Con fecha 13 de diciembre de 2024, fue publicada en el Diario Oficial la ley N° 21.719 que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales. Esta ley entrará en vigencia el 1 de diciembre de 2026 y reformará íntegramente las disposiciones de la actual ley N° 19.628, sobre protección de la vida privada, la que pasará a llamarse “Ley sobre protección de los datos personales”. Gracias a esta reforma, Chile pasará a proteger los datos personales y sensibles conforme a los más altos estándares internacionales vigentes en la actualidad.
En este contexto, el objetivo de esta guía es orientar a los órganos de la Administración del Estado en la implementación de la nueva normativa durante el período previo a su entrada en vigencia y al comienzo de las funciones de la Agencia de Protección de Datos Personales. Para ello, entrega recomendaciones prácticas, indica los pasos a seguir y pone a disposición de la Administración formatos tipo de los diversos documentos que deben elaborarse para dar cumplimiento con dichos estándares, sin perjuicio de aquellos que posteriormente ponga a disposición la referida Agencia.
Las acciones contenidas en esta guía tienen por objeto que los órganos de la Administración del Estado comiencen a alinear sus prácticas de tratamiento de datos a la nueva normativa, partiendo por lo más organizativo (comités, políticas) y poco a poco se van acercando a lo más técnico (protocolos, procedimientos).
Finalmente, se hace presente que esta guía recoge las recomendaciones formuladas por la Comisión Asesora del Ministerio Secretaría General de la Presidencia para la Implementación de la Ley de Protección de Datos Personales en su tercer informe, las que hacen un llamado a que la SGD aborde de manera prioritaria las materias aquí desarrolladas, con el fin de apoyar a los órganos de la Administración del Estado en una implementación coherente, progresiva y oportuna de la nueva normativa.
Como primer paso, cada órgano realizará las siguientes 3 acciones:
Acción Nº 1. Designar a un funcionario/a del organismo como encargado/a o responsable institucional. En esta etapa, la jefatura de servicio designará a un/a funcionario/a que tendrá a cargo coordinar la implementación de las obligaciones establecidas en la ley de protección de datos personales. Esta persona deberá contar con capacidad de gestión, articulación interna y movilización institucional, así como experiencia en la conducción de proyectos u otras iniciativas transversales. En esta fase inicial, se deberá priorizar la capacidad de gestión y coordinación por sobre los requisitos de autonomía o independencia propios de la figura del delegado de protección de datos. Esta designación no modifica la responsabilidad de la jefatura superior del servicio respecto del cumplimiento de esta ley.
Sin perjuicio de lo anterior, las instituciones pueden, de manera voluntaria, designar un delegado de protección de datos, de conformidad con el artículo 50 de la ley N° 19.628, en su versión reformada. En dicho caso, el delegado deberá cumplir con requisitos técnicos y de autonomía e independencia que establece la ley. Dicha designación deberá hacerse con cargo a la dotación vigente, de conformidad con el artículo quinto transitorio de la ley N° 21.719. En este caso, el delegado deberá ejercer las funciones del encargado/a o responsable institucional, para evitar la duplicación de funciones.
En el caso de instituciones de mayor tamaño, se recomienda que, además la persona encargada o responsable, se designen representantes de las divisiones, departamentos, unidades o áreas de la institución que correspondan, como contrapartes técnicas que apoyen la función de la persona encargada o responsable.
Acción Nº 2. Constituir un proyecto de implementación. La persona responsable o encargada constituirá formalmente un proyecto (ver acta disponible en el siguiente enlace), utilizando una herramienta de gestión de proyectos, carta gantt, o cualquier otra herramienta de ofimática que permita el monitoreo y evaluación del avance de implementación de tareas o proyectos. Las acciones, hitos, responsables y plazos asociados a dicho proyecto corresponderá agregarlos una vez que se haya realizado el levantamiento de información del que trata más adelante esta guía, de conformidad con las etapas propuestas en el cronograma sugerido.
Acción Nº 3. Realizar un primer acto de comunicación interna. La jefatura de servicio comunicará a toda la Institución, a lo menos, que:
Se dará inicio a la implementación de la nueva ley,
Se ha constituido un proyecto al efecto,
Comenzará pronto un proceso de levantamiento de información,
Se ha designado a una persona responsable o encargada para estos efectos; y
Se conformará o se ha conformado el Comité mencionado en la sección 5.
