El texto de esta versión no se encuentra vigente
Ley 19628 SOBRE PROTECCION DE LOS DATOS PERSONALES
MINISTERIO SECRETARÍA GENERAL DE LA PRESIDENCIA
Promulgacion: 18-AGO-1999 Publicación: 28-AGO-1999
Versión: Con Vigencia Diferida por Fecha - 01-DIC-2026
Materias: Derecho a la Privacidad, Ley no. 19.628,
Url: https://www.bcn.cl/leychile/navegar?i=141599&f=2026-12-01&p=10528509
Título VII
De las infracciones y sus sanciones, de los procedimientos y de las respoLey 21719
Art. primero N° 14
D.O. 13.12.2024nsabilidades
Art. primero N° 14
D.O. 13.12.2024nsabilidades
Artículo 33.- Régimen general de responsabilidad. El responsable de datos, sea una persona natural o juLey 21719
Art. primero N° 14
D.O. 13.12.2024rídica, de derecho público o privado, que en sus operaciones de tratamiento de datos personales infrinja los principios señalados en el artículo 3° y los derechos y obligaciones establecidos en esta ley, será sancionado de conformidad con las normas del presente Título.
Art. primero N° 14
D.O. 13.12.2024rídica, de derecho público o privado, que en sus operaciones de tratamiento de datos personales infrinja los principios señalados en el artículo 3° y los derechos y obligaciones establecidos en esta ley, será sancionado de conformidad con las normas del presente Título.
Párrafo Primero
De la responsabilidad, las infracciones y las sanciones aplicables a las personas Ley 21719
Art. primero N° 14
D.O. 13.12.2024naturales o jurídicas de derecho privado
Art. primero N° 14
D.O. 13.12.2024naturales o jurídicas de derecho privado
Artículo 34.- Infracciones leves, graves y gravísimas. Las infracciones cometidas por los responsables Ley 21719
Art. primero N° 14
D.O. 13.12.2024de datos a los principios señalados en el artículo 3° y a los derechos y obligaciones establecidos en esta ley se califican, atendida su gravedad, en leves, graves y gravísimas.
Art. primero N° 14
D.O. 13.12.2024de datos a los principios señalados en el artículo 3° y a los derechos y obligaciones establecidos en esta ley se califican, atendida su gravedad, en leves, graves y gravísimas.
Las responsabilidades en que incurra una persona natural o jurídica por las infracciones establecidas en esta ley, se entienden sin perjuicio de las demás responsabilidades legales, civiles o penales, que pudieran corresponderle.
Artículo 34 bis.- Infracciones leves. Se consideran infracciones leves, las siguientes:
a) InLey 21719
Art. primero N° 14
D.O. 13.12.2024cumplir total o parcialmente el deber de información y transparencia, establecido en el artículo 14 ter.
Art. primero N° 14
D.O. 13.12.2024cumplir total o parcialmente el deber de información y transparencia, establecido en el artículo 14 ter.
b) Carecer de la individualización del domicilio postal, correo electrónico o medio electrónico equivalente que permita comunicarse con el responsable de datos o su representante legal, actualizado y operativo, a través del cual los titulares de datos puedan dirigir sus comunicaciones o ejercer sus derechos.
c) Omitir la respuesta, responder en forma incompleta o fuera de plazo, las solicitudes formuladas por el titular de datos en conformidad a esta ley.
d) Omitir el envío a la Agencia de las comunicaciones previstas obligatoriamente en esta ley o sus reglamentos.
e) Incumplir las instrucciones generales impartidas por la Agencia en los casos que no esté sancionado como infracción grave o gravísima.
f) Cometer cualquier otra infracción a los derechos y obligaciones establecidos en esta ley, que no sea calificada como una infracción grave o gravísima.
Artículo 34 ter.- Infracciones graves. Se consideran infracciones graves, las siguientes:
a)Ley 21719
Art. primero N° 14
D.O. 13.12.2024 Tratar los datos personales sin contar con el consentimiento del titular de datos o sin un antecedente o fundamento legal que otorgue licitud al tratamiento, o tratarlos con una finalidad distinta de aquélla para la cual fueron recolectados.
Art. primero N° 14
D.O. 13.12.2024 Tratar los datos personales sin contar con el consentimiento del titular de datos o sin un antecedente o fundamento legal que otorgue licitud al tratamiento, o tratarlos con una finalidad distinta de aquélla para la cual fueron recolectados.
b) Comunicar o ceder datos personales, sin el consentimiento del titular, en los casos en que dicho consentimiento sea necesario, o comunicar o ceder los datos para un fin distinto del autorizado.
c) Efectuar tratamiento de datos personales innecesarios en relación con los fines del tratamiento vulnerando lo dispuesto en el literal c) del artículo 3°.
d) Tratar datos personales inexactos, incompletos o desactualizados en relación con los fines del tratamiento, salvo que la actualización de estos datos corresponda al titular en virtud de la ley o el contrato.
e) Impedir u obstaculizar el ejercicio legítimo de los derechos de acceso, rectificación, supresión, oposición o portabilidad del titular.
f) Omitir la respuesta, responder tardíamente o denegar la petición sin causa justificada, en los casos de solicitudes fundadas de bloqueo temporal del tratamiento de datos personales de un titular.
g) Realizar tratamiento de datos personales de niños, niñas y adolescentes con infracción a las normas previstas en esta ley.
