2 de enero de 2009 issn 0787-0415 boletÍn 6120-07



Descargar 262,53 Kb.
Página2/4
Fecha de conversión01.08.2017
Tamaño262,53 Kb.
1   2   3   4







17) Remplázase el artículo 2317, por el siguiente:

“Artículo 23.- Las infracciones a las disposiciones de esta ley se calificarán como leves, graves y gravísimas.

Son infracciones leves:

a) No entregar oportunamente satisfacción a una solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.

b) No entregar oportunamente la información solicitada por el Consejo en el ejercicio de sus funciones.

c) Infringir el deber de registro del Banco de Datos, cuando no sea constitutivo de infracción grave.

d) Infringir el deber de información en la recogida de datos personales, cuando no sea constitutivo de infracción grave o gravísima.

Son infracciones graves:

a) Realizar tratamientos de datos personales para finalidades distintas de la motivó su recogida.

b) Realizar tratamiento de datos personales sin consentimiento expreso del titular, en los casos en que éste sea exigible.

c) Realizar tratamiento de datos personales con infracción a los principios y garantías establecidos en la presente ley o su reglamento, cuando no constituya infracción gravísima.

d) Impedir u obstaculizar el ejercicio de los derechos de acceso y oposición.

e) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan.

f) Vulnerar el deber de secreto y confidencialidad en el tratamiento de datos, establecido en la ley, cuando no se trate de una infracción gravísima.

g) No guardar la debida diligencia en el establecimiento de medidas de seguridad del tratamiento de datos personales.

h) No entregar la información solicitada por el Consejo en el ejercicio de sus funciones.

i) Obstruir de cualquier forma el ejercicio de las atribuciones de inspección del Consejo.

j) No inscribir el registro o banco de datos personales en el Registro Único Nacional de Bases de Datos, habiendo sido requerido para ello por el Consejo.

k) Infringir el deber de información al titular de los datos.

Son infracciones gravísimas:


a) Recoger fraudulentamente datos personales.
b) Comunicar o ceder los datos de carácter personal, fuera de los casos previstos en la ley.
c) Realizar operaciones de tratamiento de datos sensibles fuera de los casos previstos en la ley.
d) Incumplir las instrucciones impartidas por el Consejo sobre las condiciones de legitimidad de un tratamiento de datos.
e) Realizar tratamiento de datos personales de forma ilegítima o con menosprecio de los principios y garantías que establece la ley, cuando de ello derive afectación a derechos fundamentales del titular de datos personales.
g) Vulnerar el deber de guardar secreto sobre los datos sensibles, y datos relativos a sanciones penales y/o administrativas.

h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.


i) No atender de forma sistemática el deber legal de información de la inclusión de datos de carácter personal en un registro o banco de datos.”.





18) Agrégase el siguiente artículo 24, nuevo:

“Artículo 24.- Las infracciones cometidas por particulares serán sancionadas de la siguiente forma:


a) Las infracciones leves serán sancionadas con multa de hasta 200 UTM.

b) Las infracciones graves serán sancionadas con multa de hasta 5000 UTM.

c) Las infracciones muy graves serán sancionadas con multa de hasta 10.000 UTM. El Consejo además podrá disponer la cancelación del registro.

El monto específico de las multas se determinará apreciando fundadamente la gravedad, las consecuencias del hecho, el volumen de los tratamientos efectuados, la capacidad económica del infractor y si éste hubiere cometido otras infracciones de cualquier naturaleza en los últimos 24 meses. La reparación otorgada por el infractor al afectado, previo acuerdo entre ambos, será considerada como una atenuante.

En caso que se verifique la concurrencia de dos o más infracciones subsumibles, se aplicará la sanción correspondiente a la infracción más grave. En los demás casos, se acumularán las sanciones correspondientes a las infracciones concurrentes.

En caso de tratarse de infracciones reiteradas de la misma naturaleza, podrá aplicarse una multa hasta de 3 veces del valor máximo contemplado.

El monto de las multas será a beneficio fiscal y deberá ser pagado en la Tesorería General de la República dentro del plazo de 10 días, contados desde la notificación de la resolución que condena a su pago.”.





