Ley Chile - Acuerdo S/n; Sesión 278 (14-sep-2011) Consejo Para la Transparencia - Biblioteca del Congreso Nacional de Chile

"I.- Recomendaciones sobre Protección de Datos Personales por parte de los órganos de la Administración del Estado

Considerando:

1. Que la protección de datos personales, amparada en nuestra legislación en la ley N° 19.628, tiene por finalidad asegurar a las personas un espacio de control sobre su identidad y de libre manifestación de su personalidad, lo que presupone, en las condiciones modernas de elaboración y gestión de la información, la protección contra la recogida, el almacenamiento, la utilización y la transmisión ilimitados de los datos concernientes a su persona, es decir, el derecho a la autodeterminación informativa.

2. Que en el último tiempo han quedado en evidencia casos de accesos ilegales a registros administrados por órganos del Estado respecto de datos personales y sensibles de los ciudadanos, desconociéndose la protección que otorga la ley antes señalada. Por lo anteriormente expuesto, el Consejo para la Transparencia estima necesario contribuir a elevar los estándares de protección de los datos personales en poder de los órganos de la Administración del Estado a fin de asegurar los derechos que la ley reconoce a los titulares de los mismos.

3. Que, en esta materia, la letra m) del artículo 33 de la Ley de Transparencia, faculta al Consejo para velar por el debido cumplimiento de la ley N° 19.628, sobre protección de datos de carácter personal, por parte de los órganos de la Administración del Estado, y en la letra j), para velar por la debida reserva de los datos e informaciones que conforme a la Constitución y la ley tengan el carácter de secreto y reservado. Ambas disposiciones exigen, en consecuencia, una atenta observancia de la aplicación que los órganos públicos realicen de las disposiciones de la ley N° 19.628, ya sea mediante la resolución de casos particulares o la dictación de recomendaciones.

4. Que desde la entrada en vigencia de la Ley de Transparencia, este Consejo, conociendo de reclamos por incumplimiento de los deberes de transparencia activa y de amparos por denegación de acceso a la información, se ha visto en la necesidad de ponderar este derecho fundamental con la protección de datos personales, lo que ha generado una abundante jurisprudencia al respecto.

5. Que, en virtud de la experiencia acumulada y en ejercicio de lo dispuesto en los literales m) y j) del artículo 33 de la Ley de Transparencia, se ha estimado conveniente proponer una serie de buenas prácticas complementarias de las normas obligatorias contenidas en la ley Nº 19.628, las que, en su carácter de recomendaciones, tendrán por objeto facilitar la comprensión y orientar para un mejor cumplimiento de las obligaciones que esta norma legal impone a los órganos de la Administración del Estado en materia de protección de datos personales. De esta forma, el presente instrumento normativo recogerá en su texto las obligaciones que dispone la ley y las complementará con orientaciones que faciliten su cumplimiento homogéneo por parte de la Administración.

Por tanto, el Consejo Directivo acuerda dictar las siguientes Recomendaciones:

1. Objeto de las Recomendaciones

Las presentes Recomendaciones tienen por objeto establecer orientaciones respecto de los criterios jurídicos aplicables por los órganos de la Administración del Estado en el tratamiento de datos de carácter personal que obren en su poder, a fin de dar cumplimiento a las obligaciones y limitaciones dispuestas por la ley Nº 19.628, garantizar a las personas el derecho a la protección de los datos de carácter personal y asegurar el debido manejo de los registros o bancos de datos personales que sean necesarios para el ejercicio de sus competencias.

2. Ámbito de aplicación de las Recomendaciones

Las Recomendaciones serán aplicables al tratamiento de datos de carácter personal que efectúen los órganos de la Administración del Estado, entendiendo por tales los comprendidos en el inciso primero del artículo 2º de la Ley de Transparencia.

Las presentes Recomendaciones no serán aplicables a los tratamientos de datos de personas jurídicas, ni al tratamiento de datos de personas fallecidas.

