¿Cuáles son las infracciones y sanciones de la nueva ley de protección de datos? ¿Cómo se gradúan las infracciones y sanciones, y cómo se determinan los montos de las multas? ¿A qué sanciones se expone tu organización de no cumplir con la nueva regulación de datos personales?
Entérate de qué forma la nueva ley de Datos Personales establece estas infracciones y qué sanciones traen aparejadas.
Ley 19,628 v/s Nueva Ley de Datos Personales
La nueva normativa supondrá un cambio de paradigma con respecto al nivel de exigencia efectiva de las obligaciones legales relacionadas con datos personales. A continuación, se presenta un breve cuadro comparativo con las principales novedades y el impacto que tendrá la nueva regulación:
| Ley 19.628 | Proyecto de Ley de Datos Personales |
|---|---|
| 1) Multa de 1 a 10 UTM, o de 10 a 50 UTM si se tratare de datos de carácter financiero o bancario. 2) No se establece un catálogo de infracciones. 3) Multa determinada por un juez de letras en lo civil. | 1) Se establece un catálogo de infracciones, clasificándolas en leves, graves y gravísimas. 2) Las sanciones van desde amonestación escrita hasta un máximo de 20.000 UTM. 3) Se establecen circunstancias atenuantes y agravantes de responsabilidad. 4) Existen diversos criterios que la Agencia deberá aplicar prudencialmente a la hora de determinar el monto de la multa. 5) Se establecen sanciones accesorias en caso de infracciones gravísimas reiteradas. 6) Se crea un Registro Nacional de Sanciones y Cumplimiento. |
Infracciones del Proyecto de Ley de Datos Personales
Uno de los cambios más importantes de la nueva Ley de Protección de Datos Personales es la reestructuración completa del sistema de infracciones y de la forma en que las impondrá la futura autoridad de control, esto es, la Agencia.
Bajo la nueva, existen tres categorías de infracciones:
- Infracciones leves
- Infracciones graves
- Infracciones gravísimas
De forma ilustrativa, conductas tales como incumplir total o parcialmente con el deber de información de trasparencia, omitir la respuesta a las solicitudes formuladas por el titular de datos en conformidad a la ley, carecer de individualización de domicilio postal, correo o medio electrónicos equivalente que permita comunicarse con el responsable, entre otros, son consideradas infracciones leves (artículo 34 bis).
Por otra parte, tratar datos personales sin contar con el consentimiento del titular de datos o sin un antecedente o fundamento legal que otorgue licitud al tratamiento, comunicar o ceder datos sin el consentimiento del titular, entre otras, son conductas que configuran infracciones graves (art. 34 ter).
Finalmente, son infracciones gravísimas conductas tales como efectuar tratamiento de datos personales de datos personales en forma fraudulenta, destinar maliciosamente los datos a una finalidad distinta de la consentida por el titular o prevista en la ley que autoriza su tratamiento, realizar a sabiendas operaciones de transferencia internacional de datos en contravención a las normas previstas en la ley, entre otras (art 34 quáter).
Sanciones
- En este orden de ideas, las infracciones leves se sancionan con una amonestación escrita o multa de hasta 5.000UTM.
- Por su parte, las infracciones graves se sancionarán con una multa de hasta 10.000 UTM.
- Por último, las infracciones gravísimas se sancionan con una multa de hasta 20.000 UTM.
La nueva ley dispone que la Agencia señalará las medidas para subsanar las causales que motivaron la sanción y que, si no se adoptan en 60 días, se impondrá un recargo del 50 % a la multa cursada, sin perjuicio de lo señalado respecto a los modelos de prevención de infracciones.
Asimismo, en caso de reincidencia, la Agencia podrá aplicar una multa de hasta tres veces el monto asignado a la infracción cometida. Salvo en el caso de las empresas de menor tamaño, si una empresa reincide en una infracción grave o gravísima, la multa podrá alcanzar a la más gravosa entre las siguientes: (i) una multa de hasta tres veces el monto asignado a la infracción cometida, o (ii) hasta el monto correspondiente al 2% o 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, según se trate de infracciones graves o gravísimas, respectivamente.
Determinación del monto de las multas
Mientras que en la actual Ley 19.628 las sanciones podían ascender hasta un máximo de 10 UTM o 50 UTM (dependiendo de si correspondían a datos de carácter económico), en el caso del de la nueva ley, la determinación del monto de la multa dependerá, entre otros, de los siguientes factores: (i) gravedad de la conducta; (ii) de las circunstancias atenuantes o agravantes de la responsabilidad que concurran frente a la conducta sancionada; (iii) número de titulares afectados; (iv) capacidad económica del infractor; etc.
Sanciones accesorias
La Agencia estará facultada para imponer, como sanción accesoria a las multas, la suspensión de las operaciones y actividades de tratamiento de datos que realiza el responsable, hasta por un término de 30 días, prorrogables si el responsable no adopta las medidas necesarias a las exigencias dispuestas por la Agencia.