h) Realizar tratamiento de datos personales sin cumplir los requisitos establecidos para las personas jurídicas de derecho privado sin fines de lucro y cuya finalidad sea política, filosófica, religiosa, cultural, sindical o gremial, respecto de los datos de sus asociados.
i) Vulnerar el deber de secreto o confidencialidad establecido en el artículo 14 bis.
j) Vulnerar o infringir las obligaciones de seguridad en el tratamiento de los datos personales establecidas en el artículo 14 quinquies.
k) Omitir las comunicaciones o los registros en los casos de vulneración de las medidas de seguridad establecidas en el artículo 14 quinquies.
l) Adoptar medidas de calidad y seguridad insuficientes o no idóneas para el tratamiento de datos personales con fines históricos, estadísticos o científicos y para estudios o investigaciones que atiendan fines de interés público.
m) Realizar operaciones de transferencia internacional de datos en contravención a las normas previstas en esta ley.
n) Incumplir una resolución o un requerimiento específico y directo que haya impartido la Agencia.
Artículo 34 quáter.- Infracciones gravísimas. Se consideran infracciones gravísimas, las siguientes:
a) Efectuar tratamiento de datos personales en forma fraudulenta.
b) Destinar maliciosamente los datos personales a una finalidad distinta de la consentida por el titular o prevista en la ley que autoriza su tratamiento.
c) Comunicar o ceder, a sabiendas, información no veraz, incompleta, inexacta o desactualizada sobre el titular de datos.
d) Vulnerar el deber de secreto o confidencialidad sobre los datos personales sensibles y datos personales relativos a la comisión y sanción de infracciones penales, civiles, administrativas y disciplinarias.
e) Tratar, comunicar o ceder, a sabiendas, datos personales sensibles o datos personales de niños, niñas y adolescentes, en contravención a las normas de esta ley.
f) Omitir en forma deliberada la comunicación de las vulneraciones a las medidas de seguridad que puedan afectar la confidencialidad, disponibilidad o integridad de los datos personales.
g) Efectuar tratamiento masivo de datos personales contenidos en registros electrónicos de infracciones penales, civiles, administrativas y disciplinarias, que llevan los organismos públicos, sin contar con autorización legal para ello.
h) Realizar, a sabiendas, operaciones de transferencia internacional de datos en contravención a las normas previstas en esta ley.
i) Incumplir una resolución de la Agencia que resuelve la reclamación de un titular sobre el ejercicio de sus derechos de acceso, rectificación, supresión, oposición, portabilidad o bloqueo temporal.
j) Entregar, a sabiendas, información falsa, incompleta o manifiestamente errónea en el proceso de registro o certificación del modelo de prevención de infracciones.
k) Incumplir la obligación establecida en el artículo 15 ter, en los casos que corresponda.
Artículo 35.- Sanciones. Las sanciones a las infracciones en que incurran los responsables de datos serLey 21719
Art. primero N° 14
D.O. 13.12.2024án las siguientes:
Art. primero N° 14
D.O. 13.12.2024án las siguientes:
a) Las infracciones leves serán sancionadas con amonestación escrita o multa de hasta 5.000 unidades tributarias mensuales.
b) Las infracciones graves serán sancionadas con multa de hasta 10.000 unidades tributarias mensuales.
c) Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 unidades tributarias mensuales.
En cada caso, la Agencia señalará las medidas tendientes a subsanar las causales que dieron motivo a la sanción, las que deberán ser adoptadas en un plazo no mayor a sesenta días, de lo contrario se impondrá un recargo de 50% a la multa cursada, sin perjuicio de lo establecido en el artículo 49.
En caso de que exista reincidencia, de conformidad al literal a) del inciso segundo del artículo 36, la Agencia podrá aplicar una multa de hasta tres veces el monto asignado a la infracción cometida.
En caso de que el infractor corresponda a una empresa distinta de aquéllas definidas como empresas de menor tamaño en el artículo segundo de la ley N° 20.416, que reincida en infracción de carácter grave o gravísima en los términos del literal a) del inciso segundo del artículo 36, la multa podrá alcanzar a la más gravosa entre la señalada en el inciso anterior o hasta el monto correspondiente al 2% o 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, según se trate de infracciones graves o gravísimas, respectivamente.
Artículo 36.- Circunstancias atenuantes y agravantes de responsabilidad. Se considerarán circunstanciasLey 21719
Art. primero N° 14
D.O. 13.12.2024 atenuantes:
Art. primero N° 14
D.O. 13.12.2024 atenuantes:
1. Las acciones unilaterales de reparación que realice el responsable y los acuerdos reparatorios convenidos con los titulares de datos que fueron afectados.
2. La colaboración que el infractor preste en la investigación administrativa practicada por la Agencia.
3. La ausencia de sanciones previas del responsable de datos.
4. La autodenuncia ante la Agencia. Junto con la autodenuncia, el infractor deberá comunicar las medidas adoptadas para el cese de los hechos que originaron la infracción o las medidas de mitigación implementadas, según corresponda.
5. El haber cumplido diligentemente sus deberes de dirección y supervisión para la protección de los datos personales sujetos a tratamiento, lo que se verificará con el certificado expedido de acuerdo a lo dispuesto en el artículo 51.
Se considerarán circunstancias agravantes:
a) La reincidencia. Existe reincidencia cuando el responsable ha sido sancionado en dos o más ocasiones, en los últimos treinta meses, por infracción a esta ley. Las resoluciones que aplican las sanciones respectivas deberán encontrarse firmes o ejecutoriadas.
b) El carácter continuado de la infracción.
c) El haber puesto en riesgo la seguridad de los derechos y libertades de los titulares en relación a sus datos personales.