19) Agrégase el siguiente artículo 25, nuevo:

“Artículo 25.- Las infracciones leves prescribirán en el plazo de un año, las graves en dos años y las gravísimas en tres años.

Los plazos establecidos en el inciso anterior se contarán desde el día de comisión de la infracción.”.





20) Agrégase el siguiente artículo 26, nuevo:

“Artículo 26.- El procedimiento administrativo para la aplicación de las sanciones previstas en esta ley, se sujetará a las siguientes reglas:

1) Podrán iniciarse de oficio por el Consejo o por denuncia presentada ante él. El Consejo, en ambos casos, impulsará de oficio el procedimiento, haciendo expeditos los trámites que deba cumplir el expediente y removiendo todo obstáculo que pueda afectar a su pronta y debida precisión.

2) La instrucción de oficio del procedimiento se iniciará con una formulación precisa de los cargos, que se notificará al presunto infractor por carta certificada en el domicilio que conste en el Registro Único Nacional de Bases de Datos.

La formulación de cargos señalará una descripción de los hechos que se estimen constitutivos de infracción y la fecha de su verificación, la norma eventualmente infringida y la disposición que establece la infracción, la sanción asignada y el plazo para formular descargos.

3) La denuncia que dé inicio a un procedimiento se formulará por escrito al Consejo, señalando lugar y fecha de presentación y la individualización completa del denunciante, quien deberá suscribirla personalmente o por su mandatario o representante habilitado. Asimismo, deberá contener una descripción de los hechos concretos que se estiman constitutivos de infracción, precisando lugar y fecha de su comisión y, de ser posible, identificando al presunto infractor.

Sin embargo, la denuncia originará un procedimiento sancionatorio sólo si a juicio del Consejo está revestida de seriedad y tiene mérito suficiente. En caso contrario, se podrá disponer la realización de acciones de fiscalización sobre el presunto infractor y si ni siquiera existiere mérito para ello, se ordenará el archivo de la misma por resolución fundada, notificando de ello al interesado.

Declarada admisible, la denuncia será puesta en conocimiento del presunto infractor.

4) Iniciado el procedimiento, el Consejo dictará una resolución estableciendo las medidas que se deban adoptar para el cese de los efectos de la infracción, la que será notificada al responsable del registro o banco de datos y a los afectados si los hubiere.

5) Las notificaciones se harán por escrito mediante carta certificada dirigida al domicilio del presunto infractor que conste en el Registro Único Nacional de Bases de Datos.

6) El acusado o denunciado tendrá un plazo de diez días hábiles, contados desde la notificación, para contestar los cargos o la denuncia.

7) Recibidos los descargos o transcurrido el plazo otorgado para ello, el Consejo resolverá de plano cuando pueda fundar su decisión en hechos que consten en el proceso o sean de pública notoriedad. En caso contrario, abrirá un término de prueba de ocho días. Dicho plazo se ampliará en caso que corresponda de acuerdo a los artículos 258 y 259 del Código de Procedimiento Civil.

El Consejo dará lugar a las medidas o diligencias probatorias que solicite el presunto infractor en sus descargos, siempre que resulten pertinentes y conducentes. En caso contrario, las rechazará mediante resolución motivada.

8) Los hechos investigados y las responsabilidades de los infractores podrán acreditarse mediante cualquier medio de prueba admisible en derecho, los que se apreciarán en conciencia.

9) La resolución que ponga fin al procedimiento sancionatorio será fundada y resolverá todas las cuestiones planteadas en el expediente, pronunciándose sobre cada una de las alegaciones y defensas del acusado y contendrá la declaración de la sanción que se imponga al infractor o su absolución.

Esta resolución deberá dictarse dentro de los diez días siguientes a aquél en que se haya evacuado la última diligencia ordenada en el expediente.


10) En contra de la resolución referida en el número anterior, se podrá presentar recurso de reposición ante el Consejo dentro de los cinco días siguientes a su notificación, haciendo valer todos los antecedentes de hecho y de derecho que fundamenten su reclamo. El Consejo deberá resolver dicho recurso dentro de los diez días siguientes de expirado el plazo para interponerla, quedando en suspenso, mientras tanto, el pago efectivo de la multa.