3. Definiciones previas

Para efectos de la aplicación de estas Recomendaciones deberán considerarse las definiciones contenidas en el artículo 2° de la ley N° 19.628, de 1999, sobre Protección de la Vida Privada, y, especialmente, se entenderá por:

3.1. Datos de carácter personal o datos personales, los

relativos a cualquier información concerniente a

personas naturales, identificadas o

identificables, sea que se trate de información

numérica, alfabética, gráfica, fotográfica,

acústica o de cualquier otro tipo.

Por tanto, los elementos básicos de la definición

son:

i. Debe tratarse de información relativa a una

persona, siendo indiferente la naturaleza del

dato, antecedente o hecho de que se trate.

ii. Debe tratarse de información que permita

identificar al titular. Se entiende para

estos efectos por identificable toda persona

cuya identidad pueda determinarse, directa o

indirectamente, por ejemplo, mediante un

número de identificación o uno o varios

elementos específicos característicos de su

identidad física, fisiológica, psíquica,

económica, cultural o social (por ejemplo:

RUT o RUN, número de cuenta corriente

bancaria, domicilio, número telefónico,

etc.). No se considerará identificable si es

necesario realizar actividades

desproporcionadas o en plazos excesivos. En

este último caso el elemento determinante

será el tipo de esfuerzo que se realiza para

lograr la identificación de una persona.

iii. El titular sólo puede ser una persona

natural.

Quedan comprendidos dentro de esta

definición, independiente del soporte en que

se encuentren, datos tales como: nombre,

edad, sexo, rol único tributario o rol único

nacional, estado civil, profesión, domicilio,

números telefónicos, dirección postal, etc.

3.2. Datos sensibles, aquellos datos personales que se

refieren a las características físicas o morales de

las personas o a hechos o circunstancias de su vida

privada o intimidad, tales como los hábitos

personales, el origen racial, las ideologías y

opiniones políticas, las creencias o convicciones

religiosas, los estados de salud físicos o

psíquicos y la vida sexual. Estos datos deberán ser

especialmente protegidos adoptando las medidas de

seguridad que correspondan.

3.3. Registro o banco de datos, el conjunto organizado

de datos de carácter personal, sea automatizado o

no y cualquiera sea la forma o modalidad de su

creación u organización, que permita relacionar los

datos entre sí, así como realizar todo tipo de

tratamiento de datos. Por ejemplo, se pueden

mencionar: los registros de personal de una

institución, los de datos de clientes, los de datos

de beneficiarios de subsidios, los de proveedores,

un documento o tabla Excel en el que se incluyan

distintos nombres y direcciones de participantes de

un evento, un conjunto de currículos en formato

digital insertos en una carpeta catalogados por

nombre, etc.

Por tanto, los registros de datos podrán

clasificarse en:

i. Registro automatizado: todo conjunto

organizado de datos de carácter personal que

para su tratamiento han sido o están sujetos

al uso de la informática y que, por ende,

requieren de una herramienta tecnológica

específica, como por ejemplo un procesador de

texto o de cálculo, para su acceso,

recuperación o tratamiento.

ii. Registro no automatizado: todo conjunto de

datos de carácter personal organizado de forma

manual, contenido en registros manuales,

impresos, sonoros, magnéticos, visuales u

holográficos, y estructurado conforme a

criterios específicos relativos a personas

físicas que permitan acceder sin esfuerzos

desproporcionados a sus datos personales. Será

en este caso fundamental para su clasificación

atender al criterio de estructuración a través

del cual se puede acceder al dato, como podría

ser el nombre, RUT o RUN, la fecha de

nacimiento, etc.

3.4. Responsable del registro o banco de datos, el

organismo público, de los definidos en el numeral 2

de estas Recomendaciones, a quien competen las

decisiones relacionadas con el tratamiento de los

datos de carácter personal. Por tanto, lo que

caracteriza al responsable es su capacidad de

decisión respecto de la finalidad, contenido y uso

del tratamiento de los datos.

