La obra de Maritza Castro Frías se erige como una contribución rigurosa, oportuna y necesaria, que permite comprender las tensiones actuales y futuras entre tecnología, derecho y sociedad, ofreciendo a sus lectores no solo un análisis dogmático sólido, sino también herramientas prácticas para enfrentar los desafíos que ya están definiendo el presente y el futuro de la protección de los datos personales.
Maritza Castro Frías logra balancear el análisis doméstico con un enfoque de principios universales. Este libro adquiere un valor singular al ofrecer los principios y marcos analíticos necesarios para comprender y regular el tratamiento de los datos personales en el contexto de la inteligencia artificial, y en particular en el desarrollo de los modelos generativos de mayor poder, los denominados modelos fundacionales.
La obra permite comprender que el verdadero núcleo del debate jurídico no reside exclusivamente en la existencia de consentimiento, sino en la compatibilidad de fines, la legitimidad del tratamiento y la responsabilidad de quien toma las decisiones, elementos que resultan determinantes en contextos de entrenamiento algorítmico. En este sentido, el texto ofrece un marco conceptual robusto para abordar preguntas que hoy dominan la discusión global sobre el tratamiento continuado de los datos personales por el ente responsable, pero que rara vez se analizan con la profundidad dogmática que aquí se presenta.
Simón Ruan, abogado especialista en Tecnologías de la Información.Licenciado bajo las leyes de los estados de Nueva York y Washington,EE.UU., y Venezuela.
PRIMERA PARTE
EL DERECHO DE LA INFORMACIÓN PERSONAL Y LA LIBERTAD FUNDAMENTAL DENOMINADA “DERECHO A LA PROTECCIÓN DE LOS DATOS PERSONALES”
CAPÍTULO I
EL DERECHO DE LA INFORMACIÓN PERSONAL
1. Hacia una conceptualización del Derecho de la información personal
1.1 El Derecho desde un punto de vista objetivo
1.2 El Derecho de la información
1.3 Derecho de la información personal (o derecho de los datos personales)
1.4 El Derecho de protección de datos personales
1.5 Derecho de tratamiento de datos personales
2. Antecedentes
3. Contenido del Derecho de la información personal
4. Clasificaciones
5. Características del Derecho de la información personal (DIP)
a) Es derecho interno
b) Es derecho privado
La libertad denominada autodeterminación informativa es un derecho privado
c) Es derecho en rápido desarrollo
d) Es derecho globalizado
e) Es derecho disperso
6. Derecho de la información personal (DIP) y sus relaciones con otras ramas del Derecho
a) DIP y Derecho constitucional
b) DIP y Derecho administrativo
c) DIP y Derecho penal
d) DIP y Derecho internacional público
e) DIP y Derecho internacional privado
f) DIP y Derecho civil
g) DIP y Derecho del trabajo
7. El Derecho de la información personal y otras disciplinas
a) DIP e informática
b) DIP y moral
c) DIP y sociología
d) DIP y economía
e) DIP y ciberseguridad
Algunos aspectos de la ley N°21.663, sobre ciberseguridad que inciden en la protección de datos personales
Ciberseguridad y sus elementos básicos
Principios de seguridad informática y de privacidad y seguridad por defecto y desde el diseño
Sistema de gestión de seguridad de la información
Agencia nacional de ciberseguridad
Deber de velar por la coherencia normativa
Incidentes de ciberseguridad relacionados con datos personales
Taxonomía de incidentes de ciberseguridad
CAPÍTULO II
PRINCIPALES FUENTES FORMALES DEL DERECHO DE LA INFORMACIÓN PERSONAL
a) La Constitución
b) La ley
1. Ley N°19.628 o ley de base
2. Leyes sectoriales
2.1. Artículo 3° del D.L. N°2.306, de 1978, de Defensa Nacional, que dicta normas sobre reclutamiento y movilización de las Fuerzas Armadas.
2.2. El Artículo 101 del Código Sanitario
2.3. El D.F.L. N°1, de Salud, de 2005, publicado en el Diario Oficial el 24 de abril de 2006
Potestad de decretar la alerta sanitaria
Potestad para tratar datos con fines estadísticos y mantener registros o bancos de datos respeto de materias de su competencia