Artículo 37.- Determinación del monto de las multas. Para la determinación del monto de las multas señaLey 21719
Art. primero N° 14
D.O. 13.12.2024ladas en esta ley, la Agencia deberá aplicar prudencialmente los siguientes criterios:
Art. primero N° 14
D.O. 13.12.2024ladas en esta ley, la Agencia deberá aplicar prudencialmente los siguientes criterios:
1. La gravedad de la conducta.
2. Si la conducta fue realizada con falta de diligencia o cuidado en aquellos casos que no se consideran estos elementos en la configuración de la infracción.
3. El perjuicio producido con motivo de la infracción, especialmente el número de titulares de datos que se vieron afectados.
4. El beneficio económico obtenido con motivo de la infracción, en caso de que lo hubiese.
5. Si el tratamiento realizado incluye datos personales sensibles o datos personales de niños, niñas y adolescentes.
6. La capacidad económica del infractor.
7. Las sanciones aplicadas con anterioridad por la Agencia en las mismas circunstancias.
8. Las circunstancias atenuantes y agravantes que concurran.
En caso de que una conducta dé origen a dos o más infracciones, o cuando una infracción sea medio para cometer otra, se impondrá una sola multa, considerando siempre la sanción de la infracción más grave. En caso de que se verifiquen dos o más conductas infraccionales, independientes entre sí, se acumularán las sanciones correspondientes a cada una de ellas.
Las multas deberán ser pagadas en la Tesorería General de la República, a través de los medios presenciales o digitales que ella disponga, dentro del plazo de diez días hábiles contado desde que la resolución de la Agencia se encuentre firme. El comprobante de pago correspondiente deberá ser presentado a la Agencia dentro del plazo de diez días hábiles contado desde que se hubiere efectuado el pago.
Cuando por unos mismos hechos y fundamentos jurídicos, el infractor pudiese ser sancionado con arreglo a esta ley y a otra u otras leyes, de las sanciones posibles, se le impondrá la de mayor gravedad.
Artículo 38.- Sanciones accesorias. En caso que se impongan multas por infracciones gravísimas reiteradLey 21719
Art. primero N° 14
D.O. 13.12.2024as, en un período de veinticuatro meses, la Agencia podrá disponer la suspensión de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un término de treinta días. Esta suspensión no afectará el almacenamiento de datos por parte del responsable.
Art. primero N° 14
D.O. 13.12.2024as, en un período de veinticuatro meses, la Agencia podrá disponer la suspensión de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un término de treinta días. Esta suspensión no afectará el almacenamiento de datos por parte del responsable.
La suspensión que disponga la Agencia como sanción accesoria podrá ser parcial o total, y no podrá decretarse cuando con ello se afecten los derechos de los titulares.
Durante este período el responsable deberá adoptar las medidas necesarias con el objeto de adecuar sus operaciones y actividades a las exigencias dispuestas en la resolución que ordenó la suspensión.
Si el responsable no da cumplimiento a lo dispuesto en la resolución de suspensión temporal, esta medida se podrá prorrogar indefinidamente, por períodos sucesivos de máximo treinta días, hasta que el responsable cumpla con lo ordenado.
Cuando la suspensión afecte a una entidad sujeta a supervisión por parte de un organismo público de carácter fiscalizador, la Agencia deberá previamente poner los antecedentes en conocimiento de la autoridad regulatoria correspondiente, para los efectos de cautelar los derechos de los usuarios de dicha entidad.
Artículo 39.- Registro Nacional de Sanciones y Cumplimiento. Créase el Registro Nacional de Sanciones yLey 21719
Art. primero N° 14
D.O. 13.12.2024 Cumplimiento, administrado por la Agencia. El registro será público y su acceso gratuito. Se consultará y llevará en forma electrónica.
Art. primero N° 14
D.O. 13.12.2024 Cumplimiento, administrado por la Agencia. El registro será público y su acceso gratuito. Se consultará y llevará en forma electrónica.
En él se deberán consignar a los responsables de datos que hayan sido sancionados por infringir los derechos y obligaciones establecidos en esta ley. Deberá distinguirse según la gravedad de la infracción. Adicionalmente, se deberá consignar la conducta infraccionada, las circunstancias atenuantes y agravantes de responsabilidad y la sanción impuesta. También se deberán consignar los responsables que adopten modelos certificados de prevención de infracciones, con carácter vigente.
Las anotaciones en el registro serán de acceso público por el período de cinco años, a contar de la fecha en que se practicó la anotación.
Artículo 40.- Prescripción. Las acciones para perseguir la responsabilidad por las infracciones previstLey 21719
Art. primero N° 14
D.O. 13.12.2024as en esta ley prescriben en el plazo de cuatro años, contado desde la ocurrencia del hecho que originó la infracción.
Art. primero N° 14
D.O. 13.12.2024as en esta ley prescriben en el plazo de cuatro años, contado desde la ocurrencia del hecho que originó la infracción.
En caso de infracciones continuadas, el plazo de prescripción de las referidas acciones se contará desde el día en que la infracción haya cesado.
Se interrumpe la prescripción con la notificación del inicio del procedimiento administrativo correspondiente.
Las sanciones que se impongan por una infracción a la presente ley prescriben en el plazo de tres años, contado desde la fecha en que la resolución que impone la sanción quede ejecutoriada.
