Nota: accede con el siguiente enlace a la Resolución Exenta N°948/2025 de la Subsecretaría de Hacienda que aprueba la Política de tratamiento de datos de la secretaría de Gobierno Digital.
Con fecha 13 de diciembre de 2024, fue publicada en el Diario Oficial la Ley N° 21.719 que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales. Esta ley entrará en vigencia el 1 de diciembre de 2026 y viene a reformar significativamente la actual Ley N° 19.628, sobre protección de la vida privada, la que pasará a llamarse “Ley sobre protección de los datos personales”.
En este contexto, el artículo 14 ter de la ley reformada prescribe que los responsables de datos deberán facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente una política de tratamiento de datos personales que haya adoptado.
De este modo, la SGD pone en conocimiento de todas las personas que hagan uso de sus plataformas digitales, servicios compartidos y cualquiera de sus sitios web, la siguiente Política de tratamiento de datos personales (“la Política”).
Esta Política entrará en vigencia desde el momento de su publicación y se entenderá complementar las políticas de tratamiento de datos personales que establezca el Ministerio de Hacienda de acuerdo a la entrada en vigencia de la Ley N° 21.719.
La Política tiene por objeto:
● Reemplazar la Política de Privacidad vigente.
● Garantizar el derecho constitucional del respeto y protección a la vida privada de las personas, así como la protección de sus datos personales, (artículo 19 N°4 de la Constitución Política de la República), asegurando que el tratamiento de datos cumpla con la Ley sobre Protección de la Vida Privada.
● Implementar proactivamente los nuevos estándares de protección de datos personales que la Ley que regula la protección y el tratamiento de los datos personales (Ley N° 21.719) incorporará a la actual Ley sobre Protección a la Vida Privada.
● Informar a las personas los mecanismos por medio de los cuales la SGD trata sus datos personales en su calidad de responsable de datos, el período de conservación y destinatarios previstos a quienes podrá comunicar dichos datos personales.
● Poner en conocimiento de los titulares de datos personales los derechos que pueden ejercer respecto de ellos, los resguardos que la SGD toma para garantizar su protección, así como toda otra información relevante al respecto.
● Fomentar la cultura de datos en la ciudadanía.
El tratamiento de datos personales es cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan de cualquier forma recolectar, procesar, almacenar, comunicar, transmitir o utilizar datos personales o conjuntos de datos personales.
La SGD trata datos con los siguientes fines:
● Desarrollar y operar plataformas y servicios compartidos que permitan prestar servicios públicos por medio de tecnologías digitales.
● Medir, procesar, analizar y reportar el uso, adopción e implementación de sus páginas web y servicios compartidos.
● Intercambiar datos con otros órganos de la Administración del Estado, dentro de sus competencias legales.
● Realizar análisis de seguridad de los sistemas y monitoreo de usos indebidos de sus páginas web, plataformas y/o servicios compartidos, que afecten la seguridad, disponibilidad e integridad de las páginas web y servicios compartidos de la SGD o que sean contrarios a los términos y condiciones de ellos como, por ejemplo, automatizaciones en el servicio de autenticación de ClaveÚnica.
Los datos personales recolectados podrán ser sometidos a procesos de anonimización o disociación y utilizados para la elaboración de estadísticas, estudios o reportes que permitan medir o analizar el uso, adopción e implementación de sus páginas web, servicios compartidos y, en general, monitorear, realizar seguimiento y evaluar las medidas y acciones requeridas para el cumplimiento de sus funciones legales.
La SGD no realiza tratamientos de datos que impliquen la toma de decisiones automatizadas, ni la elaboración de perfiles, basadas en el tratamiento de sus datos personales en ninguno de los servicios digitales que ofrece, ni en ninguno de sus servicios compartidos.
El fundamento legal del tratamiento de datos hecho por la SGD se encuentra en el artículo 20 de la Ley N° 19.628, según el cual los organismos públicos podrán tratar datos personales respecto a materias de sus competencias, sin necesitar el consentimiento del titular cuando así lo hagan.
De acuerdo a la Ley N° 21.658, que crea la Secretaría de Gobierno Digital en la Subsecretaría de Hacienda, y adecúa los cuerpos legales que indica, las competencias de la SGD son:
● Proponer al Ministro o Ministra de Hacienda la Estrategia de Gobierno Digital y coordinar su implementación, manteniendo un enfoque integrado de gobierno.
● Coordinar, asesorar y apoyar intersectorialmente en el uso estratégico de tecnologías digitales, datos e información pública para mejorar la gestión de los órganos de la Administración del Estado y la entrega de servicios.