3.5. Tratamiento de datos, cualquier operación o

complejo de operaciones o procedimientos técnicos,

de carácter automatizado o no, que permitan

recolectar, almacenar, grabar, organizar, elaborar,

seleccionar, extraer, confrontar, interconectar,

disociar, comunicar, ceder, transferir, transmitir

o cancelar datos de carácter personal, o

utilizarlos en cualquier otra forma. Estas

operaciones pueden ser realizadas directamente por

el responsable del registro o, también, por el

encargado del tratamiento.

A modo ejemplar, se entienden incorporadas dentro

del concepto de tratamiento las siguientes

acciones:

i. Almacenar, que consiste en la conservación o

custodia de datos en un registro o banco de

datos;

ii. Disociar, referido a todo tratamiento de datos

personales de modo que la información que se

obtenga no pueda asociarse a persona

identificada o identificable. Por ejemplo,

mediante la tacha de ciertos datos que

permitan la anonimización de la información,

como los nombres, RUT o RUN de los currículos,

mediante la supresión de los datos de las

personas encuestadas y la entrega sólo de las

respuestas otorgadas, etc.;

iii. Comunicar, transmitir o ceder, es decir, dar a

conocer de cualquier forma los datos de

carácter personal a personas distintas del

titular, sean determinadas o indeterminadas.

Sin perjuicio de ello, el acceso a los datos

por un encargado del tratamiento no se

considerará cesión;

iv. Bloquear, que consiste en la suspensión

temporal de cualquier operación de tratamiento

de los datos almacenados;

v. Modificar, todo cambio en el contenido de los

datos almacenados en registros o bancos de

datos;

vi. Eliminar o cancelar, esto es, la destrucción

de datos almacenados en registros o bancos de

datos, cualquiera fuere el procedimiento

empleado para ello, lo que conlleva el cese

del tratamiento en forma definitiva.

3.6. Mandatario (también denominado encargado del

tratamiento), aquella persona natural o jurídica

que realiza un tratamiento de datos por encargo o

mandato del responsable de la base de datos, al que

le serán aplicables las reglas generales en la

materia. El mandato deberá ser otorgado por

escrito, dejando especial constancia de las

condiciones de la utilización de los datos, y el

mandatario estará obligado a respetar esas

estipulaciones en el cumplimiento de su encargo.

3.7. Fuentes accesibles al público, los registros o

recopilaciones de datos personales, públicos o

privados, de acceso no restringido o reservado a

los solicitantes. Es decir, su consulta debe poder

ser realizada por cualquier persona, como por

ejemplo, los contenidos en diarios o en medios de

comunicación social.

3.8. Dato caduco, el que ha perdido actualidad por

disposición de la ley, por el cumplimiento de la

condición o la expiración del plazo señalado para

su vigencia o, si no hubiese norma expresa, por el

cambio de los hechos o circunstancias que consigna.

3.9. Dato estadístico, el dato que, en su origen, o como

consecuencia de su tratamiento, no puede ser

asociado a un titular identificado o identificable.

Por ejemplo, tendrán este carácter las respuestas

dadas en las encuestas, en la medida que a su

respecto se hayan suprimido los datos de las

personas encuestadas y no exista posibilidad de

definir su identidad.

4. Principios orientadores de la protección de datos

Los principios orientadores de la protección de datos que informan su tratamiento por parte de los organismos de la Administración del Estado son los siguientes: licitud, calidad, información, seguridad y confidencialidad.

4.1. Principio de licitud. De conformidad con el

artículo 4° de la ley N° 19.628, sólo es posible

tratar datos de carácter personal cuando exista

autorización legal, ya sea de la propia ley N°

19.628 o de otras normas de igual rango.

