuentran: (i) el deber de secreto o confidencialidad; (ii) el deber de información o transparencia; (iii) el deber de protección desde el diseño y por defecto; y (iv) el deber de adoptar medidas de seguridad; entre otros. |
| Transferencia internacional de datos | No se encuentra regulada. No existen restricciones respecto a las transferencias de datos personales a otros países o jurisdicciones. En consecuencia, se aplican las reglas generales. | Se regulan específicamente las transferencias internacionales. Es lícita en determinados casos y se establecen reglas para determinar la calidad de “país adecuado” para transferir datos desde Chile. |
| Seguridad de los datos | El deber de seguridad se considera implícito en la normativa en el artículo 11, que impone un deber al responsable de “cuidar de los datos con la debida diligencia”. | El Proyecto contiene las siguientes consideraciones: i) Principio de seguridad ii) Obligación de adoptar medidas de seguridad iii)Obligación de reportar y registrar vulneraciones a las medidas de seguridad iv) Obligaciones de seguridad para el mandatario en el tratamiento de datos personales |
| Infracciones y sanciones asociadas | Se establecen multas que van desde 1 a 10 UTM, o de 10 a 50 UTM si se tratare de datos de carácter financiero o bancario. No se establece un catálogo de infracciones y estas multas son determinadas por un juez de letras en lo civil. | Se establece un catálogo de infracciones (leves, graves y gravísimas), con multas que ascienden hasta las 20.000 UTM y en casos extremos, la suspensión del tratamiento por hasta 30 días. |