2.4. La ley N°21.016
2.5. Otras normas de rango legal
c) Los tratados internacionales
1. La convención americana sobre los derechos humanos (D.O. 5 de enero de 1991)
2. El acuerdo de asociación entre la Comunidad Europea y Chile (D.O. 1 de febrero de 2003)
3. El convenio de Budapest (D.O. 28 de agosto de 2017).
4. El acuerdo entre el Gobierno de Chile y el Gobierno de los Estados Unidos de América en materia de incremento de la cooperación en la prevención y combate del delito grave (D.O. 4 de enero de 2018)
d) Los reglamentos
1. Reglamento para la comunicación o cesión de datos personales entre organismos públicos y con personas u organismos privados y para regular los procedimientos de anonimización de los datos personales, especialmente los sensibles
Plazo para dictar este reglamento
2. Reglamento relativo a los modelos de prevención de infracciones
Plazo para la dictación de este reglamento
e) Las instrucciones generales de los organismos administrativos con competencia para dictarlas
1. Concepto
2. Tipos de instrucciones generales
3. Instrucciones que debe dictar la Agencia
3.1 Instrucción sobre costos directos en caso de ejercicio del derecho de acceso y de portabilidad más de una vez en el trimestre
3.2 Instrucción general con estándares y medidas para cumplir con los deberes de transparencia activa y de seguridad del responsable
3.3 Instrucciones o normas de carácter general sujetas a coordinación regulatoria
4. Consecuencias jurídicas en caso de incumplimiento de las instrucciones generales impartidas por la Agencia
f) La jurisprudencia administrativa, judicial y doctrinaria
1. Jurisprudencia administrativa
2. Jurisprudencia judicial
3. Jurisprudencia doctrinaria
3.1 Tratadistas
3.2 El Derecho extranjero
3.2.1 Normas de efectos particulares
3.2.2 Normas de efectos generales
a) Europa
b) Estados Unidos de Norteamérica
c) Taiwán
d) China
CAPÍTULO III
TEORÍA DEL DERECHO A LA PROTECCIÓN DE LOS DATOS PERSONALES
1. Concepto
2. Sinonimia
3. Relación del derecho a la protección de datos personales con la “libertad informática”
4. Naturaleza del derecho a la protección de datos personales
4.1 Es una libertad
Es una libertad distinta a la privacidad
Derecho comparado
Es una libertad en la esfera privada
4.2 Es un derecho privado extrapatrimonial del tipo “derecho de la personalidad”
Derecho subjetivo privado y extrapatrimonial con sujeto pasivo universal
Los derechos de la personalidad desde una perspectiva ius-privatista
Consecuencias patrimoniales por la violación del derecho a la autodeterminación informativa
Los derechos de la personalidad desde una perspectiva constitucional
5. Características del derecho a la protección de los datos personales
a) Es un derecho absoluto (de sujeto pasivo universal)
b) Es un derecho originario
c) Es un derecho intransmisible e intransferible o personalísimo
Derechos de los herederos en el caso de datos del/de la causante
d) Es un derecho puro y simple
e) Es un derecho imprescriptible
6. Objeto o contenido del derecho a la protección de los datos personales
6.1 Libertad de revelar o no la información personal
Antecedentes
Concepto
Atributo compartido con el derecho a la privacidad
Caso del dato sensible
6.2 Haz de facultades que impone deberes jurídicos a terceros
El habeas data: la garantía del haz de facultades
CAPÍTULO IV
EL DERECHO A LA PROTECCIÓN DE LOS DATOS PERSONALES EN LA CONSTITUCIÓN CHILENA Y PRINCIPIOS DE SU PROTECCIÓN
1. Historia de la consagración constitucional del derecho a la protección de los datos personales
2. Consagración constitucional del derecho a la protección de datos personales
2.1 Protección de la privacidad, la honra y los datos personales
2.2 El tratamiento y protección de los datos personales se efectuará en la forma y condiciones que determine la ley
2.3 Coordinación entre la libertad en materia informativa y la protección legal de los datos
3. Garantías constitucionales en pro del derecho a la protección de datos personales
3.1 Conceptos previos
Garantía
Garantía constitucional
Tipos de garantías constitucionales
3.2 Las garantías constitucionales del derecho a la protección de los datos personales
3.2.1 Garantías generales
3.2.1.1. La prohibición de afectar los derechos en su esencia
La esencia de los derechos
Todos los derechos del artículo 19 de la Constitución tienen una esencia
Deber de no afectar los derechos en su esencia
Un derecho se entiende afectado en su esencia cuando se hace imposible ejercerlo
Estándar judicial de constitucionalidad de las limitaciones a un derecho fundamental
3.2.1.2 El recurso de protección
3.2.1.3 Acciones innominadas en virtud de derecho a la acción
3.2.2 Garantía específica
Doble dimensión de la garantía específica
CAPÍTULO V
INTERPRETACIÓN DEL DERECHO DE PROTECCIÓN DE DATOS PERSONALES
1. La interpretación
2. Concepto de “Principios”
3. Principios aplicables a la interpretación de la libertad informativa y sus garantías en el texto constitucional
Criterios matrices
Claves interpretativas
Artículos representativos del ethos y telos constitucional
La igualdad ante la ley
La diferencia entre los grupos debe justificar el trato desigual
Transgresión al principio de igualdad
Examen de proporcionalidad
La garantía del art. 19 N°26
Las normas de interpretación de la ley
4. Principios aplicables a la interpretación de normas legales
4.1 Determinar si la interpretación afecta a la libertad individual en materia de información
4.2 Establecer si la interpretación se refiere a la protección o tratamiento de datos personales
Principio de la continuidad en la protección de datos personales
Principios que regulan en T de datos personales
5. Principios aplicables a la interpretación de otras normas
SEGUNDA PARTE
LA LEY N°19.628
CAPÍTULO VI
ASPECTOS GENERALES DE LA LEY N°19.628
1. Aspectos generales de la ley N°19.628
1.1 El nombre de la ley N°19.628
Sobre la errada referencia a la vida privada
Corrección a partir de diciembre de 2026
1.2 El modelo del nuevo texto
1.3 Estructuras
1.3.1 Estructura de la ley N°19.628 hasta la entrada en vigencia de la ley N°21.719
1.3.2 Texto conforme las modificaciones introducidas por la ley N°21.719
1.3.3 Comparación básica de la estructura de la ley N°19.628
1.4. Características de la ley N°19.628
1.4.1 Supletoriedad
Relación entre la ley de base y las leyes sectoriales
1.4.2 Carácter reglamentario
1.4.3 Creación de multiplicidad de estatutos
1.4.4 Técnica legislativa innecesariamente compleja
1.4.5 Disparidad sustantiva
1.4.6 Delegación a normas de rango inferior en materias de reserva legal
1.5 Principales innovaciones del NTL
Cambios implícitos y dudas respecto de su adecuación al principio de igualdad
2. El título preliminar de la ley N°19.628
2.1 Texto inmediatamente anterior a la entrada en vigor de las modificaciones de la ley N°21.7192.2 Texto desde la entrada en vigor de las modificaciones de la ley N°21.719
2.3 Nombre del título preliminar
3. Objeto de la ley
3.1 Comparación de textos
4. Ámbito de aplicación
4.1 Ámbito de aplicación material
4.1.1 El T de datos debe respetar los derechos y libertades de las personas
¿Respeto a derechos originarios y derivados?