Artículo 41.- Procedimiento administrativo de tutela de derechos. El titular de datos podrá reclamar anLey 21719
Art. primero N° 14
D.O. 13.12.2024te la Agencia cuando el responsable le haya denegado una solicitud realizada de conformidad al artículo 11 de la presente ley, o no hubiere dado respuesta a dicha solicitud dentro del plazo legal establecido en ese artículo.
Art. primero N° 14
D.O. 13.12.2024te la Agencia cuando el responsable le haya denegado una solicitud realizada de conformidad al artículo 11 de la presente ley, o no hubiere dado respuesta a dicha solicitud dentro del plazo legal establecido en ese artículo.
La reclamación presentada se tramitará conforme a las siguientes reglas:
a) Deberá ser presentada por escrito, en formato físico o electrónico dentro del plazo de treinta días hábiles contado desde que reciba la respuesta negativa del responsable de datos o haya vencido el plazo que disponía el responsable para responder el requerimiento formulado por el titular. La reclamación deberá señalar la decisión impugnada en caso de rechazo u omisión de respuesta y acompañar todos los antecedentes en que aquélla se funda e indicar un domicilio postal o una dirección de correo electrónico u otro medio electrónico equivalente donde se practicarán las notificaciones.
b) Junto con la interposición del reclamo, a petición fundada del titular y sólo en casos justificados, la Agencia podrá suspender el tratamiento de los datos personales que conciernen al titular y que son objeto de la reclamación, debiendo previamente oír al responsable de datos.
c) Recibido el reclamo, la Agencia, dentro de los diez días hábiles siguientes, deberá determinar si éste cumple con los requisitos establecidos en la letra a) para ser acogido a tramitación. En caso de que no se acoja a trámite la reclamación, la resolución de la Agencia debe ser fundada y se notificará al titular. En todo caso, se entenderá acogido a tramitación el reclamo si la Agencia no se pronuncia en el término indicado precedentemente.
d) Acogido el reclamo a tramitación, la Agencia notificará al responsable de datos, quien dispondrá de un plazo de treinta días corridos, prorrogables hasta por el mismo plazo, para responder la reclamación, acompañando todos los antecedentes que estime pertinentes. Las notificaciones que se practiquen al responsable se realizarán a su domicilio postal, dirección de correo electrónico u otro medio electrónico equivalente a que alude la letra c) del artículo 14 ter.
e) Vencido este plazo, haya o no contestado el responsable de los datos y, sólo si existen hechos sustanciales, pertinentes y controvertidos, la Agencia podrá abrir un término probatorio de diez días hábiles en el cual las partes pueden hacer valer todos los medios de prueba que estimen convenientes.
f) El responsable de datos en su respuesta podrá allanarse a la reclamación, en cuyo caso deberá acompañar los antecedentes o testimonios que acrediten esta circunstancia. Verificado lo anterior, será notificado el titular de datos quien tendrá diez días para hacer valer sus derechos. Cumplido el plazo, la Agencia procederá al archivo de los antecedentes, previa aplicación de la sanción o instrucción al responsable de datos, cuando corresponda.
g) La Agencia tendrá amplias facultades para solicitar antecedentes o informes que contribuyan a su resolución. Podrá convocar a las partes a una audiencia e instarlas a alcanzar un acuerdo. Las opiniones que puedan expresar los funcionarios de la Agencia en esta audiencia, no los inhabilitará para seguir conociendo del asunto en caso de que no se alcance un acuerdo. Logrado el acuerdo se archivarán los antecedentes.
h) La resolución del reclamo deberá dictarse por la Agencia y deberá ser fundada. El procedimiento administrativo de tutela de derechos no podrá superar los seis meses.
i) La resolución de la Agencia que no acoge a tramitación un reclamo y la resolución que resuelve la reclamación, podrán ser impugnadas judicialmente dentro del plazo de quince días hábiles contado desde su notificación, a través del procedimiento establecido en el artículo 43.
Las reclamaciones y las solicitudes de suspensión del tratamiento formuladas en caso de rechazo de una solicitud de bloqueo temporal, deberán ser resueltas por la Agencia en el plazo máximo de tres días hábiles, sin necesidad de oír previamente a las partes.
Artículo 42.- Procedimiento administrativo por infracción de ley. La determinación de las infracciones Ley 21719
Art. primero N° 14
D.O. 13.12.2024que cometan los responsables de datos por incumplimiento o vulneración de los principios establecidos en el artículo 3°, de los derechos y obligaciones establecidos en esta ley y la aplicación de las sanciones correspondientes, se sujetará a las siguientes reglas especiales:
Art. primero N° 14
D.O. 13.12.2024que cometan los responsables de datos por incumplimiento o vulneración de los principios establecidos en el artículo 3°, de los derechos y obligaciones establecidos en esta ley y la aplicación de las sanciones correspondientes, se sujetará a las siguientes reglas especiales:
a) El procedimiento sancionatorio será instruido por la Agencia.
b) La Agencia podrá iniciar un procedimiento sancionatorio, de oficio o a petición de parte, como resultado de un proceso de fiscalización o a consecuencia de una reclamación presentada por un titular de datos, en virtud del procedimiento establecido en los artículos 23 y 41 de esta ley. En este último caso, se deberá certificar la recepción del reclamo. Junto con la apertura del expediente, la Agencia deberá designar un funcionario responsable de la instrucción del procedimiento.
