LegalDatos

Categoría: Temas generales

  • Datos Personales Sensibles

    Datos Personales Sensibles

    Datos Sensibles: El «Campo Minado» de la Nueva Ley 21.719

    Si los datos personales son el «petróleo», los datos sensibles son material radiactivo. Descubre por qué su mal manejo puede destruir la reputación y finanzas de tu empresa.

    Si los datos personales son el «petróleo» de la economía digital, los datos sensibles son material radiactivo: tienen un valor inmenso, pero si no los manejas con protocolos de seguridad extremos, pueden destruir la reputación y las finanzas de tu empresa.

    Como empresario, es vital que identifiques si estás tratando esta categoría de datos, porque la Ley 21.719 impone las restricciones más severas y las multas más altas por su mal uso.

    1. ¿Qué son los Datos Sensibles? (La lista creció)

    Bajo la antigua ley, la definición era acotada. La nueva normativa amplía el concepto drásticamente. Un dato sensible es aquel que se refiere a las características físicas o morales de las personas o a hechos de su vida privada e intimidad. La nueva lista incluye:

    • NUEVO
      Datos Biométricos: Huella digital, reconocimiento facial (rostro), iris, voz o cualquier rasgo físico/conductual que permita la identificación única.
    • NUEVO
      Situación Socioeconómica: Información que revele el estado económico. Impacta directamente a empresas que perfilan clientes por ingresos o capacidad de pago.
    • Salud y Perfil Biológico: Historiales médicos, recetas, licencias, datos genéticos.
    • Origen étnico o racial, afiliación política/sindical, convicciones religiosas y vida sexual.

    2. La Regla de Oro: Consentimiento Expreso

    Aquí radica el cambio más fuerte. Para un dato normal, el consentimiento puede ser inequívoco. Pero para un dato sensible, la ley exige Consentimiento Expreso.

    No sirve un «visto bueno» tácito o una casilla pre-marcada. Debe ser una declaración donde el titular diga explícitamente: «SÍ, autorizo el tratamiento de este dato sensible para esta finalidad específica».

    3. Casos Críticos en la Empresa

    👆 El Reloj Control con Huella

    Estás tratando un dato sensible biométrico. Requiere consentimiento expreso y una Evaluación de Impacto (EIPD) previa, pues es una actividad de alto riesgo.

    🏥 Las Licencias Médicas en RR.HH.

    Son datos de salud. Solo pueden usarse para gestión de beneficios o cumplimiento legal, con medidas de seguridad reforzadas.

    📊 Evaluación de Riesgo Comercial

    Si perfilas clientes por su situación socioeconómica, estás tratando datos sensibles y necesitas una base legal sólida.

    4. ¿Cuándo puedo usarlos sin pedir permiso?

    La ley permite excepciones muy específicas:

    • Cuando la ley lo mandata expresamente.
    • Para salvaguardar la vida o salud (emergencias).
    • Para la defensa de un derecho en juicio.
    • Para determinar beneficios de salud o laborales (seguridad social).

    ⚠️ Advertencia Final: Infracción Gravísima

    Tratar datos sensibles indebidamente (sin consentimiento expreso o desviando su finalidad) se clasifica como Infracción Gravísima.

    • • Multas de hasta 20.000 UTM (aprox. $1.300 millones).
    • • Reincidencia en grandes empresas: hasta el 4% de ingresos anuales.
  • El responsable de datos

    El responsable de datos

    ¿Qué significa ser «Responsable de Datos» hoy?

    Bajo la Ley 21.719, este es el concepto más importante que debes entender. Ya no basta con no hacer mal uso de la información; ahora debes demostrar activamente que la cuidas.

    Si tu empresa recolecta información de personas (clientes, trabajadores, proveedores), la ley te asigna automáticamente el rol de Responsable de Datos. En términos simples, eres quien decide el «por qué» y el «cómo» se usan esos datos.

    🚫 La responsabilidad no se delega

    Aunque contrates a una agencia de marketing o una empresa de software para procesar esa información (ellos son los «Encargados»), tú sigues siendo el Responsable legal ante la Agencia de Protección de Datos. Si ellos se equivocan, la multa principal es para ti.