4.1.2 Tratamientos no regulados por la ley N°19.628
4.1.2.1 T de datos en ejercicio de las libertades de emitir opinión e informar
¿Se exceptúa el T de datos personales en redes sociales?
T de datos por parte de los medios de comunicación social regido por la ley N°19.628
4.1.2.2 T de datos realizado por personas naturales en sus actividades personales
Derecho comparado
4.1.3 Comparación de textos de la ley N°19.628 en lo referente al ámbito de aplicación material
4.1.3.1 Ámbito de aplicación material en el texto previo a la vigencia de la reforma de la ley N°21.719
4.2 Ámbito de aplicación territorial
El control de comportamiento de una persona natural
4.3 Otras disposiciones del título preliminar anterior a la ley N°21.71
4.3.1 Derecho a tratar datos personales
4.3.2 Deberes de información especiales en la recolección de datos personales en encuestas e instrumentos semejantes
4.3.3 Derecho de oposición especial
CAPÍTULO VII
EL SISTEMA CONCEPTUAL DE LA LEY N°19.628
1. Generalidades de las definiciones del nuevo artículo 2°
2. Conceptos fundamentales no definidos por la ley
3. Términos adicionales para facilitar el análisis de las disposiciones
4. El sistema conceptual de la ley N°19.628
4.1 El texto inmediatamente anterior a la reforma de la ley N°21.719
4.2 Grupos conceptuales
4.3 Los cambios
4.4 Primer grupo conceptual: sujetos
4.4.1 El/la titular
4.4.2 El/la responsable
4.4.2.1 Concepto
4.4.2.2 ¿Cómo se tratan los datos personales por un/a responsable?
4.4.2.3 Tipos de responsables de datos
4.4.2.3.1 Según si es una persona jurídica de derecho público o una de derecho privado
A. responsable privado
Concepto
Tipos
1. Según si tratan datos de salud o perfil biológicos o no
2. Según si tratan datos en forma exclusiva para ciertos fines
3. Según si son empresas de menor tamaño, o no
4. Según si está relacionado con NNA, o no
B. Responsable público
Concepto
Tipos de responsables públicos
Tipos de responsables constitucionales
i. responsables constitucionales más privilegiados
ii. Responsables constitucionales menos privilegiados
4.4.2.3.2 Según si trata los datos directamente o a través de terceros
4.4.3 El/la tercero/a mandatario/a o encargado/a
4.4.4 Los organismos públicos
4.4.5 La Agencia4.4.6 Sujeto no definido: tercero que tiene intereses legítimos para cuya satisfacción es necesario el T
Vulneración de los derechos y libertades del/de la titular
4.5 Segundo grupo conceptual: libertades y derechos del/de la titular
4.5.1 Libertad de dar su consentimiento al T de sus datos personales
4.5.2 Derechos PROSA
4.6 Tercer grupo conceptual: facultades del/de la responsable
4.6.1 Conceptos de comunicación y de cesión de datos personale
4.6.1.1 Relación entre comunicación y cesión de datos personales
Exclusión
4.6.1.2 Clasificaciones de las cesiones
1. Según si la cesión se hace con el consentimiento del/de la titular o no
2. Si el responsable transmisor de datos es un órgano público (dentro de los cuales también están los responsables constitucionales) o no