La persona encargada o responsable realizará un levantamiento de información respecto de todos los datos personales tratados dentro de la institución, a través de una una matriz de levantamiento de información, de uso interno. Podrán encontrar un formato tipo de esta matriz en el siguiente enlace.
La persona encargada enviará la matriz a todas las divisiones, departamentos, unidades o áreas de la institución, quienes serán responsables de completarla. La persona encargada o responsable podrá apoyar directamente a las divisiones, departamentos, unidades o áreas de la institución a completar la matriz, a través de reuniones de trabajo semiestructuradas.
La matriz permitirá levantar la siguiente información:
Categoría o tipo de dato personal que el organismo trata, por ejemplo, nombre, RUN, correo electrónico, dirección, etc.
Descripción genérica del universo de personas que comprenden los titulares de los datos personales que el organismo trata.
Circunstancia de si el dato es sensible o no.
Si el dato se encuentra o no en una base de datos, y la categoría, clases o tipos de bases de datos que el órgano administra.
La finalidad del tratamiento de los datos; como, por ejemplo, la entrega o asignación de un beneficio, la realización de una prestación de salud, el reconocimiento de una condición, etc.
La habilitante legal del tratamiento; como, por ejemplo, la función legal que ejerce una institución.
La fuente de procedencia del dato personal.
Las categorías de terceros a quienes se prevé comunicar o ceder los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
El o los responsables internos de los datos personales. Estos, podrán ser, por ejemplo, los responsables de las actividades de tratamiento, o los dueños de los procesos institucionales.
El tiempo durante el cual los datos permanecen en la institución, desde que comienzan su tratamiento, hasta su eliminación o archivo, y las condiciones que fijan ese periodo.
Las plataformas digitales o sistemas de información asociados al tratamiento de los datos personales como, por ejemplo, algoritmos, herramientas de IA, plataformas de gestión, sistemas de evaluación, repositorios en la nube, entre otros.
Las áreas, divisiones o unidades internas que pueden acceder a los datos personales.
El sistema de información o infraestructura dónde se almacena como, por ejemplo, en un servicio cloud o en servidores de un tercero proveedor.
La circunstancia de si existen transferencias internacionales de datos, indicando a qué país, entidad u organización y el lugar físico donde se encuentran los sistemas de información, infraestructura o servidores que tratarán o almacenarán los datos transferidos. Por ejemplo, si se tiene un proveedor de servicios en la nube extranjero, se debe registrar el nombre de la empresa y el lugar donde se encuentran sus servidores.
La existencia de decisiones automatizadas, incluida la elaboración de perfiles. Si el organismo realiza estas operaciones, deberá incluir información significativa sobre la lógica aplicada, así como las consecuencias previstas de dicho tratamiento para el titular.
Los riesgos asociados o detectados en el tratamiento y gestión del dato personal.
Toda esta información servirá para determinar y priorizar los siguientes pasos a seguir durante el proceso de preparación.
La persona encargada o responsable procurará:
Incorporar a todas las divisiones, departamentos, unidades o áreas de la institución, sin olvidar a las unidades de soporte, como las oficinas de partes, las fiscalías o áreas de asesoría jurídica, o bienestar, la que puede tener datos sensibles (salud) o de niños, niñas y adolescentes.
Convocar, por sí o a petición de otras divisiones, departamentos, unidades o áreas, a reuniones explicativas o de trabajo que permitan completar la matriz de la mejor manera posible.
Una vez completada la matriz de levantamiento de información, a partir de la información contenida en ella, la persona encargada elaborará un informe de hallazgos, que identifique:
Las conclusiones principales respecto de la forma en que el órgano público realiza sus tratamientos de datos personales.
Los riesgos principales o más significativos en el tratamiento de datos personales que realiza el órgano público en la actualidad.
Las brechas de cumplimiento respecto de las políticas e instrumentos que la nueva normativa obliga a emitir o adoptar, junto con los avances previos que ya haya realizado el órgano público en estas materias, si es que existiesen.
Las brechas de cumplimiento se identificarán respecto al siguiente listado (o “checklist”), elaborado a partir del contenido del artículo 14 ter, de la ley reformada, sobre el deber de información y transparencia. De conformidad con este artículo, los responsables de datos deben facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información:
La política de tratamiento de datos personales que haya adoptado, la fecha y versión de la misma.
La individualización del responsable de datos y su representante legal y la identificación del encargado de prevención, si existiere.
El domicilio postal, la dirección de correo electrónico, el formulario de contacto o la identificación del medio tecnológico equivalente de uso común y fácil acceso mediante el cual se le notifican las solicitudes que realicen los titulares.