    Tus Principales Obligaciones: El Decálogo del Cumplimiento

    La Ley 21.719 establece un catálogo de deberes proactivos. Estas son las 8 obligaciones críticas que debes implementar:

    1 Principio de Licitud (Probar que es legal)

    No puedes tratar datos «porque sí». Debes acreditar una base legal válida: consentimiento expreso, obligación legal o ejecución de un contrato.

    2 Deber de Transparencia (Art. 14 ter)

    Se acabó la «letra chica». Debes publicar una política de privacidad clara que informe:

    • Quién eres (identificación).
    • Qué datos recolectas y para qué.
    • Por cuánto tiempo los guardarás.
    • Cómo ejercer derechos.

    3 Deber de Secreto (Art. 14 bis)

    Tú y tus empleados están obligados a la confidencialidad, incluso tras terminar la relación laboral. Debes establecer controles de acceso internos.

    4 Seguridad y Ciberseguridad

    No existe una medida única, pero la ley obliga a aplicar seguridad técnica (cifrado, firewalls) acorde al riesgo y volumen de datos que manejas.

    5 Reportar Hackeos o Fugas

    Si sufres un incidente de seguridad, tienes la obligación legal de reportarlo a la Agencia «sin dilaciones indebidas». Si afecta datos sensibles, también debes avisar a los afectados.

    6 Privacidad desde el Diseño

    Tus sistemas deben estar configurados para recolectar, por defecto, solo los datos estrictamente necesarios (minimización).

    7 Evaluaciones de Impacto (EIPD)

    Si harás un tratamiento de alto riesgo (biometría, perfiles masivos), debes realizar obligatoriamente un estudio técnico de riesgos previo.

    8 Responder a Derechos ARCOP

    Debes tener un canal expedito para que las personas ejerzan sus derechos. Tienes plazos estrictos (30 días) para responder.

    ¿Por qué esto es vital para tu negocio?

    El incumplimiento de estas obligaciones no es una falta administrativa menor. Bajo el Principio de Responsabilidad, tú debes indemnizar cualquier daño causado a los titulares.

    Te expones a multas gravísimas que pueden llegar a las 20.000 UTM.

  • Compliance de Datos o Data compliance

    Compliance de Datos o Data compliance

    ¿Qué es el Compliance de Datos? Más allá de la Ciberseguridad

    Si eres empresario, probablemente ya inviertes en antivirus y firewalls. Sin embargo, con la Ley 21.719, eso ya no es suficiente.

    Hoy, el desafío no es solo que no te roben la información, sino demostrar que usas los datos de manera legal y ética. Aquí es donde entra el Compliance de Datos.

    No es un software que instalas; es una nueva forma de operar tu empresa para evitar multas millonarias y ganar la confianza de tus clientes.

    1. ¿Qué es exactamente?

    Muchas organizaciones confunden protección de datos con ciberseguridad. La ciberseguridad es el blindaje técnico para que no te hackeen. El Compliance de Datos es la estructura legal que garantiza que el uso que haces de esa información cumple con la ley.

    «La ciberseguridad cierra la puerta con llave; el Compliance asegura que lo que haces dentro de la casa es legal.»

    Bajo la nueva ley, esto se materializa en el Modelo de Prevención de Infracciones (MPI), un sistema organizado de gestión para prevenir delitos contra la privacidad.

    2. Los 3 Pilares de un Buen Compliance

    Para que este sistema sea reconocido por la autoridad, tu modelo debe tener «vida» y contar con al menos:

    • El «Capitán» (DPD) Es el Delegado de Protección de Datos. Encargado de supervisar que todo funcione. En PyMEs puede ser el dueño, pero en grandes empresas requiere un perfil técnico.
    • Mapa de Riesgos Identificar qué actividades (ej: ventas online, control biométrico) generan peligro. No puedes proteger lo que no sabes que es peligroso.
    • Protocolos y Canales Reglas claras y un sistema de denuncia (anónimo) para que tus empleados reporten errores antes de que escalen a una denuncia externa.

    3. El Incentivo Económico

    La Ley 21.719 trae incentivos inteligentes. Las multas pueden llegar a 20.000 UTM. Sin embargo, contar con un Modelo de Prevención certificado actúa como una circunstancia atenuante.

    Si cometes un error, tener este modelo le dice a la Agencia: «Hice todo lo posible por cumplir, fue un accidente, no negligencia». Esto reduce drásticamente la multa.