3. Si el/la responsable cede todos los datos personales que trata o sólo algunos de ellos
4. Si la cesión se refiere a datos sensibles relativos a la salud o al perfil biológico, o no
4.6.1.3 Clasificaciones de las comunicaciones y cesiones públicas de datos personales
4.6.1.3.1 Comunicaciones o cesiones públicas generales
4.6.1.3.1.1 Comunicaciones o cesiones públicas a órganos públicos
4.6.1.3.1.2 Comunicaciones o cesiones públicas a privados
4.6.1.3.2 Comunicaciones o cesiones de datos sensibles para finalidades especiales
4.6.1.3.3 Comunicaciones o cesiones públicas de datos relativos a infracciones
4.6.2 Facultad no definida por la ley: la transferencia internacional de datos personales (“TIDP”)
Concepto
4.7 Intereses no definidos, ¿segundo grupo conceptual?
4.7.1 Interés legítimo
Concepto
Tipos de intereses legítimos
Estrecha relación entre interés y derecho subjetivo
Referencias a los intereses legítimos en el nuevo texto de la ley N°19.628
a) El interés legítimo en el derecho de acceso (letra e) del nuevo artículo 5)
b) El interés legítimo que habilita acreditar motivos legítimos imperiosos y anular el derecho de oposición (letra a) del nuevo artículo 8)
c) El interés legítimo como causal de licitud del T sin consentimiento del/de la titular (letra “d” del nuevo artículo 13)
d) El interés legítimo como información que debe proporcionar el responsable (letra d) nuevo artículo 14 ter)
e) Caso del T de un dato sensibpuro y simple que se basa en el interés legítimo realizado por una persona jurídica de derecho público o derecho privado sin fines de lucro
f) Presunción de interés legítimo
Conveniencia de que el/la responsable sea el/la primer/a evaluador/a de la existencia de intereses legítimos
4.7.2 Motivos legítimos imperiosos (MLI)
4.7.2.1 Concepto
Necesidad de ponderación
4.7.2.2 Tipos de MLI
a) Motivos legítimos imperiosos prevalecientes
El MLI contencioso
b) Motivos legítimos imperiosos no prevalecientes
4.8 Cuarto y quinto grupos conceptuales: acciones
4.8.1 Cuarto grupo conceptual: acciones sobre todo tipo de datos
4.8.2 Quinto grupo conceptual: acciones sobre datos personales
4.8.2.1 El tratamiento de datos
Concepto
Tipos de tratamiento de datos personales
1. Según si el T es automático o no
2. Según el riesgo para los derechos de los titulares
3. Según la necesidad de consentimiento del/de la titular
4. Según haya o no recolección de datos personales biosanitarios
4.8.2.2 La elaboración de perfiles
4.8.2.3 La anonimización
4.8.2.4 La seudonimización
Requisitos de la información adicional
¿El dato seudonimizado es un dato personal?
4.8.2.5 La desidentificación
Diferencia entre desidentificación y anonimización
4.8.2.6 La reidentificación
4.9 Sexto grupo conceptual: datos
El dato actual
Binomios lógicos
4.10 Séptimo grupo conceptual: bases de datos
Binomios conceptuales
1. Bases de datos personales y bases de datos estadísticos
a) Bases de datos personales
b) Base de datos estadísticos
2. Fuentes de acceso público y fuentes de acceso restringido
Error lógico en la definición
a) Fuente de acceso público
b) Fuente de acceso restringido
Importancia de la clasificación
3. El Registro nacional de sanciones y cumplimiento
Anotaciones
Publicidad de las anotaciones del RNSC
Naturaleza del registro
CAPÍTULO VIII
PRINCIPIOS QUE REGULAN EL TRATAMIENTO DE LOS DATOS PERSONALES
1. Concepto
2. Antecedentes
2.1 La ley N°20.5752.2 Artículo 5 del RGPD
2.2.1 Explicaciones de la Agencia española de protección de datos
2.2.1.1 Principio de “licitud, transparencia y lealtad”
2.2.1.2 Principio de “finalidad”
2.2.1.3 Principio de “minimización de datos”
2.2.1.4 Principio de “exactitud”
2.2.1.5 Principio de “limitación del plazo de conservación”
2.2.1.6 Principio de “seguridad” (“integridad y confidencialidad” en el RGPD)
2.2.1.7 Principio de “responsabilidad activa” o “responsabilidad demostrada”
2.3. La Constitución y la ley N°18.575
3. Los principios del T de datos personales conforme al NTL
4. Importancia de los principios
5. Contrapartida de los deberes: derechos subjetivos derivados de sujeto activo universal
6. Clasificaciones de los principios
6.1 Principios según la posibilidad de regulación administrativa
6.1.1 Principios no sujetos a desarrollo administrativo
6.1.2 Principios sujetos a desarrollo administrativo
6.2 Principios según el tipo de dato
6.2.1 Principios aplicables exclusivamente al T de datos relativos a deudas señaladas en el título III de la ley N°19.628
6.2.2 Principios aplicables al T de todo tipo de datos
6.3 Principios según el tipo de responsable
6.3.1 Principios aplicables a todos los responsables
Comparación entre los principios según el RGPD y los aplicables a todos los responsables de acuerdo con el nuevo texto de la ley N°19.628
6.3.2 Principios aplicables sólo a los responsables públicos
La aplicación de los principios de una subfunción estatal a todos los órganos estatales
A. Principios de licitud y lealtad
Principio de licitud
Principio de lealtad
B. Principio de finalidad
1. El principio de finalidad en el T de datos personales relativos a deudas
2. El principio de finalidad en el T de los demás datos
2.1. Los fines específicos, explícitos y lícitos
2.1.1 Recolección de datos
2.1.2 Tratamiento de datos
2.2 Licitud del tratamiento de datos personales con fines distintos a los señalados en la recolección
a) El Tratamiento es para fines compatibles con los autorizados originalmente
¿Qué se entiende por fin compatible?
Los fines de archivo en interés público, fines de investigación científica e histórica y fines estadísticos como fines compatibles
Construcción jurisprudencial y artículo 19 N°26 de la C.P.R.