11) En contra la resolución del Consejo que se pronuncie sobre la reposición interpuesta conforme al número anterior, podrá deducirse ilegalidad regulada en el artículo 28 de la ley sobre acceso a la información pública.”.







21) Agrégase el siguiente artículo 27, nuevo:

“Artículo 27.- Los afectados como consecuencia del incumplimiento de lo previsto en la presente ley, tendrán derecho a ser indemnizados por el responsable del banco de datos.

Serán solidariamente responsables, para estos efectos, los responsables del tratamiento de datos, y quienes respecto de los cuales estos sean cesionarios de dichos datos.

Se presumirá legalmente la responsabilidad del autor del daño, si existe infracción a las normas de esta ley.”.







22) Agrégase el siguiente artículo 28, nuevo:

“Artículo 28.- Será competente para conocer de la acción a que se refiere el artículo anterior, el juez de letras del domicilio del demandado o del afectado, a elección de este último.

El procedimiento se regirá de acuerdo a las reglas del procedimiento sumario.”.


Artículo 2º.-

Introdúcense las siguientes modificaciones a la ley Nº 20.285:
1) Al artículo 1°:

a) Agrégase el siguiente nuevo inciso segundo, pasando el actual segundo a ser tercero:





“Asimismo, tiene por objeto velar por el adecuado cumplimiento de la normativa sobre protección de datos personales, por parte de organismos públicos y personas naturales, o jurídicas de carácter privado, junto con establecer un sistema único nacional de registro de los bancos de datos personales.”.

b) Agrégase, en el numeral dos del actual inciso segundo, entre la palabra “Transparencia” y el punto aparte, la expresión “y Protección de Datos Personales” 18.





2) Al artículo 2º, agrégase el siguiente inciso final, nuevo:

“El inciso segundo del artículo anterior19, también será aplicable a todos los organismos públicos y personas naturales, o jurídicas de carácter privado, que efectúen las actividades señaladas en el primer inciso20 del artículo 1° de la ley Nº 19.628.”.







3) En el artículo 7º21, agrégase, en el inciso primero, a continuación de la letra m), la siguiente letra n), nueva:

“n) La circunstancia de ser responsables de registros o bancos de datos de carácter personal.”.







4) Modifícase la denominación del Título V, por la siguiente:

“EL CONSEJO PARA LA TRANSPARENCIA Y PROTECCIÓN DE DATOS PERSONALES”.







5) En el artículo 3222, agrégase, el siguiente inciso segundo, nuevo:

“Además, el Consejo tendrá por objeto velar por el adecuado cumplimiento de la normativa sobre tratamiento y protección de datos personales, a nivel nacional y conforme a la ley.”.







6) En el artículo 3323:
a) Intercálase, en el enunciado del inciso primero, después de la coma que sigue a la expresión “un consejo” y la palabra “tendrá”, la siguiente expresión:

“en razón de lo señalado en el inciso primero del artículo anterior, “.


b) Elimínase la letra m).