De acuerdo a la referida ley, cuando los órganos de

la Administración del Estado efectúen tratamientos

de datos personales no será necesario el

consentimiento del titular de los datos, respecto

de las materias de su competencia y con sujeción a

las reglas que la ley establece. Sin perjuicio de

lo anterior, se considerará una buena práctica

informar a la persona el propósito del

almacenamiento y su posible comunicación al

público.

Por el contrario, en las materias fuera de la

competencia de dichos órganos, éstos no podrán

efectuar tratamientos ni siquiera recabando el

consentimiento del titular.

4.2. Principio de calidad de los datos. Este principio

consiste en que los datos tratados deben ser

exactos, adecuados, pertinentes y no excesivos, y

deberá ser observado durante la recogida y

posterior tratamiento de los datos. Concurren, por

tanto, tres principios rectores:

a. Principio de veracidad. De conformidad con el

inciso segundo del artículo 9° de la ley N°

19.628, los datos personales deben ser

exactos, actualizados y responder con

veracidad a la situación real de su titular.

Por consiguiente, el organismo o servicio

público responsable de la base de datos

deberá, sin necesidad de requerimiento del

titular de los mismos: eliminar los datos

caducos y aquellos que estén fuera de su

competencia; bloquear los datos personales

cuya exactitud no pueda ser establecida o cuya

vigencia sea dudosa y respecto de los cuales

no corresponda su cancelación; y modificar los

datos inexactos, equívocos o incompletos. Lo

anterior es sin perjuicio de lo establecido en

el punto 5.10. de las presentes

Recomendaciones.

b. Principio de finalidad. Según lo dispone el

inciso primero del artículo 9° de la ley N°

19.628, los datos personales deben utilizarse

sólo para los fines para los cuales hubieren

sido recolectados. La referida finalidad en el

caso de órganos de la Administración del

Estado estará determinada en función de las

materias propias de su competencia. Por

ejemplo, un órgano que tenga competencia para

otorgar subsidios podrá tratar los datos

personales de los postulantes y de los

beneficiarios que digan relación con los

requisitos necesarios para la obtención de

dicho beneficio con ese único objetivo.

c. Principio de proporcionalidad. Este principio

implica que sólo pueden recabarse aquellos

datos que sean necesarios para conseguir los

fines que justifican su recolección. Por

tanto, se entenderá que se cumple con el

principio de proporcionalidad cuando: el o los

datos que se recolecten, así como su posterior

tratamiento, sean adecuados o apropiados a la

finalidad que lo motiva; sean pertinentes o

conducentes para conseguir la referida

finalidad y no excesivos en relación a dicha

finalidad para la cual se han obtenido, en el

sentido que no exista otra medida más moderada

para la consecución de tal propósito con igual

eficacia. Por ejemplo, para cumplir con este

principio en el otorgamiento de una beca para

estudios sólo se podrán recolectar datos

relativos a la identificación del solicitante,

sus antecedentes curriculares y demás

necesarios para verificar la concurrencia de

los requisitos establecidos para postular, en

la medida que éstos se encuentren relacionados

con la naturaleza del beneficio. En aplicación

de este principio, los órganos o servicios

públicos deberán optar, de entre los diversos

tratamientos que le permitan conseguir los

fines pretendidos dentro del ámbito de sus

competencias, por aquel que menor incidencia

tenga en el derecho a la protección de datos

personales y por la utilización de los medios

menos invasivos.

4.3. Principio de información. De acuerdo a lo

dispuesto en los artículos 3º, 4° y 20 de la ley N°

19.628, y aunque los organismos públicos estén

facultados para efectuar tratamientos de datos de

carácter personal sin consentimiento del titular de

los mismos respecto de materias de su competencia,

se recomienda que éstos, previamente a la

recolección de los datos, informen a su titular

acerca de la identidad del órgano responsable de la

base de datos, de la finalidad perseguida con el

tratamiento de la información, de la posible

comunicación a terceros y de los derechos que pueden

ser ejercidos por ellos.