Las categorías, clases o tipos de datos que trata; la descripción genérica del universo de personas que comprenden sus bases de datos; los destinatarios a los que se prevé comunicar o ceder los datos; las finalidades de los tratamientos que realiza; la base de legitimidad del tratamiento; y en caso de tratamientos que se basan en la satisfacción de intereses legítimos, cuáles serían éstos.
La política y las medidas de seguridad adoptadas para proteger las bases de datos personales que administra. Se recomienda elaborar esta política de conformidad con el Decreto N° 7, de 2023, del Ministerio Secretaría General de la Presidencia, que establece Norma Técnica de Seguridad de la Información y Ciberseguridad conforme la ley Nº 21.180.
El derecho que le asiste al titular para solicitar ante el responsable, acceso, rectificación, supresión, oposición y portabilidad de sus datos personales, de conformidad a la ley.
El derecho que le asiste al titular de recurrir ante la Agencia, en caso de que el responsable rechace o no responda oportunamente las solicitudes que le formule.
En su caso, la transferencia de datos personales a un tercer país u organización internacional y si éstos ofrecen o no un nivel adecuado de protección. En caso de que no cuenten con un nivel adecuado de protección, se deberá informar si existen garantías que justifiquen tal transferencia.
El periodo durante el que se conservarán los datos personales.
La fuente de la cual provienen los datos personales y, en su caso, si proceden de fuentes de acceso público.
Cuando el tratamiento está basado en el consentimiento del titular, la existencia del derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
La existencia de decisiones automatizadas, incluida la elaboración de perfiles. En tales casos, información significativa sobre la lógica aplicada, así como las consecuencias previstas de dicho tratamiento para el titular.
Este informe deberá ser presentado al Comité al que se hace referencia en la Sección siguiente.
A más tardar una vez terminada la fase de levantamiento de información, la jefatura superior del servicio formará un Comité Ejecutivo (o simplemente “Comité”) para que determine y priorice acciones a seguir, así como sus responsables, y revise los instrumentos o políticas que deben formalizarse. Este Comité puede ser constituido antes, si así lo estima conveniente la jefatura de servicio.
Sin perjuicio de lo anterior, si la institución ya cuenta con un comité de gobernanza o gestión de datos, la jefatura de servicio podrá establecer que esta instancia asuma también las funciones que está guía propone para el Comité Ejecutivo.
Se debe tener en cuenta lo siguiente para el adecuado funcionamiento del Comité:
Objetivo: la labor de este Comité es complementaria a la del encargado/a, apoyando la implementación de la nueva normativa desde la toma de decisiones y priorización estratégica.
Composición: el Comité se conformará, a lo menos, por un o una representante de la jefatura de servicio; la persona encargada o responsable, quien deberá levantar acta de sus sesiones y acuerdos; y coordinadores, coordinadoras o jefaturas de áreas legales, áreas de tecnología, área de control de gestión, y las áreas de negocio más críticas (esto es, las áreas que están tratando más datos personales).
Secretaría técnica: La persona encargada o responsable deberá ir registrando las acciones, hitos, plazos y responsables de las acciones acordadas con el Comité en la herramienta de gestión de proyectos a la que se refiere la Sección 2.
Periodicidad sesiones: se recomienda que el Comité se reúna 2 veces al mes, previo envío de una agenda e información por parte de la persona encargada o responsable.
¶ 6. Instrumento Nº 1. Catálogo de datos personales tratados por la institución
El primer instrumento que se debe elaborar en el marco de este proceso de preparación es un catálogo de los datos personales que trata la institución (“el Catálogo”). El catálogo se elaborará en base a la matriz de levantamiento de información y las directrices del Comité. Se facilita un formato tipo en el siguiente enlace.
Al respecto, se aclara que la nueva normativa no establece expresamente la obligación de contar con un registro de actividades de tratamiento (o “RAT”), como sí lo hacen las normas de otros países. Sin embargo, el artículo 14 ter, en sus literales d), i) y j) establece una serie de información que los responsables de datos deberán publicar respecto de los tratamientos específicos que realicen. El establecimiento de un catálogo, listado o registro que contenga esta información específica facilitará el cumplimiento de esta obligación, favoreciendo su publicación ordenada.
De esta manera, el Catálogo debe contener:
Las categorías, clases o tipos de datos que trata el órgano público.
