Como estaba agendado, este miércoles 20, la Comisión Mixta continuó la discusión del proyecto de Ley que regula la protección y el tratamiento de los datos personales y crea la agencia de protección de datos, boletín 11144.

Ayer fueron aprobados los siguientes artículos del Proyecto de ley de protección de datos en la Comisión Mixta:

Artículo 8 ter. – Derecho a bloqueo del tratamiento.

El titular de datos tiene derecho a solicitar la suspensión temporal de cualquier operación de tratamiento de sus datos personales cuando formule una solicitud de rectificación, supresión u oposición de conformidad al artículo 11 de la presente ley. Mientras dicha solicitud no se resuelva, asimismo el titular podrá ejercer el derecho alternativamente al de supresión de los casos del artículo 7. El ejercicio de este derecho no afectará el almacenamiento de los datos por parte del responsable.

Artículo 11.- Procedimiento ante el responsable de datos.

Para ejercer los derechos que le reconoce esta ley, el titular deberá presentar una solicitud o requerimiento escrito ante el responsable, dirigido a la dirección de correo electrónico establecida para este fin, un formulario de contacto o un medio electrónico equivalente. La solicitud deberá contener, a lo menos, las siguientes menciones:

a) Individualización del titular y de su representante legal o mandatario, según corresponda y autenticación de su identidad de acuerdo con los procedimientos, formas y modalidades que establezca la Agencia.

b) Indicación de un domicilio o una dirección de correo electrónico o de otro medio equivalente para comunicar la respuesta.

c) Identificación de los datos personales o del tratamiento determinado, respecto de los cuales se ejerce el derecho correspondiente.

d) En las solicitudes de rectificación, el titular deberá indicar las modificaciones o actualizaciones precisas a realizar y acompañar, en su caso, los antecedentes que las sustenten. Cuando se trate de solicitudes de supresión, el titular deberá indicar la causal invocada y acompañar los antecedentes que la sustenten, si correspondiere. Para las solicitudes de oposición, el titular deberá indicar la causal invocada y en el caso de la letra a) del artículo 8°, deberá fundamentar brevemente su petición, podrá igualmente acompañar los antecedentes que estime procedentes. En el caso del derecho de acceso, bastará con la individualización del titular.

Recibida la solicitud el responsable deberá acusar recibo de ella y pronunciarse a más tardar dentro de los treinta días seguidos, prorrogables por el mismo plazo, siguientes a la fecha de ingreso.

El responsable deberá responder por escrito al titular a su domicilio o la dirección de correo electrónico fijada por éste. El responsable debe almacenar los respaldos que le permitan demostrar la remisión de la respuesta a la dirección física o electrónica que corresponda, su fecha y el contenido íntegro de ella.

En caso de denegación total o parcial de la solicitud, el responsable deberá fundar su decisión indicando la causa invocada y los antecedentes que la justifican. En esta misma oportunidad el responsable debe señalar al titular que dispone de un plazo de treinta días seguidos, prorrogables por el mismo plazo, para formular una reclamación ante la Agencia, de acuerdo con el procedimiento establecido en el artículo 41.

Transcurrido el plazo de treinta días seguidos, prorrogables por el mismo plazo, al que hace referencia el inciso segundo anterior, sin que haya respuesta del responsable, el titular podrá formular directamente una reclamación ante la Agencia, en los mismos términos del inciso anterior.

Cuando se formule una solicitud de rectificación, supresión u oposición, el titular tendrá derecho a solicitar y obtener del responsable el bloqueo temporal de sus datos o del tratamiento que realice, según corresponda. La solicitud de bloqueo temporal deberá ser fundada y el responsable deberá responder al requerimiento dentro de los dos días hábiles siguientes a su recepción. En tanto no resuelva esta solicitud, el responsable no podrá tratar los datos del titular que forman parte del requerimiento. El bloqueo temporal de los datos no afectará su almacenamiento por parte del responsable. En caso de rechazo el responsable deberá fundar su respuesta y comunicar en forma electrónica su decisión a la Agencia. El titular podrá reclamar de esta decisión ante la Agencia, aplicándose lo dispuesto en la letra a) del artículo 41.

La rectificación, supresión u oposición al tratamiento de los datos se aplicará sólo respecto de los responsables a quienes se les haya formulado la solicitud. Con todo, cuando el responsable haya comunicado dichos datos a otras personas, deberá comunicar a éstas los cambios realizados en virtud de la rectificación, supresión u oposición.

El titular podrá aportar cualquier otro antecedente que facilite la localización de los datos personales.

Artículo 15 bis. – Tratamiento de datos a través de un tercero mandatario o encargado.

El responsable puede efectuar el tratamiento de datos en forma directa o a través de un tercero mandatario o encargado. En este último caso, el tercero mandatario o encargado realiza el tratamiento de datos personales conforme al encargo y a las instrucciones que le imparta el responsable, quedándole prohibido su tratamiento para un objeto distinto del convenido con el responsable, así como su cesión o entrega en los casos en que el responsable no lo haya autorizado de manera expresa y específicamente para cumplir con el objeto del encargo.

