Uno de los principios más importantes de la nueva ley de protección de datos es el principio de seguridad, pero ¿cómo se expresa este principio en la nueva ley, y cómo se compara con la ley 19.628?
Ley 19.628 v/s Nueva Ley de Datos Personales
Una de las principales críticas a la Ley 19.628 es la falta de obligaciones precisas en relación con las medidas de seguridad. En efecto, el presente cuadro es ilustrativo en cuanto a lo anterior:
| Ley 19.628 | Nueva Ley de Datos Personales |
|---|---|
| El deber de seguridad se considera implícito en la normativa en el artículo 11, que impone un deber al responsable de “cuidar de los datos con la debida diligencia”. | La nueva ley contiene las siguientes consideraciones: 1) Principio de seguridad. 2) Obligación de adoptar medidas de seguridad. 3) Obligación de reportar y registrar vulneraciones a las medidas de seguridad. 4) Obligaciones de seguridad para el mandatario en el tratamiento de datos personales. |
La Ley 19.628 no regulaba el principio de seguridad de forma explícita, sin embargo, puede recogerse de diversas disposiciones de este, y en especial, del artículo 11 que establece una obligación general de seguridad de datos personales, que impone al responsable el deber de cuidar de ellos con la debida diligencia y hacerse responsable de los daños[1].
A diferencia del marco regulatorio anterior, la nueva ley, en su vocación de adecuar la normativa a estándares internacionales, introduce obligaciones de seguridad en el tratamiento de datos personales.
Principio de seguridad y nuevas obligaciones en materia de seguridad
El art. 3º letra f) de la nueva ley define el principio de seguridad de la siguiente forma: “En el tratamiento de los datos personales, el responsable debe garantizar estándares adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado o ilícito, y contra su pérdida, filtración, daño accidental o destrucción. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la naturaleza de los datos”.
Este deber se relaciona con diversas disposiciones de la nueva ley, particularmente el artículo 14 quinquies, que establece el deber de adoptar medidas de seguridad. Dicho artículo impone al responsable de datos adoptar las medidas necesarias para resguardar el cumplimiento del principio de seguridad establecido en la ley, considerando el estado actual de la técnica y los costos de aplicación, así como la naturaleza, alcance y fines del tratamiento, probabilidad de los riesgos y la gravedad de los efectos relativos al tipo de datos que esté tratando.
Así, el artículo especifica que las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos, evitando su destrucción, alteración, pérdida o algún tipo de tratamiento no autorizado.
Entre las medidas señaladas por la nueva ley se encuentran: (i) la seudonimización y el cifrado de datos personales; (ii) capacidad de garantizar la ciberseguridad de los sistemas y servicios de tratamiento, lo que incluye su confidencialidad, integridad, disponibilidad y resiliencia permanente; (iii) capacidad de restaurar la disponibilidad y acceso a los datos personales de forma rápida en caso de incidente físico o técnico; y (iv) verificar y evaluar constantemente la eficacia de las medidas técnicas de seguridad.
Deber de reportar
Además de esto, la nueva ley impone al responsable un deber de reportar a la Agencia cualquier vulneración a las medidas de seguridad.
No respetar el deber de seguridad, es decir, vulnerarlo o infringirlo, es una infracción grave bajo la nueva ley (art. 34 ter), y haber puesto en riesgo la seguridad de los derechos de los titulares es considerada un agravante al momento de considerar la multa por las infracciones (art. 36 letra c).
[1] Obligaciones de seguridad en el tratamiento de datos personales en Chile: escenario actual y desafíos regulatorios pendientes. Revista Chilena de Derecho y Tecnología, 9(1), 227–279. https://doi.org/10.5354/0719-2584.2020.56660