7) Intercálase entre el artículo 33 y el artículo 34, el siguiente artículo 33 bis nuevo:
"Artículo 33 bis.- En razón de lo señalado en el inciso segundo del artículo 32, el Consejo tendrá las siguientes funciones y atribuciones:
a) Mantener un Registro Único Nacional de las Bases de Datos, sean estas de origen público o privado, en adelante, el Registro.
Este registro tendrá carácter público, y en él constará, respecto de cada banco de datos, su responsable, el fundamento jurídico de su existencia, su finalidad, su domicilio, los tipos de datos almacenados, la descripción del universo de personas que comprende, y los destinatarios de los datos personales. Las particularidades de este registro y las normas sobre su implementación, serán establecidas por decreto supremo reglamentario del Ministerio Secretaría General de la Presidencia.
El responsable del banco de datos proporcionará los antecedentes señalados en el inciso anterior previo al inicio de sus actividades, y comunicará cualquier cambio que se produzca en ellos dentro de los quince días desde que se verifique.
El Consejo podrá disponer la simplificación o la omisión del registro, cuando se tratare de categorías de tratamientos que no afecten a los derechos y libertades de los interesados, habida cuenta de los datos a que se refieren, y cuando el tratamiento se efectúe en el cumplimiento de disposiciones legales o reglamentarias.
Tratándose del tratamiento de datos personales sensibles, el Consejo determinará cuales de ellos deban ser examinados previamente a entrar en funciones.
b) Fiscalizar el cumplimiento de las normas sobre tratamiento y protección de datos personales, respecto de las bases de datos, públicas y privadas. Para ello, podrá recabar, en cualquier momento, del responsable del respectivo registro o banco de datos, la información que estime pertinente, la que deberá ser remitida en un plazo de diez días, contados desde la fecha de la solicitud. Tratándose de órganos públicos el plazo será de 20 días.
Junto con lo anterior, podrá inspeccionar los registros o bancos de datos personales a efectos de verificar el cumplimiento de las obligaciones que establece la ley. Esta facultad podrá ejercerse tanto respecto a la verificación de las condiciones de seguridad física como en relación al funcionamiento de sistemas informáticos utilizados para el tratamiento de los datos. En todo caso, los funcionarios que ejerzan la inspección a que se refiere esta disposición estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de estas funciones, incluso después de haber cesado en las mismas.
Los responsables de registros o bancos de datos deberán proveer todas las facilidades necesarias para el ejercicio de esta atribución por parte de la autoridad competente. La negativa u obstrucción al ejercicio de esta atribución será considerada una infracción gravísima.
Para el ejercicio de esta facultad, el Consejo podrá requerir el auxilio de la fuerza pública.
c) Requerir la inscripción de los bancos de datos que no estén registrados, en el Registro Único Nacional.
d) Dictar instrucciones de carácter general o particular, respecto de las condiciones de legitimidad de un tratamiento de datos.
e) Conocer de las reclamaciones de particulares relacionadas con el ejercicio de sus derechos, en materia de tratamiento y protección de datos personales, sin perjuicio de las facultades de otras autoridades públicas.
f) Sancionar a los responsables de los bancos de datos que infrinjan las normas sobre tratamiento y protección de datos personales.
g) Requerir a los responsables y encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos al ordenamiento jurídico y, en su caso, ordenar la cesación de los tratamientos y cancelación del registro, cuando no se ajuste a dichas disposiciones.
h) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal y promover el respeto de los mismos.

j) Ejercer el control y adoptar las autorizaciones que procedan para las transferencias internacionales de datos, conforme lo establecido en la ley N° 19.628; así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.


k) Entregar una cuenta anual sobre la actividad desarrollada en torno a la protección de datos personales.”.





8) Intercálase entre el artículo 47 y el artículo 48, el siguiente artículo 47 bis, nuevo:
Artículo 47 bis.- La autoridad o jefatura o jefe superior del órgano o servicio de la Administración del Estado que infrinja lo dispuesto en la normativa sobre tratamiento y protección de datos, será sancionado con la suspensión en el cargo, por un lapso de cinco a quince días, y/o con multa de 20 a 50% de su remuneración. En la determinación de estas sanciones, se considerará si la infracción ha sido leve, grave o gravísima.
Las sanciones que el Consejo imponga a personas naturales, o jurídicas de carácter privado, responsables de bancos de datos personales, serán las señaladas en el artículo 24 de la ley N° 19.628 y en otras normas sobre protección de datos de carácter personal.”.





9) En el artículo 49, intercálase, en el inciso primero, entre las palabras “sanciones” y “previstas”, la siguiente expresión: “a entidades públicas”24.





10) Agrégase el siguiente inciso segundo, nuevo25:
“Las sanciones que el Consejo imponga a las personas naturales, o jurídicas de carácter privado responsables de bancos de datos personales, se aplicarán conforme al procedimiento señalado en el Título V de la ley N° 19.628.”.


Artículo 3º.-

La presente ley entrará en vigencia tres meses después de publicada en el Diario Oficial.