4.4. Principio de seguridad. Conforme a lo establecido en

el artículo 11 de la ley N° 19.628, el responsable

de los registros o bases donde se almacenen datos

personales, con posterioridad a su recolección,

deberá cuidar de ellos con la debida diligencia,

haciéndose responsable de los daños. Por tanto, se

recomienda a los órganos de la Administración del

Estado que, a fin de dar cumplimiento a lo anterior,

apliquen medidas de seguridad, técnicas y

organizativas que garanticen la confidencialidad,

integridad y disponibilidad de la información.

4.5. Principio de confidencialidad o secreto. Según lo

prescribe el artículo 7° de la ley N° 19.628, las

personas que trabajan en el tratamiento de datos

personales o tengan acceso a éstos de otra forma

(como aquellos funcionarios públicos autorizados

para el acceso a bancos de datos de los organismos

respectivos), están obligadas a guardar secreto

sobre los mismos, cuando provengan o hayan sido

recolectados de fuentes no accesibles al público,

como asimismo sobre los demás datos y antecedentes

relacionados con el banco de datos, obligación que

no cesa por haber terminado sus actividades en ese

campo.

5. Derechos de los titulares de datos personales

Los titulares de datos personales, conforme a lo establecido en el artículo 12 de la ley N° 19.628, pueden ejercer respecto de los órganos de la Administración del Estado, los derechos que se describen en este numeral, teniendo presente las características de independencia, gratuidad y sencillez y las recomendaciones que en cada caso se señalan a continuación.

5.1. Derecho a acceder a sus propios datos. Toda persona

tiene derecho a exigir del órgano o servicio que

sea responsable de un banco, información sobre los

datos relativos a su persona, su procedencia y

destinatario, el propósito del almacenamiento y la

individualización de las personas u organismos a

los cuales sus datos son transmitidos regularmente.

En este caso, la información será entregada en

forma absolutamente gratuita, no siendo posible ni

siquiera cobrar los costos directos de reproducción

de esa información.

Si los datos personales están en un banco de datos

al cual tienen acceso diversos organismos, el

titular podrá requerir información a cualquiera de

ellos.

Cuando en el ejercicio del derecho de acceso a la

información pública establecido en la Ley de

Transparencia, se soliciten antecedentes que,

obrando en poder de la Administración, contengan

datos personales de los que es titular el

solicitante, se aplicará el procedimiento

establecido en dicha ley, incluyendo la posibilidad

de recurrir de amparo ante este Consejo. No

obstante ello, en lo relativo a la gratuidad del

acceso, se observará lo dispuesto en la ley Nº

19.628.

5.2. Derecho de rectificación o modificación. Toda

persona tiene derecho a exigir que los datos que

sean erróneos, inexactos, equívocos o incompletos,

se modifiquen, siempre que se acredite debidamente

cualquiera de dichas circunstancias y se indique

con claridad la corrección solicitada. Lo anterior,

es sin perjuicio de la rectificación o modificación

de oficio por parte del órgano o servicio público,

en aplicación directa del principio de calidad de

los datos.

5.3. Derecho de cancelación o eliminación. Toda persona

tiene derecho a exigir que se eliminen aquellos

datos cuyo almacenamiento carece de fundamento

legal o se encuentran caducos, salvo que concurra

alguna excepción legal, como las señaladas en el

numeral 5.10. de las presentes Recomendaciones.

En el caso de los numerales 5.2. y 5.3., la

rectificación y cancelación serán absolutamente

gratuitas, debiendo proporcionarse, además, a

solicitud del titular copia del registro alterado

en la parte pertinente. No estarán autorizados a

cobrar los órganos o servicios públicos los costos

directos de reproducción por la entrega de dicha

información. Si se efectuasen nuevas modificaciones

o eliminaciones de datos, el titular podrá,

asimismo, obtener sin costo copia del registro

actualizado, siempre que hayan transcurrido, a lo

menos, seis meses desde la precedente oportunidad

en que hizo uso de este derecho. El derecho a

obtener copia gratuita sólo podrá ejercerse

personalmente por el titular del dato o debidamente

representado.