La descripción genérica del universo de personas que comprenden sus bases de datos;
Los destinatarios a los que se prevé comunicar o ceder los datos.
Las finalidades de los tratamientos que realiza, es decir, aquellos fines específicos, explícitos y lícitos para los cuales se traten los datos personales, conformidad al principio de finalidad establecido en el artículo 3°, letra b) de la ley Nº 19.628, en su versión reformada.
La base de legitimidad del tratamiento y, en caso de tratamientos que se basan en la satisfacción de intereses legítimos, cuáles serían éstos.
El periodo durante el que se conservarán los datos personales.
La fuente de la cual provienen los datos personales y, en su caso, si proceden de fuentes de acceso público.
¶ 7. Instrumento N° 2. Política de tratamiento de datos personales
El próximo instrumento a elaborar es la política de tratamiento de datos personales (“Política”) de la institución. Para facilitar la elaboración de la Política, se dispone de un formato tipo en el siguiente enlace.
Esta política debería contener, a lo menos:
Una descripción o listado de los principales fines para los cuales la institución trata datos personales.
El listado de las principales facultades y atribuciones que dan la base de legitimidad al tratamiento de datos personales que realice la institución.
El enlace al Catálogo que debe publicar el responsable respecto de los datos personales que trata.
La enumeración de las medidas de seguridad que adopte la institución para proteger los datos personales, o un link a política, protocolo o documento que las contenga.
Los motivos por los cuales la institución podrá comunicar o ceder los datos personales a terceros distintos del titular. Por ejemplo, cuando se deben compartir datos con otros órganos públicos o con proveedores de bienes y servicios.
Una mención a las entidades públicas o privadas con que se han compartido datos personales, como, por ejemplo, los proveedores de servicios de almacenamiento en la nube.
La política de conservación de datos personales, explicando de manera general a las personales cuales serán los lineamientos según los cuales se almacenarán y eliminarán los datos personales tratados.
Los derechos de los titulares de datos y el canal por cuales podrán ejercerse. Se recomienda para el sector público que este canal sea la Oficina de Informaciones, Reclamos y Sugerencias de cada institución.
Los cambios y vigencia de la política.
Para elaborar esta política, se seguirán los siguientes pasos:
La persona encargada o responsable elabora un primer levantamiento del contenido mínimo de la política.
La persona encargada prepara un borrador de política y lo remite al Comité y todas las divisiones, departamentos, unidades o áreas de la institución para sus observaciones y comentarios.
Una vez recibidos y, según corresponda, atendidas dichas observaciones y comentarios, la persona encargada elabora una versión final de la política, para la aprobación del jefe de servicio.
¶ 8. Instrumentos N°3. Protocolos, reglas y procedimientos
En esta etapa, de carácter más técnico, se establecerán los protocolos, reglas y procedimientos más específicos, priorizando aquellos que atiendan directamente a los principales riesgos identificados por el Comité en base al informe de hallazgos. De esta forma, se podrá establecer una meta posible de cumplir.
De conformidad con el nuevo artículo 49 de la ley Nº 19.628, estos protocolos, reglas y procedimientos son parte del modelo de prevención, el que tiene un carácter voluntario. Sin perjuicio de esta voluntariedad, estos documentos dan una bajada más práctica y auditable a los demás instrumentos elaborados, en especial en cuanto la ley no sólo exige adoptar medidas organizativas (como comités, políticas, modelos de prevención) sino también técnicas (como procesos de anonimización o encriptación, gestión de bases de datos, controles de acceso a ciertos datos, etc.).
Algunos de estos instrumentos podrían tomar la forma de, por ejemplo, protocolos para establecer quién accede y cómo se accede a ciertos datos personales dentro de la institución, procedimientos para responder solicitudes de tribunales, fiscales u otras autoridades que impliquen compartir datos personales, reglas para utilizar herramientas de trabajo que almacenan datos personales en la nube (como GoogleDrive o OneDrive), o protocolos para establecer los medios a través de los cuales se deberá compartir cierta información sensible o reservada (correo electrónico, papel, servicio de mensajería especial, etc.), entre otros.
Para adoptar los protocolos, reglas y procedimientos que correspondan, se seguirán los siguientes pasos:
El Comité debe revisar los riesgos identificados en el informe de hallazgos de la sección 3, discutirlos, ajustarlos si corresponde y priorizar los que clasifique como más altos.
