Deberes del responsable. Nuevas obligaciones que establece la nueva Ley de Datos Personales
¿Qué son los deberes del responsable? ¿Cuáles son bajo la nueva Ley? Entérate como el responsable se verá inmerso a una serie de obligaciones a las cuales deberá dar cumplimiento.
Ley 19.628 v/s Nueva Ley de Datos Personales
La nueva Ley viene a suplir una de las principales deficiencias de la Ley 19.628: la ausencia de deberes explícitos para los responsables.
| Ley 19.628 | Nueva Ley de Datos Personales |
|---|---|
| No existe un título en la ley que regule los deberes u obligaciones de los responsables, pero se establecen ciertos deberes generales a través de la ley, como la obligación de guardar secreto (art. 7). | El responsable tiene una serie de obligaciones genéricas y específicas. Entre ellos se encuentran: (i) el deber de secreto o confidencialidad; (ii) el deber de información o transparencia; (iii) el deber de protección desde el diseño y por defecto; y (iv) el deber de adoptar medidas de seguridad; entre otros. |
Deberes del responsable en la nueva Ley
Los deberes u obligaciones del responsable implican todas las acciones que los responsables deben cumplir respecto del tratamiento de datos personales.
Obligaciones generales del responsable del tratamiento
En la nueva Ley se establecen varias obligaciones “generales” para los responsables, entre las cuales podemos mencionar las siguientes:
- Informar y poner a disposición del titular los antecedentes que acreditan la licitud del tratamiento de datos que realiza.
- Asegurar que los datos personales se recojan de fuentes de acceso lícitas con fines específicos, explícitos y lícitos, y que su tratamiento se limite al cumplimiento de estos fines.
- Comunicar o ceder datos personales de acuerdo con lo dispuesto en la ley.
- Suprimir o anonimizar los datos del titular cuando fueron obtenidos para ejecución de medidas precontractuales.
- Cumplir con todos los deberes, principios y obligaciones de la ley.
Deberes específicos
Además, el responsable debe cumplir con una serie de deberes específicos que señala la ley, entre los cuales se encuentran: (i) el deber de secreto o confidencialidad:(ii) el deber de información o transparencia; (iii) el deber de protección desde el diseño y por defecto; y (iv) el deber de adoptar medidas de seguridad; entre otros.
Deber de secreto o confidencialidad
El responsable de datos está obligado a mantener secreto o confidencialidad acerca de los datos personales que conciernen a un titular, salvo cuando el titular los hubiera hecho manifiestamente públicos. Este deber subsiste aún después de concluida la relación con el titular.
Deber de información o transparencia
El responsable de datos debe facilitar y mantener permanentemente a disposición del público determinada información señalada en la ley para el cumplimiento de este deber, incluyendo los derechos de los titulares de datos, sus datos de contacto, entre otros.
Deber de protección desde el diseño y por defecto
El responsable debe aplicar medidas técnicas y organizativas con la finalidad de cumplir con los principios y derechos de los titulares establecidos en la ley y para garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales específicos y estrictamente necesarios para dicha actividad.
Deber de adoptar medidas de seguridad
El responsable de datos debe adoptar las medidas necesarias para resguardar el cumplimiento del principio de seguridad establecido en la ley, considerando el estado actual de la técnica y los costos de aplicación, junto con la naturaleza, alcance, contexto y fines del tratamiento, así como la probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de datos tratados.
Deber de reportar las vulneraciones a las medidas de seguridad a la Agencia
Por último, los responsables deben reportar a la Agencia de Protección de Datos, por los medios más expeditos y sin dilaciones, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate o la comunicación o acceso no autorizados a dichos datos, cuando exista un riesgo razonable para los derechos y libertades de los titulares.