Si los datos personales cancelados o modificados

hubieren sido comunicados previamente a personas

determinadas o determinables, el órgano responsable

del banco deberá avisarles a la brevedad posible la

operación efectuada. Si no fuere posible determinar

las personas a quienes se les hayan comunicado,

pondrá un aviso que pueda ser de general

conocimiento para quienes usen la información del

banco de datos. De todo ello, se recomienda

informar, oportunamente y por escrito, al titular

del dato.

5.4. Derecho al bloqueo de datos. Es el derecho a exigir

la suspensión temporal de cualquier operación de

tratamiento de los datos almacenados (letra b) del

artículo 2° de la ley Nº 19.628). Procede cuando el

titular ha proporcionado voluntariamente sus datos

personales o ellos se usen para comunicaciones

informativas y no desee continuar figurando en el

registro respectivo de modo temporal o definitivo,

o cuando la exactitud de los datos personales no

pueda ser establecida o cuya vigencia sea dudosa y

respecto a los cuales no corresponda la

cancelación. Lo anterior, sin perjuicio de lo

establecido en el numeral 5.10. de las presentes

Recomendaciones.

5.5. Procedimiento y formulario para el ejercicio de los

derechos. Para facilitar el ejercicio de los

derechos señalados en los numerales precedentes,

los órganos o servicios públicos podrán disponer de

procedimientos y formularios simplificados que

faciliten el ejercicio de los derechos señalados en

los numerales precedentes. Se recomienda que dichos

formularios estén disponibles en cada una de las

Oficinas de Información, como también en sus

respectivas páginas web. En los referidos

formularios se exigirá:

a) El nombre y apellidos del titular de los

datos. Lo anterior se acreditará mediante

fotocopia de la cédula de identidad o

pasaporte. Además, regirá la misma exigencia

en caso de actuar mediante apoderado a su

respecto.

b) La dirección del solicitante a efectos de

notificación.

c) El derecho que se ejerce y una descripción

simple de los hechos en que se funda.

d) La fecha y la firma del solicitante, estampada

por cualquier medio habilitado.

e) Los documentos acreditativos de la solicitud,

en caso de ser procedente.

5.6. Ejercicio independiente. Cada uno de los derechos

señalados en los numerales 5.1. a 5.4. podrá ser

ejercido en forma independiente; es decir, no puede

exigirse el ejercicio de ninguno de ellos como

condición o requisito previo para el ejercicio del

otro. A modo ejemplar, no podrá exigirse ejercer el

derecho de acceso en forma previa ni concurrente al

ejercicio del derecho de rectificación.

5.7. Ejercicio a través de apoderado. Los derechos

señalados en los numerales 5.1. a 5.4. podrán ser

ejercidos personalmente o mediante apoderado. En

este último caso, el apoderado tendrá las mismas

facultades que el titular del dato, salvo

manifestación expresa en contrario.

El poder deberá constar en escritura pública o

documento privado suscrito ante notario y el

apoderado deberá acreditar al ejercer el derecho,

mediante la correspondiente documentación, la

identidad del titular del dato y la calidad de

apoderado.

5.8. Ejercicio de los derechos ante el mandatario

(también denominado encargado del tratamiento). En

caso de que el organismo de la Administración del

Estado hubiese encargado el tratamiento de los

datos a un tercero, los titulares de éstos podrán

ejercer sus derechos directamente ante él o ante el

órgano o servicio, a su elección. En el contrato

respectivo deberá establecerse la forma en que se

dará respuesta en estos casos, buscando en todo

momento responder en forma oportuna y adecuada al

titular del dato.