FUNDAMENTO, SEGÚN LA INICIATIVA

1.- Normas generales.

La Constitución, garantiza el derecho a la vida privada. En su artículo 19 N° 4, garantiza “el respeto y protección a la vida privada y pública y a la honra de la persona y de su familia.”.
Tradicionalmente se ha entendido que la vida privada se contrapone a la vida pública. Sin embargo, qué debe atenderse por vida privada y vida pública constituye un campo difuso; además, su concepción se enlaza con el continuo y rápido avance de las tecnologías y los consiguientes cambios sociales que inciden en la configuración de la garantía.
Con todo, en relación al respeto y protección de la vida privada se pueden diferenciar dos aspectos de protección. Un aspecto negativo y uno positivo.
En su aspecto negativo, el clásico, la protección de la vida privada se caracteriza como un derecho destinado a proteger a las personas de intromisiones ilegítimas en su esfera íntima. Por ello, el derecho a la vida privada, en su dimensión de privacidad, comprende la intimidad. En este sentido, vida privada equivale a una inmunidad.
En su aspecto positivo, en cambio, la protección de la vida privada va mucho más allá, y consiste en la posibilidad de conocer, acceder y controlar las informaciones concernientes al propio individuo.
En efecto, el aspecto positivo del derecho a la vida privada se articula sobre la idea de control, mientras el aspecto negativo lo hace sobre la idea de exclusión. Por eso algunos autores distinguen entre derecho a la vida privada física y derecho a la vida privada informativa. Mediante el primero, se protege la libertad frente a toda intromisión sobre uno mismo, su casa, su familia o relaciones. Mediante el derecho a la vida privada informativa, se determina por cada sujeto cómo y en qué medida se puede comunicar a otros, información sobre uno mismo. En este último sentido, implica la facultad del individuo, derivada de la idea de autodeterminación, de decidir básicamente por sí mismo cuándo y dentro de qué límites procede revelar situaciones referentes a la propia vida (Murillo Lucas, Pablo, La protección de los datos personales ante el uso de la informática, en Estudios en homenaje al profesor don Luis Sánchez Agesta, Revista Facultad de Derecho, Universidad Complutense (RFDUC), Madrid, 1989. p. 605-606).


2.- Derechos de tercera generación.

Como señalara Pérez Luño (Pérez Luño, Antonio, Los derechos humanos en la sociedad tecnológica, en Libertad informática, Leyes de Protección d Datos Personales, Cuadernos y Debates, Centro de Estudios Constitucionales, Madrid, 1989, p. 143 y ss.), el derecho a la autodeterminación informativa es un derecho de tercera generación. Los derechos de primera generación fueron los derechos de defensa; los derechos de segunda generación, fueron los económicos, sociales y culturales; y los de tercera generación corresponden a los derechos que responden al fenómeno conocido como “contaminación de libertades”, atendiendo a la erosión y degradación que aqueja a los derechos fundamentales ante determinados usos de las nuevas tecnologías.
En efecto, las nuevas facetas de la vida privada propia de las sociedades avanzadas, requieren nuevos instrumentos de tutela jurídica, en especial respecto del tratamiento de los datos de carácter personal.
Se ha discutido si se trata de un derecho autónomo o de la especificación de un derecho existente (el derecho a la vida privada). Con todo, cabe señalar que la protección de la persona en materia de bases de datos y tratamientos automatizados, no puede polarizarse exclusivamente en una amenaza para la intimidad o la vida privada, pues ella constituye también un peligro para otras libertades (Pérez Luño, Antonio, Los derechos humanos en la sociedad tecnológica, en Libertad informática, Leyes de Protección de Datos Personales, Cuadernos y Debates, Centro de Estudios Constitucionales, Madrid, 1989, p. 143 y ss).
En definitiva, entonces, la pluralidad de manifestaciones de la vida privada no implica una disolución del concepto unitario de vida privada, sino más bien, su ampliación y adaptación a las exigencias de un mundo en constante cambio. Las sociedades actuales precisan de un equilibrio entre el creciente flujo de información y la garantía de vida privada de los ciudadanos.