c) La Agencia deberá presentar una formulación de cargos en contra del responsable de datos en que describa los hechos que configuran la infracción, los principios y obligaciones incumplidos o vulnerados por el responsable, las normas legales infringidas y cualquier otro antecedente que sirva para sustentar la formulación.
d) La formulación de cargos debe notificarse al responsable de datos a su domicilio postal, dirección de correo electrónico u otro medio electrónico equivalente señalado en la letra c) del artículo 14 ter.
e) El responsable de datos tendrá un plazo de quince días hábiles para presentar sus descargos. En esa oportunidad, el responsable de datos puede acompañar todos los antecedentes que estime pertinentes para desacreditar los hechos imputados. Junto con los descargos, el responsable deberá fijar una dirección de correo electrónico a través de la cual se realizarán todas las demás comunicaciones y notificaciones.
f) Recibidos los descargos o transcurrido el plazo otorgado para ello, la Agencia podrá abrir un término probatorio de diez días en el caso que existan hechos sustanciales, pertinentes y controvertidos.
g) La Agencia dará lugar a las medidas o diligencias probatorias que solicite el responsable en sus descargos, siempre que sean pertinentes y necesarias. En caso de rechazo, deberá fundar su resolución.
h) Los hechos investigados y las responsabilidades de los presuntos infractores pueden acreditarse mediante cualquier medio de prueba admisible en derecho, los que se apreciarán de acuerdo a las reglas de la sana crítica.
i) La Agencia tendrá amplias facultades para solicitar antecedentes o informes que contribuyan a su resolución.
j) La resolución que ponga fin al procedimiento sancionatorio debe ser fundada y resolver todas las cuestiones planteadas en el expediente, pronunciándose sobre cada una de las alegaciones y defensas formuladas por el responsable de datos y contendrá la declaración de haberse configurado el incumplimiento o vulneración de los principios, derechos y obligaciones establecidos en la ley por el responsable o su absolución, según corresponda. En caso que la Agencia considere que se ha verificado la infracción, en la misma resolución ponderará las circunstancias que agravan o atenúan la responsabilidad del infractor e impondrá la sanción, de acuerdo a la gravedad de la infracción cometida.
k) La resolución que establezca el incumplimiento o vulneración a los principios, derechos y obligaciones de esta ley y aplique la sanción correspondiente deberá ser fundada. Esta resolución debe indicar los recursos administrativos y judiciales que procedan contra ella en conformidad a esta ley, los órganos ante los que deben presentarse y los plazos para su interposición. La resolución de la Agencia que resuelve el procedimiento por infracción de ley será reclamable judicialmente conforme al artículo siguiente.
l) El procedimiento administrativo de infracción de ley no podrá superar los seis meses. Cuando hayan transcurrido más de seis meses desde la fecha de la certificación indicada en la letra b) de este artículo sin que la Agencia haya resuelto la reclamación, el interesado podrá presentar un reclamo de ilegalidad en los términos previstos en el siguiente artículo.
Artículo 43.- Procedimiento de reclamación judicial. Las personas naturales o jurídicas interesadas queLey 21719
Art. primero N° 14
D.O. 13.12.2024 estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, según las siguientes reglas:
Art. primero N° 14
D.O. 13.12.2024 estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, según las siguientes reglas:
a) El reclamante señalará en su escrito, con precisión, la resolución objeto del reclamo, la o las normas legales que se suponen infringidas, la forma en que se ha producido la infracción, y cuando procediere, las razones por las cuales el acto le causa agravio.
b) La Corte podrá declarar inadmisible la reclamación si el escrito no cumple con las condiciones señaladas en la letra a) anterior. Asimismo, podrá decretar orden de no innovar cuando la ejecución del acto impugnado le produzca un daño irreparable al recurrente.
c) Recibida la reclamación, la Corte requerirá de informe de la Agencia, concediéndole un plazo de diez días al efecto.
d) Evacuado el traslado o teniéndosele por evacuado en rebeldía, la Corte puede abrir un término de prueba, si así lo estima necesario, el que se regirá por las reglas de los incidentes que contempla el Código de Procedimiento Civil.
e) Vencido el término de prueba, se ordenará traer los autos en relación. La vista de esta causa gozará de preferencia para su inclusión en la tabla.
f) Si la Corte da lugar al reclamo, en su sentencia decidirá si existió agravio y ordenará, según sea procedente, la rectificación del acto impugnado y la dictación de la respectiva resolución, según corresponda.
g) Tratándose de reclamaciones en contra de una resolución que resuelve un procedimiento sancionatorio, la Corte podrá confirmar o revocar la resolución impugnada, establecer o desechar la comisión de la infracción, según corresponda y, mantener, dejar sin efecto o modificar la sanción impuesta al responsable o su absolución, según sea el caso.
h) En todo aquello no regulado por el presente artículo, regirán las normas establecidas en el Código Orgánico de Tribunales y en el Código de Procedimiento Civil, según corresponda.
Párrafo Cuarto
De la responsabilidad de los órganos públicos, de la autoridad o jefe superior del Ley 21719
Art. primero N° 14
D.O. 13.12.2024órgano y de sus funcionarios
Art. primero N° 14
D.O. 13.12.2024órgano y de sus funcionarios
Artículo 44.- Responsabilidad administrativa del jefe superior del órgano público. El jefe superior de Ley 21719
Art. primero N° 14
D.O. 13.12.2024un órgano público deberá velar por que el órgano respectivo realice sus operaciones y actividades de tratamiento de los datos personales con arreglo a los principios, derechos y obligaciones establecidos en el Título IV de esta ley.