b) Existe una relación contractual o precontractual entre el/la titular y el responsable que justifique el T con fines distintos a los informados
c) Que el/la titular otorgue nuevamente su consentimiento
d) Cuando lo disponga la ley
3. La finalidad como principio eje de la recolección y T de datos personales
C. Principio de proporcionalidad
“Minimización de datos”
“Limitación del plazo de conservación”
Conservación de los datos sólo por el tiempo que sea necesario para cumplir los fines del T
Deber de suprimir o analizar los datos personales sujeto a un plazo
Conservación de los datos por un tiempo mayor al necesario para cumplir los fines del T
D. Principio de calidad
Datos personales de calidad
Estándar de calidad de los datos
Calidad en dos dimensiones
Ampliación del espectro de la exactitud del dato en relación con el estándar europeo
E. Principio de responsabilidad
Establecimiento de sujeto pasivo
Omisión del deber de demostrar la responsabilidad
F. Principio de seguridad
Estándares adecuados de seguridad
Requisitos de las medidas de seguridad
Omisión del deber de análisis de los riesgos contra la integridad, disponibilidad y confidencialidad
Posibilidad de regulación administrativa
G. Principio de transparencia e información
Obligaciones de transparencia e información del/de la responsable
Posibilidad de regulación administrativa
H. Principio de confidencialidad
1. Obligaciones que genera el deber de confidencialidad
1.1 Obligación de confidencialidad
Sujetos pasivos
Personas que tienen acceso a los datos personales
Ámbito material
1.2 Obligación de establecer controles y medidas de secreto o confidencialidad
Sujeto pasivo
Ámbito material
Duración de los controles y medidas de secreto o confidencialidad
2. Coordinación normativa
CAPÍTULO IX
DE LOS DERECHOS DEL TITULAR DE DATOS PERSONALES
1. El título I anterior a la vigencia de la ley N°21.719
2. Visión global del título I que rige a contar de la vigencia de la ley N°21.719
3. Derechos del/de la titular de datos
3.1 Recapitulación
3.2 Antecedentes de los derechos PROSA
3.3 Los derechos que confiere el nuevo texto de la ley N°19.628
3.3.1 Forma de ejercer los derechos del/de la titular
3.3.2 ¿La enumeración del inciso primero del artículo 4° es taxativa o meramente enunciativa?
3.3.3 Derechos que se reconocen al/a la titular en otros artículos del nuevo texto de la ley N°19.628
3.3.4 ¿La persona natural puede ejercer otras acciones además de las conferidas en la ley N°19.628?
3.4 Características de los derechos del/de la titular que confiere el nuevo texto de la ley N°19.628
a) Se ejercen sobre datos personales
b) Son derechos personales
c) Son derechos intransferibles
d) Son derechos irrenunciables
e) Estos derechos no pueden limitarse por acto o convención
Limitaciones legales
3.5 Ejercicio de los derechos en caso del fallecimiento del/de la titular
3.5.1 Acceso, rectificación y supresión de los datos del causante
3.5.2 Los demás derechos
3.6 Clasificaciones de los derechos señalados en el nuevo título I
3.6.1 Según si se pueden ejercer ante todo tipo de responsables
a) Derechos del título I que se tienen ante todo tipo de responsables
b) Derechos del título I que no se tienen ante responsables públicos
Comentario sobre el derecho de bloqueo ante responsables públicos
3.6.2 Según si se establecen condiciones para el ejercicio de los derechos dependiendo ante quién se ejercen
a) Derechos del nuevo título I que se ejercen bajo las mismas condiciones
b) Derechos del nuevo título I que no se ejercen bajo las mismas condiciones
3.7 Consecuencia jurídica para el/la responsable que infrinja los derechos del/de la titular
4. El Derecho de acceso
4.1 Definición legal
4.2 Según ante quién se ejerce
4.2.1 Ejercicio ante todo tipo de responsables
4.2.1.1 Contenido esencial
4.2.1.2 Información sobre la forma y condiciones del T que se debe entregar
Los intereses legítimos del/de la responsable
4.2.1.3 Extinción del deber de dar acceso a los datos personales
4.2.2 Ejercicio ante responsables públicos
4.3 Según el tipo de dato
4.3.1 Datos referidos a deudas del título III
4.3.2 Todo tipo de datos
5. Derecho de rectificación
5.1 Definición legal
5.2 Ejercicio ante todo tipo de responsables
5.2.1 Requisito para el este derecho: datos inexactos, desactualizados o incompletos
5.2.2 Contenido esencial
5.2.3 Obligación adicional del/de la responsable respecto de terceros
5.2.4 Prohibición de tratar datos inexactos, desactualizados o incompletos, una vez hecha la rectificación
5.3 Ejercicio ante responsables públicos
6. Derecho de supresión (o eliminación)
6.1 Definición legal
6.2 Ejercicio ante todo tipo de responsables
6.2.1 Casos en que procede la supresión
6.2.1.1 En el texto anterior a la reforma de la ley N° 21.719
6.2.1.2 En el texto posterior a la reforma de la ley N°21.719
6.2.2 Intereses que prevalecen sobre la solicitud de supresión de datos
¿Qué es un tratamiento “necesario” para efectos de no suprimir datos personales?
