Responsables de datos personales. Análisis leyes 19.628, 21.719 y el RGPD

En materia de tratamiento de Datos Personales, que identifican o hacen identificable a personas naturales y cuya Protección Jurídica es legal pero también de un Derecho Fundamental y constitucional, existen roles. Frente a un titular y propietario en auto determinar su información nominativa con derechos específicos, siempre y copulativamente estará un responsable del tratamiento, con principios que respetar, obligaciones o deberes que cumplir y posibles sanciones ante su incumplimiento. Debe concurrir además una Autoridad de Control y Sancionadora, que administrativamente vele por el ejercicio de los derechos y el cumplimiento de las obligaciones.

La Ley N° 19.628, de protección de datos personales, minimalista e incompleta en su génesis ha sido modificada. Para explicar los cambios, este texto refiere la ley que regirá hasta el año 2026, revisa la base jurídica que fundamenta la modificación (el RGPD europeo del 2016) y analiza con casos concretos, doctrina y jurisprudencias el resultado contenido en la Ley N°21.719.

El aporte para el lector, a la manera de un Manual, es que visualiza el nuevo ecosistema jurídico desde la perspectiva de los Responsables de Tratamiento, los principales afectados con la carga jurídica de la nueva institucionalidad.

CAPÍTULO PRIMERO
DEFINICIONES Y VISIÓN DE CONTEXTO

A.    Generalidades
B.    Conceptos esenciales. Datos personales, tratamiento de datos, causales de legitimación del tratamiento, responsables, co-responsables y encargados de tratamiento de datos
C.    Diferencias jurídicas entre los derechos fundamentales al respecto y protección de la vida privada y a la protección de datos personales (PDP)
D.    Datos personales públicos y privados o reservados. Aplicación de la teoría de las esferas y la nueva definición de fuentes de acceso público
E.    Propiedad o titularidad dominical sobre los datos personales
F.    Aplicación de la ley N°19.628 a los servicios públicos como RDP (referencia)
G.    Aplicación de la ley N° 19.628 a las personas jurídicas como titulares de su información nominativa y corporativa
H.    Aplicación de las LPDP a las redes sociales (RRSS)
I.    Diferencias entre las políticas de tratamiento de datos personales (PTDP) y las declaraciones de tratamiento en los sitios web

CAPÍTULO SEGUNDO
PRINCIPIOS (DEBERES) Y BASES DE LICITUD QUE RIGEN EL TRATAMIENTO DE DATOS PERSONALES

A.    Generalidades
B.    Principios específicos para la gestión y el tratamiento de datos personales
C.    Causales de legitimación o bases de licitud del tratamiento. El interés legítimo
D.    Sobre el consentimiento válido e informado
E.    Legitimación sólo legal del tratamiento de los DP de personas naturales en el sector público o por los servicios públicos
F.    Tratamiento de DP sensibles o especialmente protegidos y de otras categorías especiales. Notas sobre la biometría
G.    Legitimación legal del tratamiento de los DP sobre mora y protestos o insolvencia. Título III de la ley N°19.628, ley 20.575 y ley 21.680 sobre consolidación de deudas
H.    Condiciones habilitantes y cuestionamientos en materia de elaboración de perfiles automatizados de personas naturales. El scoring o las evaluaciones de riesgos comerciales y financieros

CAPÍTULO TERCERO
DEBERES Y OBLIGACIONES ESPECÍFICOS  DE LOS RDP

A.    Generalidades. obligaciones generales, que son deberes

B.    Cumplimiento del principio de finalidad, más allá de su declaración

C.    Deber de secreto o confidencialidad

D.    Deber de información y transparencia

E.    Protección de DP desde el diseño y por defecto

F.    Los registros de actividades de tratamiento o RAT

G.    El resguardo de la identidad digital de los titulares de DP y la confidencialidad de sus credenciales. El “robo de identidad” digital

H.    Sobre el problema de los riesgos y las previas evaluaciones de impacto para los tratamientos de alto riesgo. Los análisis de gestión de vulnerabilidades

I.    Exigencias de gestión de seguridad de la información y de ciberseguridad para el tratamiento de datos personales
I.1.    Los estándares ISO 27001, 27002, 27701, 31700 (entre otros) y los sistemas de gestión de la seguridad de la información en DPP
I.2.    El marco de ciberseguridad del nist
I.3.    Las exigencias generales de la ley N° 19.628
I.4.    Exigencias generales y específicas (sobre PDP) de la ley n°21.663
I.5.    Exigencias especiales del capítulo 20-10 de la recopilación de normas de la CMF (referencia)
I.6.    Normas aplicables en materia de cloud computing
I.7.    Normas especiales de la resolución exenta N° 566 de la Subtel

J.    Notificaciones de las brechas de seguridad

K.    Cumplimiento de restricciones para la transferencia internacional de DP. El caso del cloud computing

L.    Cesiones de datos entre particulares y convenios de intercambio de información entre servicios públicos y con particulares
L.1.    Cesiones de DP entre particulares
L.2.    Convenios de intercambio de información entre servicios públicos (referencia)
L.3.    Cesiones de DP entre servicios públicos y particulares

M.    Designación de un delegado de protección de datos personales (DPD), DPO o data protection officer

N.    Deber de prevenir infracciones. anticipación voluntaria de un modelo de prevención de infracciones (MPI) o de un programa de cumplimiento. El compliance en la PDP

CAPÍTULO CUARTO
DERECHOS DE LOS TITULARES Y PROPIETARIOS DE DP. ACCIONES, RECURSOS DE TUTELA Y PROCEDIMIENTOS CONTRA LOS RDP (POR LOS TITULARES) Y CONTRA LA AGENCIA DE PDP (POR LOS FISCALIZADOS)

A.    “El principio a la autodeterminación informativa” en sede constitucional y el “habeas data”: mecanismo procesal idóneo para materializar “el derecho a la autodeterminación informativa” y tutelar la protección de datos personales

B.    El ejercicio del recurso o la acción cautelar de protección del artículo 20 de la Constitución de 1980 como mecanismo de tutela de la PDP

C.    El derecho de acceso o habeas data y sus derivados en la ley N°19.628. los derechos Arcop para el año 2026
C.1.    Marco europeo de referencia
C.2.    lPDP n 19.628 original
C.3.    lPDP modificada

D.    Forma de ejercer los derechos de los titulares y acciones ante el responsable de datos personales
D.1.    Referencia a la ley N° 19.628 de 1999
D.2.    Marco jurídico lPDP modificada

E.    Procedimientos administrativos (PA) y judiciales de tutela para el ejercicio de los derechos de los titulares, la fiscalización de los RDP y los reclamos de ilegalidad contra la agencia

CAPÍTULO QUINTO
RESPONSABILIDADES, INFRACCIONES Y SANCIONES DE LOS RDP

A.    Generalidades
B.    Texto original y en la modificada ley N°19.628
C.    Contenido y alcances del artículo 23 de la ley N°19.628 de 1999
D.    Responsabilidad legal y administrativa particular en materia de tratamiento de DP

CAPÍTULO SEXTO
FISCALIZACIÓN DE LOS RDP. LA AGENCIA NACIONAL DE DP (ANDP)

A.    Generalidades
B.    Los criterios de la RIPD
C.    Funciones fiscalizadoras de la agencia chilena de protección de datos personales
D.    El Sernac y su breve período de fiscalización como autoridad de PDP de nicho
E.    La fiscalización de la CMF a las empresas fintech