Art. primero N° 14
D.O. 13.12.2024un órgano público deberá velar por que el órgano respectivo realice sus operaciones y actividades de tratamiento de los datos personales con arreglo a los principios, derechos y obligaciones establecidos en el Título IV de esta ley.
Asimismo, los órganos públicos deberán someterse a las medidas tendientes a subsanar o prevenir infracciones que indique la Agencia o a los programas de cumplimiento o de prevención de infracciones del artículo 49.
Las infracciones a los principios establecidos en el artículo 3°, y a los derechos y obligaciones en que puedan incurrir los órganos públicos se tipifican en los artículos 34 bis, 34 ter y 34 quáter y serán sancionadas con multa de veinte por ciento a cincuenta por ciento de la remuneración mensual del jefe superior del órgano público infractor. La cuantía de la multa se determinará considerando la gravedad de la infracción, la naturaleza de los datos tratados y el número de titulares afectados. En la determinación de la sanción se deberán considerar también las circunstancias que atenúan la responsabilidad del infractor.
Si el órgano público persiste en la infracción, se le aplicará al jefe superior del órgano público el duplo de la sanción originalmente impuesta y la suspensión en el cargo por un lapso de cinco días.
Tratándose de datos personales sensibles, la multa será del cincuenta por ciento de la remuneración mensual del jefe superior del órgano público y procederá la suspensión en el cargo de hasta treinta días.
Las infracciones en que incurra un órgano público en el tratamiento de los datos personales serán determinadas por la Agencia de acuerdo al procedimiento establecido en el artículo 42.
Habiéndose configurado la infracción, las sanciones administrativas señaladas en este artículo serán aplicadas por la Agencia. Con todo, la Contraloría General de la República, a petición de la Agencia podrá, de acuerdo a las normas de su ley orgánica, incoar los procedimientos administrativos y proponer las sanciones que correspondan.
En contra de las resoluciones de la Agencia se podrá deducir el reclamo de ilegalidad establecido en el artículo 43.
Las sanciones previstas en este artículo deberán ser publicadas en el sitio web de la Agencia y del respectivo órgano o servicio dentro del plazo de cinco días hábiles contado desde que la respectiva resolución quede firme.
Artículo 45.- Responsabilidad del funcionario infractor. Sin perjuicio de lo dispuesto en el artículo aLey 21719
Art. primero N° 14
D.O. 13.12.2024nterior, si en el procedimiento administrativo correspondiente se determina que existen responsabilidades individuales de uno o más funcionarios del órgano público, la Contraloría General de la República, a petición de la Agencia, iniciará una investigación sumaria para determinar las responsabilidades de dichos funcionarios o lo hará en el procedimiento administrativo ya iniciado, en su caso. Las sanciones a los funcionarios infractores serán determinadas de conformidad a lo dispuesto en el Estatuto Administrativo.
Art. primero N° 14
D.O. 13.12.2024nterior, si en el procedimiento administrativo correspondiente se determina que existen responsabilidades individuales de uno o más funcionarios del órgano público, la Contraloría General de la República, a petición de la Agencia, iniciará una investigación sumaria para determinar las responsabilidades de dichos funcionarios o lo hará en el procedimiento administrativo ya iniciado, en su caso. Las sanciones a los funcionarios infractores serán determinadas de conformidad a lo dispuesto en el Estatuto Administrativo.
En caso de que el procedimiento administrativo correspondiente determine que cualquiera de los funcionarios involucrados es responsable de alguna de las infracciones gravísimas señaladas en el artículo 34 quáter de esta ley, esta conducta se considerará una contravención grave a la probidad administrativa.
Artículo 46.- Deber de los funcionarios de reserva y confidencialidad. Los funcionarios de los órganos Ley 21719
Art. primero N° 14
D.O. 13.12.2024públicos que traten datos personales y especialmente, cuando se refieran a datos personales sensibles o datos relativos a la comisión y sanción de infracciones penales, civiles, administrativas y disciplinarias, deben guardar secreto o confidencialidad respecto de la información que tomen conocimiento en el ejercicio de sus cargos y abstenerse de usar dicha información con una finalidad distinta de la que corresponda a las funciones legales del órgano público respectivo o utilizarla en beneficio propio o de terceros. Para efectos de lo dispuesto en el inciso segundo del artículo 125 del Estatuto Administrativo, se estimará que los hechos que configuren infracciones a esta disposición vulneran gravemente el principio de probidad administrativa, sin perjuicio de las demás sanciones y responsabilidades que procedan.
Art. primero N° 14
D.O. 13.12.2024públicos que traten datos personales y especialmente, cuando se refieran a datos personales sensibles o datos relativos a la comisión y sanción de infracciones penales, civiles, administrativas y disciplinarias, deben guardar secreto o confidencialidad respecto de la información que tomen conocimiento en el ejercicio de sus cargos y abstenerse de usar dicha información con una finalidad distinta de la que corresponda a las funciones legales del órgano público respectivo o utilizarla en beneficio propio o de terceros. Para efectos de lo dispuesto en el inciso segundo del artículo 125 del Estatuto Administrativo, se estimará que los hechos que configuren infracciones a esta disposición vulneran gravemente el principio de probidad administrativa, sin perjuicio de las demás sanciones y responsabilidades que procedan.
