¿Qué es exactamente la Evaluación de Impacto en Protección de Datos en Chile (EIPD)?
Es un proceso fundamental ligado a los principios de protección de datos desde el diseño y por defecto. Está concebido para describir de manera anticipada y preventiva un tratamiento de datos personales, evaluar su necesidad y proporcionalidad, y gestionar los riesgos para los derechos y libertades de los titulares.
En términos sencillos, es un análisis de riesgo previo que le permite a su empresa identificar y evaluar posibles amenazas, para luego establecer las medidas de mitigación tecnológicas y organizativas necesarias que reduzcan esos riesgos a un nivel aceptable.
Obligatoriedad y Plazos de la EIPD bajo la Ley 21.719
¿Es obligatorio realizar esta evaluación?
No para todas las empresa, sin embargo, el artículo 15 ter de la Ley 21.719 establece que el responsable del tratamiento deberá realizarla cuando sea probable que un tipo de tratamiento —por su naturaleza, alcance, contexto, tecnología utilizada o fines— pueda producir un alto riesgo para los derechos de los titulares de los datos.
¿Cuándo debe ejecutarse?
La regla de oro de la EIPD es la prevención. La ley exige expresamente que esta evaluación debe realizarse de manera previa al inicio de las operaciones del tratamiento de datos. No tiene validez legal implementar un nuevo software o lanzar una nueva aplicación y evaluar los riesgos a posteriori; el análisis debe estar completamente integrado antes de que los datos comiencen a procesarse.
¿Qué actividades o empresas exigen siempre una EIPD?
Más que depender del tamaño o facturación de su empresa, la obligación recae sobre el tipo de actividad y el nivel de riesgo en el manejo de la información. La legislación chilena establece que la evaluación de impacto se requerirá obligatoriamente en los siguientes escenarios:
1. Elaboración de perfiles (Profiling): Cuando realice una evaluación sistemática y exhaustiva de aspectos personales basada en tratamientos automatizados que produzcan efectos jurídicos o significativos en las personas.
2. Tratamiento a gran escala (Big Data): Cuando su empresa realice un procesamiento masivo de datos personales.
3. Videovigilancia (CCTV): Cuando el tratamiento implique la observación o el monitoreo sistemático y a gran escala de una zona de acceso público.
4. Datos médicos o biométricos: Cuando trate datos sensibles y especialmente protegidos amparándose en alguna de las hipótesis de excepción del consentimiento explícito.
Nota: Para facilitar esta labor, la nueva Agencia de Protección de Datos Personales publicará una lista orientativa oficial con los tipos de operaciones que requerirán o no esta evaluación, además de entregar directrices mínimas para su correcta ejecución.
Multas y Consecuencias: ¿Qué ocurre si no se realiza la EIPD?
Omitir este análisis puede acarrear sanciones. La ley cataloga el incumplimiento de la obligación de realizar la Evaluación de Impacto (artículo 15 ter) como una infracción gravísima.
Para dimensionar el riesgo financiero corporativo, las infracciones gravísimas bajo la Ley 21.719 pueden ser sancionadas por la Agencia con multas altísimas que alcanzan hasta las 20.000 Unidades Tributarias Mensuales (UTM), lo que podría comprometer severamente la viabilidad de su negocio.
¿Qué hacer si el nivel de riesgo de la EIPD se mantiene alto?
Si tras realizar el análisis exhaustivo y aplicar todas las medidas de mitigación posibles el resultado demuestra que el tratamiento sigue presentando un riesgo residual alto, la ley le otorga una vía de seguridad institucional: los responsables podrán (y deberán) consultar formalmente a la Agencia de Protección de Datos Personales. Esto tiene el propósito de obtener recomendaciones directas y vinculantes por parte de la autoridad fiscalizadora antes de iniciar el proyecto.
Ejemplos Prácticos: ¿Cuándo es obligatorio realizar una EIPD?
Para aterrizar estos conceptos legales a la realidad operativa de su negocio, a continuación detallamos cuatro escenarios comunes donde la ejecución de una Evaluación de Impacto en Protección de Datos (EIPD) es ineludible bajo la Ley 21.719:
1. Instalación de cámaras de seguridad (Monitoreo de Espacios Públicos)
Si administra un centro comercial, una cadena de supermercados o cualquier negocio abierto al público y decide instalar un circuito cerrado de televisión (CCTV) avanzado —ya sea por motivos de seguridad o para analizar el flujo y comportamiento de sus compradores en tiempo real—, debe detenerse y evaluar el riesgo primero.
La nueva normativa establece expresamente que la EIPD se requerirá siempre que el tratamiento implique la observación o el monitoreo sistemático a gran escala de una zona de acceso público.
2. Control de acceso mediante biometría (Huella Dactilar o Reconocimiento Facial)
Supongamos que administra una cadena de gimnasios, una clínica o incluso las oficinas de su propia empresa, y decide modernizar la entrada reemplazando las tarjetas físicas por torniquetes con lectura de huella dactilar o cámaras de reconocimiento facial para sus clientes o trabajadores.
Los datos biométricos son considerados «datos sensibles» por la ley, debido a que identifican de manera unívoca a una persona y no pueden cambiarse (como una contraseña) si son robados. La aplicación de esta nueva tecnología exige imperativamente medir su proporcionalidad y sus altos riesgos de ciberseguridad mediante una EIPD, antes de recolectar la primera huella.
3. Interconexión masiva de datos médicos (Big Data en Salud)
Si su empresa tecnológica desarrolla una plataforma o aplicación móvil para una red de clínicas u hospitales que busca centralizar, almacenar en la nube y analizar miles de fichas clínicas electrónicas de pacientes, se encuentra ante un escenario crítico.
Dado que estaría ejecutando un «tratamiento masivo de datos o a gran escala» (Big Data) y, además, involucra categorías especiales de datos de salud sumamente confidenciales, es mandatorio realizar una evaluación de impacto. Esto le permitirá identificar vulnerabilidades técnicas, encriptar la información y mitigar el riesgo catastrófico que tendría una filtración o un hackeo de estos antecedentes médicos.
4. Desarrollo de plataformas o aplicaciones dirigidas a menores de edad
Si lanza al mercado un software educativo o una aplicación recreativa que recopila datos de niños, niñas y adolescentes —como su ubicación, su rendimiento escolar o sus preferencias—, debe aplicar un estándar superior.
La ley clasifica a los menores como personas vulnerables que requieren una protección especial y reforzada. Cualquier tratamiento innovador que implique perfilar, rastrear o almacenar grandes volúmenes de información de menores de edad requiere una EIPD obligatoria para garantizar que el sistema fue diseñado respetando su autonomía progresiva y su interés superior.
El Riesgo Corporativo: En todos estos escenarios, si su empresa no documenta y ejecuta esta evaluación preventiva, se expone directamente a que la nueva Agencia de Protección de Datos Personales califique el hecho como una infracción gravísima, exponiendo a su negocio a multas que pueden alcanzar las 20.000 UTM.
Adoptar la EIPD como una práctica estándar en su empresa no solo evitará multas millonarias, sino que le permitirá identificar ineficiencias operativas, prevenir brechas de ciberseguridad y generar un activo invaluable en la economía digital: la confianza absoluta de sus clientes.
También te puede interesar:
¿Qué es la Base de Licitud?
Deja una respuesta