Si el tercero mandatario o encargado trata los datos con un objeto distinto del encargo convenido o los cede o entrega sin haber sido autorizado en los términos dispuestos en el inciso anterior, se le considerará como responsable de datos para todos los efectos legales, debiendo responder personalmente por las infracciones en que incurra y solidariamente con el responsable de datos por los daños ocasionados, sin perjuicio de las responsabilidades contractuales que le correspondan frente al mandante o responsable de datos.

El tratamiento de datos a través de un tercero mandatario o encargado se regirá por el contrato celebrado entre el responsable y el encargado, con arreglo a la legislación vigente. En el contrato se deberá establecer el objeto del encargo, la duración del mismo, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de titulares a quienes conciernen los datos, y los derechos y obligaciones de las partes. El encargado no podrá delegar parte o la totalidad del encargo, salvo que conste una autorización específica y por escrito del responsable. El encargado que delegue a otro encargado parte o la totalidad del encargo, continuará siendo solidariamente responsable sobre dicho encargo y no podrá eximirse de responsabilidad argumentando que ha delegado el tratamiento. La agencia pondrá a disposición del público modelos tipo de contratos en su página web.

El tercero mandatario o encargado deberá cumplir con lo dispuesto en los artículos 14 bis y 14 quinquies. La diferenciación de estándares de seguridad establecida en el inciso primero del artículo 14 septies también será aplicable al tercero mandatario o encargado. Tratándose de una vulneración a las medidas de seguridad, el tercero o mandatario deberá reportar este hecho y al responsable.

Cumplida la prestación del servicio de tratamiento por parte del tercero mandatario o encargado, los datos que obran en su poder deben ser suprimidos o devueltos al responsable de datos, según corresponda.

Artículo 16 ter. – Datos personales biométricos.

Son datos personales biométricos aquellos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la identificación única de ella, tales como la huella digital, el iris, los rasgos de la mano o faciales y la voz.

Sólo podrán tratarse estos datos cuando se cumpliere con lo dispuesto en el inciso primero del artículo 16 y siempre que el responsable proporcione al titular la siguiente información específica:

a) La identificación del sistema biométrico usado;

b) La finalidad específica para la cual los datos recolectados por el sistema biométrico serán utilizados;

c) El período durante el cual los datos biométricos serán utilizados, y

d) La forma en que el titular puede ejercer sus derechos.

Los datos personales biométricos podrán tratarse sin consentimiento sólo en los casos señalados en el inciso segundo del artículo 16 bis.

Artículo 24.- Regímenes especiales.

El tratamiento, comunicación o cesión de datos personales, realizado por órganos públicos competentes en las materias que a continuación se indican, estarán sujetos exclusivamente al régimen de regulación especial establecido en este artículo:

a) Aquellos que se realicen con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas las actividades de protección y prevención frente a las amenazas y riesgos contra la seguridad pública y a la protección a víctimas y testigos análisis criminal y reportabilidad de la información criminal.

b) Aquellos en materias relacionadas directamente con la seguridad de la Nación, la defensa nacional y la política exterior del país.

c) Aquellos realizados con el objeto exclusivo de atender una situación de emergencia o catástrofe, declarada de conformidad a la ley y sólo mientras permanezca vigente esta declaración.

d) Aquellos que se encuentren protegidos por normas de secreto, reserva o confidencialidad, establecidas en sus respectivas leyes. Dentro de esta excepción se entienden también comprendidos los datos que, en cumplimiento de una obligación legal, los órganos públicos deban ceder a otro órgano público o a terceros, debiendo en tal caso el receptor tratarlos manteniendo la misma obligación de secreto, reserva o confidencialidad.

Los órganos públicos correspondientes podrán tratar, ceder y comunicar datos personales de forma lícita, siempre y cuando se realice para el cumplimiento de sus funciones legales, dentro del ámbito de sus competencias y respetando las garantías fundamentales establecidas en el artículo 19, N° 4, de la Constitución Política de la República y los principios establecidos en el artículo 3°.

Con el objeto de realizar los tratamientos, cesiones y comunicaciones de datos para la finalidad prevista en las letras a), b) y c) anteriores, los órganos públicos y sus autoridades estarán obligadas a intercambiar información y proporcionar los datos personales que les sean requeridos para estos fines, siempre que se refieran a tratamientos que se realicen con una finalidad específica autorizada por ley o, cuando esto no sea posible, el requerimiento sea una medida necesaria y proporcional.

La Autoridad de Protección de Datos Personales podrá, oyendo previamente a los órganos competentes, dictar instrucciones para especificar la forma de aplicar las referidas garantías y principios a los casos mencionados, de manera de asegurar su resguardo y permitir el debido cumplimiento de las funciones legales de los órganos correspondientes.

Fuente: https://www.trendtic.cl