El año de la protección de datos personales en Chile: algunos desafíos de la nueva ley

Este 2026 podría ser calificado como el año de la privacidad en Chile. Tras siete años de una compleja tramitación legislativa más dos años de vacancia legal, en diciembre próximo entrará en plena vigencia la nueva ley de protección de datos personales.

Lucas Sierra

Y según la hoja de ruta definida por la misma ley, partes específicas de ella entrarán en vigor antes de fin de año. Es el caso del Consejo Directivo de la futura Agencia de Protección de Datos Personales, cuyos miembros deben ser designados en junio próximo a más tardar. Hecho este nombramiento, dicho Consejo deberá empezar a trabajar sobre ciertas materias, preparando el ingreso a escena de la nueva Agencia y del grueso de la ley en diciembre.

Con esta ley, Chile ha buscado robustecer institucional y sustantivamente la protección de los datos personales, poniéndose como estándar la Unión Europea y su más bien exigente GDPR. Para alcanzar este objetivo se consagran diversos derechos a los titulares de datos personales, se crea la Agencia y se le dota de amplias facultades, se imponen diversas obligaciones a los responsables de esos datos y, en caso de que no las cumplan, se contemplan sanciones que son relativamente altas en el contexto administrativo chileno.

Pero el buen funcionamiento de esta ley y de la institucionalidad que crea no está, por supuesto, garantizado. Es su ambición y vastedad, ella tiene puntos oscuros que exigirán un especial esfuerzo hermenéutico de la Agencia y de los demás operadores jurídicos relevantes. Veamos dos casos.

Uno se deriva del hecho de que la legislación sobre datos personales se extiende sobre áreas reguladas por otras leyes sectoriales. Pensemos, por ejemplo, en el área de la salud, educación, de la regulación financiera y de telecomunicaciones. En esta última —a nivel legal y reglamentario—, el regulador sectorial SUBTEL tiene desde hace años la facultad para velar por la protección de los datos personales de los usuarios de ISP (internet service provider).

Como sabemos, el uso de internet es probablemente la actividad en que más cotidiana y masivamente exponemos nuestros datos personales. La nueva ley no deroga expresamente esta facultad de la SUBTEL, pero sí da a la nueva Agencia amplias facultades respecto del conjunto de normas referidas a datos personales. Si el día de mañana un usuario de internet considera que sus datos personales han sido vulnerados por un ISP ¿ante quién reclama? ¿Ante la SUBTEL, como hoy, o ante la futura Agencia?

Lucas MacClure

La nueva ley no contesta de manera clara la pregunta por la competencia de la Agencia vis-à-vis órganos sectoriales. En principio, se remite a un principio general del derecho administrativo: requerido un órgano sobre un asunto que no es de su competencia, debe remitir inmediatamente los antecedentes al órgano que sí la tiene. Pero en este caso tanto la SUBTEL como la Agencia pueden considerarse competentes. ¿Cómo se resuelve? Dependerá del buen criterio que vaya desarrollando la Agencia en necesaria coordinación con los órganos sectoriales.

El otro caso que exigirá un intenso esfuerzo hermenéutico tiene que ver con las remisiones de la nueva ley a los derechos fundamentales. ¿Cuán extensas son? Una parte de la pregunta es de fácil respuesta, porque la ley hace una referencia expresa a las garantías que consagra la Constitución como, por ejemplo, los derechos a la vida privada y la protección de datos personales del art. 19 Nº 4.

Pero en otros casos la ley tiene disposiciones cuyos supuestos de hecho aluden a riesgos o afectaciones a los “derechos de los titulares” y los “derechos y libertades de los titulares”, y no es claro cuál es su significado. ¿Incluyen éstos los derechos constitucionales o sólo los derechos de acceso, rectificación, supresión, oposición, portabilidad y bloqueo de los datos personales que establece expresamente la ley? La respuesta tiene enormes consecuencias prácticas. Piénsese, por ejemplo, en la evaluación de impacto que tendrá que hacer un responsable del tratamiento de datos personales en caso de que éste produzca una “un alto riesgo para los derechos de las personales titulares”. ¿Cuáles derechos, sólo los de la ley o, además, los constitucionales?

Durante la tramitación de esta ley se eliminó el adjetivo “fundamentales” con que se calificaban los derechos del titular. ¿Significa esto que el legislador quiso limitar la remisión a los derechos constitucionales? Lamentablemente, hubo poca discusión al respecto y, sin ella, la respuesta es difícil, ya que un propósito fundamental de esta legislación fue asimilarse a la GDPR. Ésta, como se sabe, se ha interpretado en el sentido de que se remite a una amplia gama de derechos constitucionales.

Mientras más amplia se entienda la remisión a los derechos constitucionales, mayor será la protección de las personas, además de facilitar el cumplimiento por parte de empresas que operan en múltiples jurisdicciones (muchas de las cuales están acostumbradas al estándar europeo). A la inversa, mientras mayor se entienda la remisión, mayor será la carga regulatoria para los responsables de datos personales, encareciendo sus costos.

En suma, el 2026 será un año interesante en materia de privacidad. Porque entrará en vigencia la nueva ley y, además, porque para echar a andar la Agencia deberá afrontar varios desafíos hermenéuticos. Aquí hemos enfatizado dos: la superposición de competencias de la Agencia y de órganos sectoriales, y la interpretación de reglas que parecen remitirse a derechos fundamentales.

 
Lucas Sierra es abogado de la Universidad de Chile, master en Derecho de la Universidad de Yale, doctor de la Universidad de Cambridge, profesor de Derecho en la Universidad de Chile. Lucas MacClure es abogado de la Universidad de Chile, doctor en Derecho de la Universidad de Yale. Ambos son socios de Lupa Legal.