Nueva ley de Protección de Datos y Desafíos para la Industria Aseguradora

Tras más de 7 años de tramitación, el 13 de Diciembre de 2024 finalmente sé publicó la nueva Ley de Protección de Datos Personales, por lo que, desde ahora, las empresas tendrán 2 años para adecuar sus bases de datos y procesos a esta nueva regulación.

Este gran paso permitirá reconocer a Chile como un país adecuado para el tratamiento de datos personales, pero ¿qué implica esto? Te damos algunas pistas a continuación:

Nuevas categorías de datos y derechos para los titulares

• Distinción de datos sensibles: Datos sensibles en general; Datos sobre salud y perfil biológico humano y Datos biométricos.
• Creación de categorías especiales de datos personales: Datos de menores; Datos con fines históricos, estadísticos o de estudio; Datos de Geolocalización.

*Cada una de estas categorías tendrá requisitos específicos para su tratamiento.

• Se crean los derechos de Portabilidad y Oposición a decisiones automatizadas que afecten significativamente al titular, que se suman a los derechos ARCO.

Habilitantes para el tratamiento de los datos personales

• Creación de bases de licitud que permitirán el tratamiento de datos personales en casos determinados, incluso sin el consentimiento del titular, como para el cumplimiento de contratos, obligaciones legales o el interés legítimo.
• Regulación de la transferencia internacional de datos personales, estableciendo requisitos y alternativas para su circulación segura.

Agencia de Protección de Datos Personales

• Creación de la Agencia de Protección de Datos Personales, que fiscalizará y regulará el tratamiento de datos personales, pudiendo requerir documentos, tramitar solicitudes y reclamos, proponer normas y sancionar, entre otras atribuciones.
• Se crea un Registro Nacional de Infractores a cargo de la Agencia, donde se publicará por 5 años a las instituciones sancionadas por infringir esta ley.

Nuevas obligaciones y medidas para los responsables

• Realización de Evaluaciones de Impacto cuando sea probable que una forma de tratamiento de los datos personales pueda producir un alto riesgo para los titulares.
• Nueva obligación de reportar a la Agencia y a los titulares cuando se vulnere la seguridad de los datos.
• Se propone un Modelo de Prevención de Infracciones de adopción voluntaria que, de ser certificado por la Agencia constituirá una atenuante en caso de infracción.

Infracciones y Sanciones

• Establecimiento de un catálogo de infracciones leves, graves y gravísimas.
• Creación de un catálogo de agravantes y atenuantes.
• Sanciones hasta UTM 20.000, que podrán agravarse en caso de reincidencia, pudiendo llegar al 4% de los ingresos anuales y a la suspensión de actividades de tratamiento de datos personales hasta por 30 días.

Normas diferenciadas para PYMES

• 12 meses adicionales al inicio de la vigencia de la ley en que solo podrán recibir amonestaciones escritas (sin multa) por sus infracciones
• No se aplicarán las multas más gravosas en caso de reiteración de infracciones.

Impacto en la industria aseguradora

• Coordinación normativa y de reporte entre Agencia de Protección de Datos, CMF y prontamente, la Agencia Nacional de Ciberseguridad.
• Necesidad de identificar tipos de datos almacenados y tratados, bases de licitud y fines.
• Delimitación de roles, funciones y responsabilidades.
• Adopción de medidas de seguridad adecuadas.
• Cambios en sistemas y documentación de cara al cliente.
• Potenciales cambios en determinados modelos de negocio.
• Obligación de reporte a en caso de vulneraciones a la seguridad de los datos personales que pueda exista riesgo razonable para los derechos y libertades de los titulares.
• Transferencia o comunicación de datos a terceros, distinguiendo si se trata de entidades del grupo empresarial o de terceros como socios comerciales, canales, proveedores u otros.
• Transferencia internacional de datos personales y adopción de los resguardos correspondientes según se trate de entidades del grupo o de terceros, y verificación de países adecuados.
• Eventual implementación de un Modelo de prevención de infracciones y realización de Evaluaciones de impacto cuando corresponda.
• Consideración de infracciones, atenuantes, agravantes y sanciones.

Como podemos apoyarte

Sobre la base de nuestro profundo conocimiento de la industria aseguradora, así como nuestra extensa experiencia tanto en Chile como en el mundo tanto en Data Privacy (Privacidad de datos) como ligado a riesgos de Ciberseguridad, Kennedys ha desarrollado un modelo de implementación enfocado en la industria aseguradora que permite lograr una implementación rápida y efectiva atendiendo los desafíos de la industria.