Cuando, en cumplimiento de una obligación legal, un órgano público comunica o cede a otro órgano público datos protegidos por normas de secreto o confidencialidad, el organismo público receptor y sus funcionarios deberán tratarlos manteniendo la misma obligación de secreto o confidencialidad.
Artículo 47.- Norma general. El responsable de datos deberá indemnizar el daño patrimonial y extrapatriLey 21719
Art. primero N° 14
D.O. 13.12.2024monial que cause al o los titulares, cuando en sus operaciones de tratamiento de datos infrinja los principios establecidos en el artículo 3°, los derechos y obligaciones establecidos en esta ley y les cause perjuicio. Lo anterior no obsta al ejercicio de los demás derechos que concede esta ley al o los titulares de datos.
Art. primero N° 14
D.O. 13.12.2024monial que cause al o los titulares, cuando en sus operaciones de tratamiento de datos infrinja los principios establecidos en el artículo 3°, los derechos y obligaciones establecidos en esta ley y les cause perjuicio. Lo anterior no obsta al ejercicio de los demás derechos que concede esta ley al o los titulares de datos.
La acción indemnizatoria señalada en el inciso anterior podrá interponerse una vez ejecutoriada la resolución que resolvió favorablemente el reclamo interpuesto ante la Agencia o la sentencia se encuentre firme y ejecutoriada, en caso de haber presentado un reclamo de ilegalidad, y se tramitará de conformidad a las normas del procedimiento sumario establecidas en los artículos 680 y siguientes del Código de Procedimiento Civil.
Las acciones civiles que deriven de una infracción a la presente ley prescribirán en el plazo de cinco años, contado desde que se encuentre ejecutoriada la resolución administrativa o la sentencia judicial, según sea el caso, que imponga la multa respectiva.
Artículo 48.- Prevención de infracciones. Los responsables de datos, sean personas naturales o jurídicaLey 21719
Art. primero N° 14
D.O. 13.12.2024s, públicas o privadas, deberán adoptar acciones destinadas a prevenir la comisión de las infracciones establecidas en los artículos 34 bis, 34 ter y 34 quáter.
Art. primero N° 14
D.O. 13.12.2024s, públicas o privadas, deberán adoptar acciones destinadas a prevenir la comisión de las infracciones establecidas en los artículos 34 bis, 34 ter y 34 quáter.
Artículo 49.- Modelo de prevención de infracciones. Los responsables de datos podrán voluntariamente adoptar Ley 21719
Art. primero N° 14
D.O. 13.12.2024un modelo de prevención de infracciones consistente en un programa de cumplimiento.
Art. primero N° 14
D.O. 13.12.2024un modelo de prevención de infracciones consistente en un programa de cumplimiento.
El programa de cumplimiento deberá contener, al menos, los siguientes elementos:
a) La designación de un delegado de protección de datos personales.
b) La definición de medios y facultades del delegado de protección de datos.
c) La identificación del tipo de información que la entidad trata, el ámbito territorial en que opera, la categoría, clase o tipos de datos o bases de datos que administra, y la caracterización de los titulares de datos.
d) La identificación de las actividades o procesos de la entidad, sean habituales o esporádicos, en cuyo contexto se genere o incremente el riesgo de comisión de las infracciones señaladas en los artículos 34 bis, 34 ter y 34 quáter.
e) El establecimiento de protocolos, reglas y procedimientos específicos que permitan a las personas que intervengan en las actividades o procesos indicados en la letra anterior, programar y ejecutar sus tareas o labores de una manera que prevenga la comisión de las referidas infracciones.
f) Los mecanismos de reporte interno sobre el cumplimiento de lo dispuesto en la presente ley y los mecanismos de reporte a la autoridad de protección de datos para el caso del artículo 14 sexies.
g) La existencia de sanciones administrativas internas, así como de procedimientos de denuncia o castigo de responsabilidades de las personas que incumplan el sistema de prevención de infracciones.
La regulación interna a que dé lugar la implementación del programa, en su caso, deberá ser incorporada expresamente como una obligación en los contratos de trabajo o de prestación de servicios de todos los trabajadores, empleados y prestadores de servicios de las entidades que actúen como responsables de datos o los terceros que efectúen el tratamiento, incluidos los máximos ejecutivos de ellas, o bien, como una obligación del reglamento interno del que tratan los artículos 153 y siguientes del Código del Trabajo. En este último caso, se deben realizar las medidas de publicidad establecidas en el artículo 156 del mismo Código.
Artículo 50.- Atribuciones del delegado. El responsable de datos podrá designar un delegado de protecciLey 21719
Art. primero N° 14
D.O. 13.12.2024ón de datos personales.
Art. primero N° 14
D.O. 13.12.2024ón de datos personales.
El delegado de protección de datos deberá ser designado por la máxima autoridad directiva o administrativa del responsable de datos. Se considerará como la máxima autoridad directiva o administrativa al directorio, un socio administrador o a la máxima autoridad de la empresa o servicio, según corresponda.
El delegado de protección de datos deberá contar con autonomía respecto de la administración, en las materias relacionadas con esta ley. En las micro, pequeñas y medianas empresas, el dueño o sus máximas autoridades podrán asumir personalmente las tareas de delegado de protección de datos.
El delegado de protección de datos podrá desempeñar otras funciones y cometidos, procurando mantener la independencia en su función. El responsable garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.