6.2.3 Relación con el derecho de bloqueo
6.3 Ejercicio ante responsables públicos
6.4 Deber de supresión respecto de datos referidos a las deudas del título III
7. Derecho de oposición
1) Definición legal
2) Ejercicio ante todo tipo de responsables
7.2.1 Se establece en relación con un T específico o determinado y en ciertos casos
7.2.2 Casos en que procede el derecho de oposición
7.2.2.1 Derecho de oposición cuando la base de licitud del T es la satisfacción de intereses legítimos del responsable
Efectos del ejercicio del derecho oposición
7.2.2.2 Derecho de oposición si el T se realiza exclusivamente para fines de mercadotécnica o marketing directo de bienes, productos o servicios, incluida la elaboración de perfiles conforme al artículo 8 bis
Antecedentes de esta disposición
7.2.2.3 Derecho de oposición si el T se realiza respecto de datos obtenidos de una fuente de acceso público y no existe otro fundamento legal para su tratamiento
7.2.3 Causal en que no procede la oposición
3) Ejercicio ante responsables públicos
Causal adicional para ejercerlo
Causales en que no puede ejercerse este derecho
8. Derechos relativos a las decisiones basadas en el T automatizado de datos personales
8.1 Derechos que establece el artículo 8 bis
8.2 Responsables con los deberes correlativos
8.3 Antecedentes
8.4 Requisitos de la decisión basada en TADP, para dar origen a los derechos
8.4.1 Se trata de una decisión basada en el TADP
8.4.2 El TADP debe afectar al/a la titular como indica la ley
8.5 Excepciones (derecho del/de la responsable a tomar decisiones basadas en el TADP sin oposición)
8.6 Deberes del/de la responsable que toma legalmente decisiones basadas en el TADP
Instrucciones y normas generales de la Agencia
9. Derecho accesorio y alternativo: bloqueo del tratamiento
9.1 Definición
Diferencia entre bloqueo y derecho de bloqueo
9.2 El derecho a solicitar el bloqueo es accesorio a los derechos de rectificación, supresión y oposición (accesoriedad a los derechos “ROS”)
9.3 El derecho a solicitar el bloqueo es alternativo al derecho de supresión
9.4 El ejercicio del derecho de bloqueo no afectará el almacenamiento de los datos por parte del/de la responsable
10. Derecho a la portabilidad de los datos personales en los casos que indica la ley
10.1 Definición legal
Relación con la cesión
10.2 Requisitos del T para que el/la titular tenga este derecho a la portabilidad
10.3 Facultades del derecho a la portabilidad
Características del formato electrónico
10.4 Deberes del responsable cuando se ejerce el derecho a la portabilidad
10.5 Derecho accesorio a la portabilidad: entrega directa de responsable a responsable
10.6 La portabilidad no supone supresión por parte del/de la responsable cedente, salvo solicitud conjunta
11. Forma y medios de ejercer los derechos del/de la titular de datos
11.1 Legitimación pasiva
Derecho a ejercer los derechos ante cualquier responsable, en caso de que haya más de uno tratando los datos del/de la titular
11.2 Deberes de los responsables en caso de ser personas jurídicas no constituidas en Chile
1. Deber de señalar datos de contacto ante la Agencia
2. Deber de mantener tales datos actualizados
11.3 Deber del/de la responsable de implementar mecanismos y herramientas tecnológicas que permitan que el/la titular ejerza sus derechos en forma expedita, ágil y eficaz.
11.4 Gratuidad y costos del ejercicio de los derechos PROSA
Gratuidad
Costos
Instrucción general de la Agencia
11.5 Función de la Agencia: velar por el efectivo ejercicio y cumplimiento de los derechos que la ley N°19.628 reconoce al/a la titular
12. Procedimiento de ejercicio de derechos ante el/la responsable de datos
12.1 El habeas data
A. Concepto
B. Características
C. Reseña del Habeas data del texto original de la ley N°19.628
a) El título II vigente hasta el 30 de noviembre de 2026
b) La apelación
Apelación de la sentencia del juez de letras en lo civil
Apelación de la sentencia dictada por la Corte Suprema
12.2 El habeas data ante el/la responsable privado/a del nuevo texto de la ley N°19.628
12.2.1 Derechos cuyo ejercicio protege el habeas data
12.2.2 Características generales del habeas data chilensis ante el/la responsable privado/a
Crítica a la regulación de la etapa judicial
12.3 El procedimiento de habeas data ante el/la responsable privado/a
Forma de ejercer los derechos que reconoce la ley N°19.628
Procedimiento de habeas data ante el/la responsable privado/a
1. La solicitud
¿A dónde se dirige?
Contenido de la solicitud
1.1. Menciones comunes a todas las solicitudes
1.2. Menciones específicas
1.2.1 Solicitudes de rectificación
1.2.2 Solicitudes de supresión
1.2.3 Solicitudes de oposición
1.2.4 Solicitud de acceso
2. Acuse de recibo
3. Plazo para responder
Prórroga del plazo
4. La respuesta
4.1 ¿A dónde se dirige?
4.2 Respaldos de la remisión, fecha y contenido de la respuesta
4.3 Contenido de la respuesta
4.3.1 En caso de denegación total o parcial
4.3.1.1 Indicar fundamentos
4.3.1.2 Indicar plazo para reclamar ante la Agencia
5. ¿Qué pasa su transcurre el plazo de 30 días corridos sin respuesta del/de la responsable?
6. Regulación del bloqueo dentro de un habeas data ROS
6.1 Requisitos de la solicitud de bloqueo
6.2. Plazo para responder la solicitud de bloqueo
6.3 Efectos de la interposición de la solicitud de bloqueo
6.4 Efectos del bloqueo
6.5 Rechazo de la solicitud de bloqueo
6.5.1 Expresión de fundamentos
6.5.2 Comunicación a la Agencia
6.5.3 Reclamo ante la Agencia
7. Efectos del habeas data ROS
7.1 Efecto relativo
7.2 Deber de comunicar los cambios
8. Facultad de aportar antecedentes para localizar los datos
12.4 Relación con la Ley de transparencia: el habeas data impropio
12.4.1 Concepto
12.4.2 Tipos de habeas data impropios
12.4.3 Determinación de la normativa aplicable
Principios aplicables
Habeas data impropios en materias que no son de competencia de la institución pública requerida
Habeas data falsos o impropios en materias que son competencia de la institución pública requerida
Jurisprudencia judicial
Jurisprudencia del CPLT
CAPÍTULO X
ESTATUTO DEL/DE LA RESPONSABLE DATOS
1. Generalidades
A. Títulos que regulan a los distintos responsables de la ley N°19.628
B. Obligaciones comunes a responsables públicos y privados del nuevo título II
B.1 Deberes primordiales de todos los responsables
1. Deberes de dirección y supervisión
Efecto del cumplimiento diligente de estos deberes
2. Deber de prevención de infracciones a la ley N°19.628
B.2 Deberes calificados aplicables tanto a responsables públicos como privados
1. Deber de anonimización o supresión de datos personales de exintegrantes
Responsable calificado
Regulación del deber
2. Deber de velar por el uso lícito y la protección de los datos de NNA
Responsables calificados
C. Sentido y alcance del párrafo primero del nuevo título II
Relación con el artículo 19 N°21 de la C.P.R.