● Desarrollar y operar plataformas y servicios compartidos.
● Monitorear, realizar seguimiento y evaluar las medidas y acciones requeridas para el cumplimiento de sus funciones, solicitar información al respecto y, en especial, estudiar y mejorar la experiencia usuaria en las plataformas de la SGD.
● Todas aquellas asignadas por medio de la Constitución o las leyes.
Un registro de actividades de tratamiento o “RAT” es un inventario o listado que identifica y describe las actividades de tratamiento que realiza un responsable de datos de manera habitual y/o en cumplimiento de sus funciones legales, dentro del ámbito de sus competencias, cuando el responsable sea un órgano público.
El registro de actividades de tratamiento de la SGD es actualizado constantemente y detalla la siguiente información respecto de cada una de las actividades de tratamiento de datos que realiza la SGD: ● Categoría de datos que trata.
● Si trata dichas categorías de datos como responsable o encargado.
● El universo de titulares que comprenden sus bases de datos.
● La finalidad del tratamiento.
● La base de legitimidad del tratamiento.
● Los destinatarios previstos a los que se prevé comunicar los datos personales. ● Período de conservación de los datos personales.
● La fuente de la cual provienen los datos de las actividades de tratamiento de datos que realiza un responsable.
Puedes acceder al registro a través del siguiente enlace: Registro de Actividades de Tratamiento.
De conformidad con la normativa vigente, la SGD adopta todas las medidas necesarias para el resguardo de la seguridad de los datos personales y la privacidad de las personas, asegurando la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos; así como evitar su alteración, destrucción, pérdida, tratamiento o acceso no autorizado.
Estas medidas se encuentran en la "Política de Seguridad de la Información y Ciberseguridad para la Secretaría de Gobierno Digital", que será publicada en el sitio web: https://wikiguias.digital.gob.cl/.
Los datos que trate la SGD tendrán acceso limitado incluso para sus funcionarios y funcionarias. La SGD no transmitirá estos datos a terceros, salvo en los casos que la ley lo permita, por orden emanada de los Tribunales de Justicia, o en los casos establecidos en esta política de tratamiento de datos.
Cuando corresponda, la SGD podrá comunicar los datos personales que trata a otros organismos públicos, con los fines de:
● Comunicar a otros organismos del Estado sus datos personales, cuando esta comunicación sea estrictamente necesaria para el ejercicio de sus competencias, de acuerdo por el artículo 20 de la Ley N° 19.628.
● Cuando sea necesario para otorgar beneficios al titular, evitar duplicidad de trámites para los ciudadanos o reiteración de requerimientos de información o documentos para los mismos titulares.
● Informar a entidades públicas o gubernamentales información estadística elaborada a partir de patrones de actividad, navegación, audiencia y caracterización general de los servicios compartidos de la SGD.
● Comunicar a terceros información estadística elaborada a partir de los datos personales de sus usuarios, cuando de dichos datos no sea posible identificar individualmente a los titulares (datos disociados), de conformidad a la ley.
Un tercero mandatario o encargado del tratamiento de datos personales es la persona natural o jurídica que trate datos personales, por cuenta del responsable de datos. Es decir, son aquellas entidades que, en virtud de un contrato, tratan datos personales según las instrucciones que le imparta la SGD, quedándole prohibido su tratamiento para un objeto distinto del convenido.
En virtud del artículo 1° de la Ley N° 19.886 de bases sobre contratos administrativos de suministro y prestación de servicios, la SGD contrata proveedores de servicios de almacenamiento en la nube para el desarrollo de sus funciones, quienes actuarán como encargados del tratamiento de datos personales, por lo que podrá comunicar dichos datos personales con ellos.
La información sobre los proveedores de estos servicios, y los contratos vigentes al efecto, es pública y se encuentra disponible en Mercado Público.
La SGD tratará sólo aquellos datos personales que resulten necesarios, adecuados y pertinentes para sus fines de tratamiento, los que conservará sólo por el período de tiempo necesario para cumplirlos.
Las plataformas y servicios compartidos que opera y desarrolla la SGD no constituyen sistemas de archivo o repositorio de datos, sea temporal o permanentemente. La única función de estas plataformas y servicios compartidos es dar soporte a la gestión y entrega de servicio de los órganos del Estado, promoviendo el uso estratégico de tecnologías digitales. Las únicas excepciones a esta regla general es ClaveÚnica, por ser un mecanismo de autenticación que la SGD co-administra con el Servicio de Registro Civil e Identificación, y FirmaGob, de conformidad a lo establecido en la Ley N° 19.799 sobre documentos electronicos, firma electronica y servicios de certificación de dicha firma y las normas reglamentarias dictadas conforme a ella.