3.- Derecho a la vida privada.

Este derecho comprende una serie de deberes positivo de los poderes públicos e instituciones privadas que procedan al tratamientos de datos personales. Este derecho tiene por objeto garantizar la facultad de las personas para conocer y acceder a las informaciones que les conciernen, lo que implica la posibilidad de corregir o cancelar los datos inexactos o indebidamente procesados, y disponer su transmisión.
La protección de los datos carecería de sentido si no se tradujera en un conjunto de garantías para las personas; pero el derecho a la autodeterminación informativa sería inconcebible de no contar como presupuesto con un marco organizativo de la información (Pérez Luño, Antonio, Op. Cit., p. 141).
En otras palabras, la autodeterminación informativa no es sólo un derecho para los ciudadanos, sino también un deber para los poderes públicos e instituciones privadas. En esta parte, el legislador cumple un rol fundamental, pues tiene el deber de adoptar las medidas necesarias para proteger este derecho frente a los ataques de terceros, sin contar para ello con la voluntad de sus titulares.


4.- Los cambios que se necesitan.

Pese a que la ley constituyó un gran aporte sobre la materia, su normativa ha demostrado ser insuficiente.
Paradojalmente, la ley N° 19.628, puso énfasis en el derecho a tratar datos de carácter personal y no reconoció como primer derecho, el derecho de los titulares de datos personales a controlar los mismos.

Regulación insuficiente.

La regulación de la actual ley ha sido criticada. Entre las principales críticas, se han señalado: la inexistencia de un registro de responsables privados de bases de datos y de un órgano fiscalizador autónomo; haber establecido que la regla general fuera que la información fuese pública y que no requiriese de la autorización de sus titulares para procesarse; el no haber prohibido la transferencia internacional de datos personales a terceros países que no posean un adecuado sistema de protección; no haber otorgado protección a personas jurídicas; y de no haber exigido autorización para un cúmulo de actividades relacionadas con el tratamiento de datos personales, entre otras.


Necesidad de una autoridad de control.


Para velar por el adecuado cumplimiento de las disposiciones de relativas al tratamiento de datos, se requiere de una autoridad dotada de competencias y herramientas eficaces, tanto para dictar normativa sobre la materia, fiscalizar, adoptar medidas de resguardo y, en última instancia, sancionar los incumplimientos.
Sin embargo, la ley N° 19.628 no contempló un organismo administrativo, agencia o superintendencia estatal que se encargara de velar por el cumplimiento de sus normas, limitándose a entregar al Registro Civil e Identificación, el deber de llevar un registro de las bases de datos a cargo de organismos públicos. Ello ha hecho que en la práctica sea imposible fiscalizar el cumplimiento de las normas de la ley, y muchas de sus disposiciones se han tornado fútiles.

Necesidad de adecuarse a estándares internacionales.


Por otra parte, es necesario adecuar nuestro ordenamiento jurídico a las recomendaciones de la OCDE (Organización para la Cooperación y el Desarrollo Económico), en materia de protección de datos personales, con el fin de adecuar los estándares de nuestro país. Asimismo, es necesario cumplir con el estándar de protección de datos personales de la Unión Europea.

Cumplimiento de un acuerdo.

Considerando la necesidad de dar respuesta a las exigencias de protección del derecho a la autodeterminación informativa, sumado a la conciencia de que el establecimiento de una autoridad de control es fundamental para el real cumplimiento de la ley, se planteó la necesidad de incorporar facultades en esta dirección dentro de las competencias del Consejo para la Transparencia, durante la discusión parlamentaria de la ley N° 20.285.


Sin embargo, sólo se incorporó la facultad de “Velar por el adecuado cumplimiento de la ley Nº 19.628, de protección de datos de carácter personal, por parte de los órganos de la Administración del Estado”. Se tuvo conciencia de que ello sería insuficiente para el resguardo del tratamiento de los datos personales y los derechos de los titulares. Pero se concordó en avanzar y profundizar la actual regulación.
1   2   3   4


La base de datos está protegida por derechos de autor ©absta.info 2016
enviar mensaje

    Página principal