El nombre del párrafo primero del nuevo título II
Panorama del párrafo primero
D. Normas dispersas en relación con los estatutos de los responsables
2. Estatuto del/de la responsable privado/a
1. Regulación constitucional: derecho de realizar la actividad económica conforme a la Constitución
2. Regulación legal especial de la actividad de tratamiento de datos personales
2.1 Situaciones jurídicas activas
El derecho a tratar los datos personales
Fuente del derecho
La ley.
Contenido del derecho
Tipos de facultades
2.2 Situaciones jurídicas pasivas
1. De fuente constitucional: Deber de realizar la actividad económica conforme a la Constitución
2. Emanadas de normas legales que regulan la actividad de T
3. Facultades comunes a todos los responsables privados
3.1 Tratar datos personales de conformidad a la Constitución y las leyes
3.2 Ceder datos personales, de conformidad al nuevo artículo 15
3.2.1 Concepto de cesión
3.2.2 Regulación de la cesión privada de datos personales
Concepto
Tipos de cesiones privadas
3.2.2.1 Cesión con consentimiento del/de la titular
Momento en que se debe obtener el consentimiento del/de la titular
Efectos del consentimiento del/de la titular
Efectos de la cesión sin consentimiento del/de la, siendo éste necesario
3.2.2.2 Cesión sin consentimiento del/de la titular
3.2.2.3 El contrato de cesión de datos personales
Requisitos del contrato
Calidad del/de la cedente y del/de la cesionario/a en caso de cesiones parciales
3.2.2.4 Problemas hermenéuticos
Posibilidad de establecer finalidades en las cesiones
3.3 Tratar datos personales a través de mandatario o encargado
3.3.1 Forma lícita de tratar los datos personales por el encargado
Prohibiciones
Sanciones en caso de infracción por parte del mandatario o encargado:
3.3.2 El contrato de mandato para tratar datos personales
Contenido mínimo
Necesidad de autorización específica y por escrito para delegar
Responsabilidad solidaria
Modelos de contratos de mandato para el T de datos personales
3.3.3 Estatuto de deberes y beneficios del/de la mandatario/a
Derechos
Deberes
Beneficios
Deber de reporte al/a la responsable
Deber de suprimir o devolver los datos al/a la responsable
Crítica
3.4 Exigir a la Agencia instrucciones generales respecto de los deberes de información y de seguridad
4. Facultades calificadas
4.1 Facultad de publicar y difundir libremente los resultados de los estudios e investigaciones científicas que utilicen datos personales relativos a la salud o al perfil biológico
Responsable calificado
Regulación de la facultad
4.2 Facultad de almacenar y utilizar los datos por un período indeterminado de tiempo
Responsable calificado
Regulación de la facultad
4.3 Facultad de realizar publicaciones con los resultados y análisis obtenidos
Responsable calificado
Regulación de la facultad
5. Obligaciones generales del/ de la responsable
a) Obligaciones generales para todo tipo de responsables privados
b) Obligación del/de la responsable que no tiene domicilio en Chile y trata datos de personas que residan en el territorio nacional
6. Deberes básicos del/de la responsable
6.1 Clasificación de los deberes básicos del responsable
6.2 Deberes sujetos a un régimen común de rango legal
6.2.1. Deber de secreto o confidencialidad
a) Ámbito material de la información
i. Datos personales que el/la titular no ha hecho manifiestamente públicos
ii. Datos personales resultantes del T de datos personales obtenidos de fuentes de acceso público
b) Casos en que no se exige secreto o confidencialidad
c) Ámbito temporal del deber
d) Ámbito subjetivo-pasivo
i. Obligación del/de la responsable de extender subjetivamente el deber
ii. Confidencialidad en caso de datos personales sensibles comunicados, cedidos o tratados por órganos públicos competentes en materias sujetas a regímenes especiales
Los regímenes especiales de T de datos sensibles por parte de los órganos públicos
iii. Infracción de este deber por el/la delegado/a de protección de datos
e) Responsabilidad administrativa en caso de infracción
6.2.2 Deber de protección desde el diseño y por defecto
a) Deber de aplicar medidas técnicas y organizativas desde el diseño
b) Deber de aplicar medidas técnicas y organizativas por defecto
c) Responsabilidad administrativa en caso de infracción
6.2.3 Deber de reportar y registrar ciertas vulneraciones a las medidas de seguridad
a) Deber de reporte común
Ámbitos subjetivo-activo y temporal
Ámbito material de la vulneración
b) Deber de registro de los reportes de vulneraciones a las medidas de seguridad
Contenido del registro
c) Deber de reporte calificado
Ámbito subjetivo-activo extendido al/a la titular
Ámbito material
d) Los deberes de reporte establecidos en el art. 14 sexies son sin perjuicio de otros deberes de información
e) Responsabilidad administrativa en caso de infracción
6.3. Deberes sujetos a un régimen diferenciado determinado por la Agencia
6.3.1 La potestad administrativa
Fuente formal
Regulación de fondo
Parámetros para considerar en la diferenciación de condiciones mínimas
Críticas
6.3.2 Deber de información y transparencia (transparencia activa)
a) Características del deber de información y transparencia
1. Es un deber de transparencia activa
2. La información debe estar a disposición del púbico en la forma que indica la ley
3. La publicidad puede extenderse a otras materias
a) Información que se debe publicar
b) Responsabilidad administrativa en caso de infracción
c) Posibilidad de establecer condiciones mínimas diferenciadas por la vía de una instrucción general
Infracción al artículo 19 N°4 de la C.P.R.
