La nueva Ley de Protección de Datos Personales cambia las reglas del juego en Chile, otorgando a las personas un control real sobre su información y creando una autoridad fuerte para fiscalizar su cumplimiento. A continuación, se explican los conceptos esenciales de la normativa.
¿Qué es un Dato Personal?
Es cualquier información que permite identificar a una persona o que puede usarse para saber quién es. Lo clave es el concepto de "identificable": si mediante cruce de información es razonablemente posible determinar la identidad de alguien, esa información es un dato personal.
Ejemplos: Nombre, RUT, correo electrónico, dirección física, teléfono, dirección IP, patente del vehículo.
¿Qué es un Dato Sensible?
Es una categoría especial de dato personal que la ley protege con mayor intensidad, ya que su mal uso podría generar discriminación grave o afectar la intimidad profunda de la persona.
Ejemplos (lista taxativa, Art. 2° g):
La Diferencia Crucial: El tratamiento de datos sensibles está, por regla general, prohibido, salvo excepciones muy específicas (como el consentimiento explícito y expreso del titular o mandatos legales claros).
La diferencia clave de la nueva ley se entiende mejor al comparar el escenario anterior con el actual:
La ley establece ocho principios (Art. 3°) que son las reglas fundamentales que toda organización (pública o privada) debe cumplir al tratar datos personales.
I. Principio de Licitud y Lealtad (Tratamiento legal y sin engaños)
Todo tratamiento debe tener una base legal válida (consentimiento, contrato, ley, etc.) y debe realizarse de forma honesta. Se prohíbe obtener datos mediante engaños, "letra chica" ilegible o prácticas desleales.
II. Principio de Finalidad (Solo para lo informado)
La autorización del titular no es un cheque en blanco. Los datos deben recolectarse para fines específicos y lícitos, y no pueden usarse para propósitos distintos sin una nueva autorización.
III. Principio de Proporcionalidad (Solo lo necesario y por el tiempo justo)
Solo se pueden recolectar los datos "strictamente necesarios" para cumplir el fin informado. Además, los datos deben conservarse solo por el tiempo necesario.
IV. Principio de Calidad (Datos correctos y actualizados)
Los datos tratados deben ser exactos, completos y actuales. La empresa es responsable de mantener la información actualizada y corregir errores.
V. Principio de Responsabilidad (Accountability - Hacerse cargo)
Quienes tratan datos son legalmente responsables del cumplimiento de la ley y deben ser capaces de demostrarlo activamente (mediante registros, políticas, auditorías).
VI. Principio de Seguridad (Protección activa de la información)
El responsable debe garantizar "estándares adecuados de seguridad". Deben implementar medidas técnicas (cifrado, controles de acceso) y organizativas para proteger los datos contra accesos no autorizados, pérdida o filtración.
VII. Principio de Transparencia e Información (Derecho a saber)
Las empresas deben ser claras sobre cómo usan los datos. La información debe entregarse de manera "precisa, clara, inequívoca y gratuita", y las políticas de privacidad deben ser comprensibles.
VIII. Principio de Confidencialidad (Deber de secreto)
El responsable y quienes accedan a los datos deben guardar secreto sobre ellos. Este deber subsiste incluso después de terminada la relación con el titular.