El Comité determinará el área responsable de la elaboración de los borradores de protocolos, reglas y procedimientos identificados como prioritarios. De esta manera se asegurará que quienes deban implementar el protocolo sean parte de la elaboración del mismo, acordando sus propias reglas de tratamiento de datos personales.
Las áreas designadas elaborarán los borradores respectivos y los compartirán con el Comité y todas las divisiones, departamentos, unidades o áreas que éste determine, para sus observaciones y comentarios.
Una vez recibidos y, según corresponda, atendidos dichas observaciones y comentarios, el área responsable elaborará una versión final, para la aprobación de la autoridad correspondiente.
Para efectos de apoyar esta tarea, se disponen los siguientes ejemplos de protocolos, reglas y procedimientos:
Recordar que, si bien no es obligatorio, se recomienda que los organismos elaboren un modelo de prevención, lo que incluye designar a un funcionario o funcionaria como delegada de protección de datos. Esto puede agregarse como una etapa intermedia, inmediatamente anterior o posterior a la elaboración de la política de tratamiento.
Ajustar y revisar el proyecto periódicamente en la herramienta de gestión que permita su monitoreo y seguimiento.
Incluir responsables y plazos definidos para cada hito, entregable o acción que se incluya en el plan de trabajo del proyecto de implementación.
Realizar un etapa de cierre y difusión interna, que permita comunicar a todas las unidades o divisiones de la Institución los documentos que se adoptaron y donde pueden encontrarlos.
Realizar capacitaciones para aquellos equipos que gestionen o traten datos personales, especialmente aquellos que sean sensibles.
Publicar en los canales de difusión interna de la institución, como sitios de intranet, recursos humanos u otros pertinentes, todos los documentos elaborados para la implementación de la nueva ley de datos, asegurando el acceso a ellos para todos los (as) funcionarios (as) y colaboradores de la institución.
Recordar incluir cláusulas acordes con la nueva ley en los contratos a honorarios o de trabajo de la Institución (vigentes en diciembre del próximo año) y procesos de compras públicas que traten datos personales. Para ello, se facilitan los siguientes formatos tipo:
Formato tipo de anexo para integrar en los procesos de compras, en el siguiente enlace.
Formato tipo de cláusulas sobre protección de datos personales en convenios de honorarios, disponible en el siguiente enlace.
Almacenamiento de datos: la conservación o custodia de datos en un registro o base de datos.
Dato personal: cualquier información vinculada o referida a una persona natural identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Datos personales sensibles: tendrán esta condición aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.
Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales que consista en utilizar esos datos para evaluar, analizar o predecir aspectos relativos al rendimiento profesional, situación económica, de salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de una persona natural.
Eliminación o cancelación de datos: la destrucción de datos almacenados en registros o bancos de datos, cualquiera fuere el procedimiento empleado para ello.
Nueva normativa de protección de datos personales o nueva normativa: la ley N° 19.628, en su versión reformada por la ley N° 21.719, que entrará en vigencia el 1 de diciembre de 2026.
Responsable de datos o responsable: toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los datos son tratados directamente por ella o a través de un tercero mandatario o encargado.
Titular de datos o titular: persona natural, identificada o identificable, a quien conciernen o se refieren los datos personales.
Tratamiento de datos: cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan de cualquier forma recolectar, procesar, almacenar, comunicar, transmitir o utilizar datos personales o conjuntos de datos personales.
Esta Guía fue elaborada por la Secretaría de Gobierno Digital (SGD), con apoyo de la División Jurídico Legislativa del Ministerio Secretaría General de la Presidencia, y se benefició de observaciones y sugerencias del Consejo Jurídico de Transformación Digital del Estado.
La SGD agradece a los miembros de dicho Consejo que participaron en la construcción de esta guía, especialmente a:
Carlo Benussi (Consejo para la Transparencia)
Carlos Reusser (Experto)
Catalina Silva (Servicio Civil)
Elías Guzmán (Contraloría General de la República)
José Ignacio Santibañez (Servicio de Impuestos Internos)
Josefa Vicencio (Ministerio de Economía, Fomento y Turismo)
Juan Ignacio Alarcón (Agencia Nacional de Ciberseguridad)
Paolo Jeldres (ChileCompra)
Patricia Reyes (Universidad de Valparaíso)
Rodrigo Moya (Superintendencia de Seguridad Social)
Tamara Ulloa (Servicio de Impuestos Internos)
Verónica Palma (ChileCompra)
Los formatos tipo sólo fueron elaborados por la SGD. El Consejo antes mencionado no los ha tenido a la vista para realizar observaciones.