La SGD conservará los datos personales que trate por el tiempo indicado en el Registro de Actividades de Tratamiento. Ese plazo se contará desde la fecha en que se realiza una acción o desde la finalización del trámite, según corresponda.
Una vez transcurrido el período de conversación, los datos se eliminarán física y lógicamente de los registros de la SGD, de manera permanente. Sin perjuicio de lo anterior, la SGD disponibilizará mecanismos seguros para la entrega de aquellos datos personales que almacene en su infraestructura, a raíz de la operación de sus plataformas y servicios compartidos.
La SGD recopila datos de navegación y uso de sus páginas web a través de mecanismos automáticos. Estos mecanismos registran datos de manera automatizada y/o autónoma por una máquina, software o algoritmo, a través de procesos y técnicas informáticos previamente determinados.
No es posible identificar a una persona por medio de estos datos, puesto que siempre son recopilados de manera disociada de la persona que generó los datos de navegación.
La SGD utiliza estos mecanismos para recolectar patrones de actividad, tráfico de visitas, patrones de navegación, indicadores de clickeo, geolocalización, usabilidad y audiencia en sus sitios web, con la finalidad de establecer criterios que mejoren los contenidos y faciliten el uso de los sitios web y servicios compartidos de la SGD, así como la información que éstos contienen.
Esta información se registrará y almacenará disociada de la identidad de los/as usuarios/as, para lo cual anonimizará las direcciones IP y todo otro dato que permita tal identificación. La geolocalización de usuarios se registrará solamente el país y ciudad de conexión. La SGD no registrará, ni almacenará la ubicación exacta de los usuarios y usuarias de sus páginas web.
La SGD se reserva el derecho de utilizar los mecanismos de recopilación de datos automáticos que estime pertinentes, siempre respetando la seguridad y privacidad de los datos de los cuales sea responsable, para los fines descritos en la presente Política.
Todo titular de datos personales tendrá derecho intransferible e irrenunciable a:
● Solicitar información sobre los datos relativos a su persona, su procedencia y destinatario, el propósito del almacenamiento y la individualización de las personas u organismos a los cuales sus datos son transmitidos regularmente.
● Solicitar que se rectifiquen o modifiquen sus datos personales cuando ellos no sean correctos o no estén actualizados, si fuere procedente.
● Solicitar la eliminación o cancelación de los datos entregados cuando así lo desee, en tanto fuere procedente.
● Solicitar información respecto de los bancos de datos de los que sea responsable el organismo, el fundamento jurídico de su existencia, su finalidad, tipos de datos almacenados y descripción del universo de personas que comprende.
Las personas podrán hacer ejercicio de estos derechos por medio de los formularios de configuración y/o actualización de datos personales disponibles en las páginas web de la SGD, o por medio de los mecanismos de contacto descritos en el acápite siguiente.
Las personas que quieran ejercer estos derechos respecto de datos personales que la SGD trata en calidad de encargado, a través de alguna de sus plataformas y servicios compartidos, deberán hacerlo ante el órgano de la Administración del Estado que sea responsable por el servicio, procedimiento, trámite, comunicación y/o notificación respecto al cual se quieren ejercer dichos derechos. En caso de que se ejerzan ante la SGD, ésta se reserva el derecho de remitir la solicitud al órgano responsable.
Las personas podrán hacer ejercicio de estos derechos por medio del formulario web de contacto del Ministerio de Hacienda. Por este mecanismo de contacto también podrán consultar por toda otra información adicional o complementaria relacionada con su ejercicio.
La Política y demás documentos que la integran, deberá revisarse, al menos, una vez cada 12 meses con el objeto de verificar su adecuación a:
● Nuevas normas legales o reglamentarias o nuevos instrumentos internacionales.
● Cambios en los procesos, tecnologías o actividades de tratamiento
● Resultados de auditorías internas o externas
● Recomendaciones o instrucciones de la Agencia u otras autoridades fiscalizadoras.
● Instrucciones de la Subsecretaría de Hacienda.
Sin perjuicio de lo anterior, la Política deberá ser revisada, de manera inmediata, y modificada en su caso, cuando:
● Se detecten incumplimientos o brechas de seguridad relevantes.
● Se produzcan cambios organizacionales de carácter estructural.
● Se comiencen a realizar actividades de tratamientos de datos personales de alto riesgo. 8. Vigencia
La presente Política entrará en vigencia desde el momento de la total tramitación del acto jurídico que la aprueba y tendrá validez sin perjuicio de la o las políticas de tratamiento de datos personales que establezca el Ministerio de Hacienda.”