Contexto regulatorio actual v/s Proyecto de Ley de Datos Personales
Una de las principales críticas a la Ley 19.628 es la falta de obligaciones precisas en relación con las medidas de seguridad. En efecto, el presente cuadro es ilustrativo en cuanto a lo anterior:
| Ley 19.628 | Proyecto de Ley de Datos Personales |
|---|---|
| El deber de seguridad se considera implícito en la normativa en el artículo 11, que impone un deber al responsable de “cuidar de los datos con la debida diligencia”. | El Proyecto contiene las siguientes consideraciones: i) Principio de seguridad ii).Obligación de adoptar medidas de seguridad. iii) Obligación de reportar y registrar vulneraciones a las medidas de seguridad. iv) Obligaciones de seguridad para el mandatario en el tratamiento de datos personales. |
La Ley 19.628 no regula el principio de seguridad de forma explícita, sin embargo, puede recogerse de diversas disposiciones de este, y en especial, del artículo 11 que establece una obligación general de seguridad de datos personales, que impone al responsable el deber de cuidar de ellos con la debida diligencia y hacerse responsable de los daños[1].
A diferencia del actual marco regulatorio, el Proyecto de Ley, en su vocación de adecuar la normativa a estándares internacionales, introduce obligaciones de seguridad en el tratamiento de datos personales.
Principio de seguridad y nuevas obligaciones en materia de seguridad
El art. 3º letra f) del Proyecto de Ley define el principio de seguridad de la siguiente forma: “En el tratamiento de los datos personales, el responsable debe garantizar estándares adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado o ilícito, y contra su pérdida, filtración, daño accidental o destrucción. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la naturaleza de los datos”.
Este deber se relaciona con diversas disposiciones del Proyecto de Ley, particularmente el artículo 14 quinquies, que establece el deber de adoptar medidas de seguridad. Dicho artículo impone al responsable de datos adoptar las medidas necesarias para resguardar el cumplimiento del principio de seguridad establecido en la ley, considerando el estado actual de la técnica y los costos de aplicación, así como la naturaleza, alcance y fines del tratamiento, probabilidad de los riesgos y la gravedad de los efectos relativos al tipo de datos que esté tratando.
Así, el artículo especifica que las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos, evitando su destrucción, alteración, pérdida o algún tipo de tratamiento no autorizado.
Entre las medidas señaladas por el Proyecto de Ley se encuentran: (i) la seudonimización y el cifrado de datos personales; (ii) capacidad de garantizar la ciberseguridad de los sistemas y servicios de tratamiento, lo que incluye su confidencialidad, integridad, disponibilidad y resiliencia permanente; (iii) capacidad de restaurar la disponibilidad y acceso a los datos personales de forma rápida en caso de incidente físico o técnico; y (iv) verificar y evaluar constantemente la eficacia de las medidas técnicas de seguridad.
Deber de reportar
Además de esto, el Proyecto de Ley impone al responsable un deber de reportar a la Agencia cualquier vulneración a las medidas de seguridad.
No respetar el deber de seguridad, es decir, vulnerarlo o infringirlo, es una infracción grave bajo la nueva ley (art. 34 ter), y haber puesto en riesgo la seguridad de los derechos de los titulares es considerada un agravante al momento de considerar la multa por las infracciones (art. 36 letra c).
[1] BENUSSI DÍAZ, C. 2020. Obligaciones de seguridad en el tratamiento de datos personales en Chile: escenario actual y desafíos regulatorios pendientes. Revista Chilena de Derecho y Tecnología, 9(1), 227–279. https://doi.org/10.5354/0719-2584.2020.56660