    4. Certificación y Responsabilidad

    Para ser válido, el modelo debe ser certificado por la Agencia (vigencia de 3 años). Esto te coloca en el Registro Nacional de Cumplimiento, mejorando tu reputación frente a bancos y clientes.

    El Compliance te obliga a pasar de una actitud reactiva a una Responsabilidad Proactiva: acreditar en todo momento que tus datos son lícitos y seguros desde el diseño.

    Conclusión

    El Compliance de Datos no es burocracia; es la licencia para operar en la economía digital moderna. Las empresas que se adapten rápido tendrán una ventaja competitiva al proyectar confianza.

  • El Fin de los Rutificadores

    El Fin de los Rutificadores

    ¿Qué pasará con los «Rutificadores» y las Bases de Datos Públicas en 2026?

    Durante décadas operaron bajo la lógica de «si está en internet, es de todos». Con la Ley 21.719, este modelo de negocio enfrenta su extinción legal.

    Durante décadas, en Chile operó una lógica permisiva: «Si el dato está en internet o en un registro público, es de todos». Bajo esta premisa, florecieron sitios web conocidos como «Rutificadores» (NombreRutYFirma, Rutificador.cl, entre otros), que permiten a cualquiera buscar el RUT, la dirección y hasta la situación electoral de una persona con un clic.

    A partir de diciembre de 2026, con la plena vigencia de la Ley 21.719, este modelo de negocio quedará en una posición de ilegalidad estructural. Aquí te explicamos por qué y, lo más importante, cómo esto afecta a tu empresa si usas estos servicios.

    1. Lo «Público» ya no es «Libre»

    El cambio más disruptivo de la nueva ley es la eliminación de las fuentes de acceso público como una base de licitud autónoma para tratar datos.

    Antes Bastaba con decir que el dato se sacó de una «fuente accesible al público» (como el padrón del SERVEL o el Diario Oficial) para poder recolectarlo, publicarlo y lucrar con él sin pedir permiso.
    Ahora El artículo 2° letra i) establece que «El tratamiento de datos provenientes de fuentes de acceso público se someterá a las disposiciones de esta ley». Aunque el dato sea público, necesitas una base legal adicional (consentimiento o interés legítimo) para procesarlo.

    2. El Caso de los «Rutificadores»: Un Negocio en Jaque

    Los sitios «buscapersonas» operan extrayendo masivamente (scraping) información del SERVEL, quien la publica por transparencia electoral. Bajo la nueva ley, estos sitios enfrentan tres barreras insalvables:

    A Violación al Principio de Finalidad (Art. 3 letra b)

    El dato del domicilio en el SERVEL tiene una finalidad electoral (votar). Cuando un Rutificador lo publica para que un tercero averigüe dónde vive una persona por curiosidad o cobranza, está desviando la finalidad original.

    B Falta de Base de Licitud (Art. 13)

    Sin la «fuente pública» como excusa, necesitarían consentimiento (¿le han pedido permiso a 15 millones de chilenos?) o Interés Legítimo, el cual difícilmente prevalece sobre el derecho a la privacidad de los domicilios particulares.

    C El Nuevo Derecho de Oposición (Art. 8)

    Cualquier ciudadano podrá exigir al Rutificador que elimine sus datos. Si el sitio no lo hace, la Agencia de Protección de Datos podrá ordenar el bloqueo del sitio y multas.

    3. Las Sanciones: ¿Por qué desaparecerán?

    Operar un sitio de estas características sin base legal constituirá una Infracción Grave o Gravísima.

    20.000 UTM Pueden alcanzar las multas (más de $1.300 millones), además de la facultad de la Agencia para suspender las operaciones del sitio.
    Advertencia Empresas

    ⚠️ Cuidado con lo que integras a tu empresa

    Muchos empresarios usan estos «Rutificadores» para validar clientes o buscar deudores. La recomendación experta es detener esta práctica.

    Al usar estos sitios, tu empresa está nutriendo sus procesos internos (CRM, ERP) con datos ilícitos. La ley exige (Art. 14 letra b) que asegures que tus fuentes sean lícitas. Si te alimentas de un sitio ilegal, contaminas tu base de datos y te expones a sanciones directas.

    En resumen: A partir de diciembre de 2026, la privacidad recupera terreno. La re-publicación masiva y comercial de nuestra vida privada tiene fecha de vencimiento.