6.3.3 Deber de adoptar medidas de seguridad
a) Son medidas necesarias para resguardar el principio de seguridad
b) Medidas técnicas y organizativas mínimas
c) Deber de acreditar la existencia y funcionamiento de las medidas de seguridad
Onus probandi de carga del/de la responsable
d) Responsabilidad administrativa en caso de infraccione) Posibilidad de establecer condiciones mínimas diferenciadas por la vía de una instrucción general
Infracción al artículo 19 N°4 de la C.P.R.
7. Deberes eventuales
7.1 Evaluación de impacto en protección de datos personales
Deber asociado a un posible tratamiento de alto riesgo
Factores para determinar si es probable que el tratamiento sea de alto riesgo
Momento en que se debe realizar la evaluación del impacto
Tratamientos que requieren evaluación de impacto
Potestades de la Agencia
Orientaciones mínimas para la evaluación
Crítica
7.2 Deberes de información ex post de los artículos 16 y 16 bis, en casos de T no consentido
7.3 Obligación de fijar un domicilio electrónico para comunicaciones y notificaciones distintas a la formulación de cargos en un proceso administrativo por infracción de ley
7.4. Obligaciones asociadas a la designación de un/a delegado/a de protección de datos personales
8. Deberes calificados
9. Estatuto del responsable público
9.1 Potestades legales básicas
9.2 Potestades legales calificadas
9.3 Deberes constitucionales
9.4 Deberes legales
9.4.1 Deberes legales compartidos con los responsables privados
Obligaciones generales
Deberes de régimen legal común
Imposibilidad de regímenes diferenciados
Deberes eventuales
Deberes calificados
9.4.2 Deberes legales exclusivos
9.4.2.1 Panorama del estatuto común a los responsables públicos, sus autoridades y funcionarios
9.4.2.2 Deberes exclusivos del órgano público
A. Deberes de todos los órganos públicos
a) Potestad y deber de intercambio y suministro de información para los fines de seguridad pública, seguridad nacional, política exterior, emergencia o catástrofe señalados en el artículo 24
b) Deber de mantener la información relativa a las infracciones que señala el artículo 25 como reservada
c) Sometimiento a medidas de subsanación o prevención de infracciones, o a programas de cumplimiento
B. Deberes de los responsables constitucionales
Deber de disponer de procedimientos racionales y justos para el ejercicio de los derechos de los titulares
Deber de disponer ante qué organismos se ejercerán los derechos de los titulares
9.4.2.3 Deberes especiales de las autoridades
a) Deber de los jefes superiores de todos los órganos públicos de velar por la observancia del título IV
Nueva obligación especial de la jefatura superior del órgano
b) Las autoridades de los órganos públicos tienen el deber y la potestad de intercambiar y proporcionar información en los términos señalados en el inciso tercero del nuevo artículo 24, referido a acciones sobre datos sensibles sujetos a régimen especial
c) Deberes comunes a las autoridades superiores de los órganos internos de los responsables constitucionales
1. Dictar las políticas, normas e instrucciones necesarias para dar cumplimiento a los principios y obligaciones establecidos en la ley N°19.628
Especial consideración de los derechos de los titulares de datos y de los estándares mínimos de control, seguridad y resguardo
2. Ejercicio de la potestad disciplinaria respecto de sus funcionarios
d) Deber exclusivo de las autoridades superiores de los responsables más privilegiados
9.4.2.4 Obligaciones de funcionarios
1. Obligaciones comunes
Exigencia especial respecto de datos relativos a infracciones
2. Deberes calificados de los funcionarios de los responsables constitucionales y del delegado de protección de datos
9.4.2.5 Deber de guardar secreto exigible a las personas que se desempeñan en órganos públicos
CAPÍTULO XI
DEL TRATAMIENTO DE LOS DATOS PERSONALES Y DE LAS CATEGORÍAS ESPECIALES DE DATOS
CAPÍTULO XII
DE LA UTILIZACIÓN DE DATOS PERSONALES RELATIVOS A DEUDAS (ARTS. 17 AL 19)
CAPÍTULO XIII
DEL TRATAMIENTO DE DATOS PERSONALES POR LOS ÓRGANOS PÚBLICOS
CAPÍTULO XIV
DE LA TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES
CAPÍTULO XV
AUTORIDAD DE CONTROL EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES
CAPÍTULO XVI
DE LAS INFRACCIONES Y SUS SANCIONES, DE LOS PROCEDIMIENTOS Y DE LAS RESPONSABILIDADES