Las sociedades o entidades que pertenezcan a un mismo grupo empresarial, empresas relacionadas o sujetas a un mismo controlador en los términos previstos en la Ley de Mercado de Valores, podrán designar un único delegado de protección de datos, siempre que todas ellas operen bajo los mismos estándares y políticas en materia de tratamiento de datos personales, y el delegado sea accesible para todas las entidades y establecimientos.
La designación del delegado de protección de datos debe recaer en una persona que reúna los requisitos de idoneidad, capacidad y conocimientos específicos para el ejercicio de sus funciones.
Los titulares de datos podrán ponerse en contacto con el delegado de protección de datos en lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo de esta ley.
El delegado de protección de datos estará obligado a mantener estricto secreto o confidencialidad de los datos personales que conociere en ejercicio de su cargo. Los funcionarios públicos que desempeñen estas funciones e infrinjan este deber de secreto o confidencialidad, serán sancionados de conformidad a lo que se prescribe en los artículos 246 a 247 bis del Código Penal. El responsable se hará cargo por las infracciones al deber de secreto o confidencialidad que debía cumplir su encargado de prevención o delegado de protección, sin perjuicio de las acciones de repetición que pueda ejercer contra éste.
El responsable de datos deberá disponer que el delegado cuente con los medios y facultades suficientes para el desempeño de sus funciones, debiendo otorgarle los recursos materiales necesarios para realizar adecuadamente sus labores, en consideración al tamaño y capacidad económica de la entidad.
Sin perjuicio de las demás funciones que se le puedan asignar, el delegado de protección de datos tendrá las siguientes funciones:
a) Informar y asesorar al responsable de datos, a los terceros encargados o mandatarios y a los dependientes del responsable, respecto de las disposiciones legales y reglamentarias relativas al derecho a la protección de los datos personales y a la regulación de su tratamiento.
b) Promover y participar en la política que dicte el responsable de datos respecto de la protección y el tratamiento de los datos personales.
c) Supervisar el cumplimiento de la presente ley y de la política que dicte el responsable, dentro del ámbito de su competencia.
d) Preocuparse de la formación permanente de las personas que participan en las operaciones de tratamiento de datos.
e) Asistir a los miembros de la organización en la identificación de los riesgos asociados a la actividad de tratamiento y las medidas a adoptar para resguardar los derechos de los titulares de datos personales.
f) Desarrollar un plan anual de trabajo y rendir cuenta de sus resultados.
g) Absolver las consultas y solicitudes de los titulares de datos.
h) Cooperar y actuar como punto de contacto de la Agencia.
Artículo 51.- Certificación, registro, supervisión del modelo de prevención de infracciones y reglamentLey 21719
Art. primero N° 14
D.O. 13.12.2024o. La Agencia será la entidad encargada de certificar que el modelo de prevención de infracciones reúna los requisitos y elementos establecidos en la ley y su reglamento y supervisarlos.
Art. primero N° 14
D.O. 13.12.2024o. La Agencia será la entidad encargada de certificar que el modelo de prevención de infracciones reúna los requisitos y elementos establecidos en la ley y su reglamento y supervisarlos.
La Agencia incorporará en el Registro Nacional de Sanciones y Cumplimiento a las entidades que posean una certificación vigente.
Un reglamento expedido a través del Ministerio de Hacienda y suscrito por el Ministro Secretario General de la Presidencia y por el Ministro de Economía, Fomento y Turismo establecerá los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los modelos de prevención de infracciones.
Artículo 52.- Vigencia de los certificados. Los certificados expedidos por la Agencia tendrán una vigencia deLey 21719
Art. primero N° 14
D.O. 13.12.2024 tres años. Sin perjuicio de lo anterior, quedarán sin efecto en los siguientes casos:
Art. primero N° 14
D.O. 13.12.2024 tres años. Sin perjuicio de lo anterior, quedarán sin efecto en los siguientes casos:
a) Por revocación efectuada por la Agencia.
b) Por fallecimiento del responsable de datos en los casos de personas naturales.
c) Por disolución de la persona jurídica.
d) Por resolución judicial ejecutoriada.
e) Por cese voluntario de la actividad del responsable de datos.
El término de vigencia de un certificado por alguna de las causales señaladas precedentemente será inoponible a terceros, mientras no sea eliminado del registro.
Artículo 53.- Revocación de la certificación. La Agencia puede revocar la certificación indicada en losLey 21719
Art. primero N° 14
D.O. 13.12.2024 artículos precedentes, si el responsable no da cumplimiento a lo establecido en este Párrafo. Con este objeto, la Agencia podrá requerir toda aquella información que fuere necesaria para el ejercicio de sus funciones.
Art. primero N° 14
D.O. 13.12.2024 artículos precedentes, si el responsable no da cumplimiento a lo establecido en este Párrafo. Con este objeto, la Agencia podrá requerir toda aquella información que fuere necesaria para el ejercicio de sus funciones.
Los responsables pueden exceptuarse de entregar la información solicitada cuando la misma esté amparada por una obligación de secreto o confidencialidad, debiendo acreditar dicha circunstancia.
El incumplimiento en la entrega de la información requerida, así como la entrega de información falsa, incompleta o manifiestamente errónea, será sancionado en conformidad con esta ley.
Cuando un certificado ha sido revocado por la Agencia, para volver a solicitarlo el responsable de datos debe acreditar fehacientemente que la causal que dio origen a su revocación ha sido subsanada.
documento impreso desde www.bcn.cl/leychile
el 12 del
06 de 2025
a las 13 horas con
16
minutos.