5.9. Prohibición de limitación. Los derechos señalados

en los numerales 5.1. a 5.4. no podrán ser

limitados por medio de ningún acto o convención.

5.10.Límites al ejercicio de los derechos. No obstante

lo dispuesto en los numerales precedentes, no podrá

solicitarse información, modificación, cancelación

o bloqueo de datos personales cuando:

i. Ello impida o entorpezca el debido

cumplimiento de las funciones fiscalizadoras

del organismo de la Administración del Estado

requerido;

ii. Afecte la reserva o secreto establecidos en

disposiciones legales, las que, de acuerdo al

artículo 8º de la Constitución Política de la

República, deberán tener rango de ley de

quórum calificado. En especial, cuando se

configuren algunas de las causales

establecidas en el artículo 21 de la Ley de

Transparencia;

iii. Afecte la seguridad de la Nación;

iv. Afecte el interés nacional, o

v. Hubiesen sido almacenados por mandato legal.

En este caso el mandato legal deberá ser

expreso y autorizar al órgano o servicio para

hacer tratamiento de datos respecto de un

determinado banco de datos, como por ejemplo,

los registros de datos de nacimiento que tiene

en su poder el Servicio de Registro Civil e

Identificación. La procedencia de la

modificación, cancelación o bloqueo de los

datos en esos casos estará sometida y tendrá

el alcance que establezca la normativa

respectiva.

5.11.Obligación de evacuar respuesta. El órgano o

servicio público estará obligado a evacuar

respuesta a la solicitud efectuada por el titular

de los datos, en el plazo señalado en el numeral

5.12., aunque no disponga de los datos de carácter

personal de la persona que ejerció el derecho.

5.12.Plazo de respuesta y efectos de la falta de

pronunciamiento en tiempo o de la denegación. Si el

órgano o servicio responsable del registro o banco

de datos no se pronunciare sobre la solicitud del

requirente dentro de dos días hábiles, o la

denegare por una causa distinta de la seguridad de

la Nación o el interés nacional, el titular de los

datos tendrá derecho a recurrir al juez de letras

en lo civil del domicilio del responsable,

solicitando amparo a los derechos consagrados en

este numeral, de acuerdo al procedimiento

establecido en el inciso segundo del artículo 16 de

la ley Nº 19.628.

En caso que la causal invocada para denegar la

solicitud del requirente fuere la seguridad de la

Nación o el interés nacional, la reclamación deberá

deducirse ante la Corte Suprema, la que solicitará

informe de la autoridad de que se trate por la vía

que considere más rápida, fijándole plazo al

efecto, transcurrido el cual resolverá en cuenta la

controversia. El procedimiento ante la Corte

Suprema se someterá a las normas establecidas en

los incisos tercero y siguientes del artículo 16 de

la ley N° 19.628.

6. Obligaciones específicas de los organismos de la Administración del Estado

6.1. Condiciones de licitud en el tratamiento de los

Datos

Los organismos de la Administración del Estado

pueden realizar tratamiento de datos personales,

sólo y exclusivamente respecto de las materias de

su competencia y con sujeción a las reglas que la

ley establece, no requiriendo para estos efectos el

consentimiento del titular. Asimismo, deberán tener

en consideración las presentes Recomendaciones que

velan por el adecuado cumplimiento de la ley N°

19.628.

Los órganos públicos no podrán efectuar

tratamientos de datos personales en materias ajenas

a su competencia, ni siquiera recabando el

consentimiento del titular.

6.2. Requerimientos para el tratamiento de datos

Los órganos o servicios públicos deben sujetarse

para el tratamiento de los datos, según el artículo

20, a las reglas establecidas en la ley N° 19.628,

con la sola excepción de la exigencia relativa al

consentimiento del titular. En consecuencia:

a) Se recomienda a los órganos de la

Administración del Estado que informen al

titular de los datos, según lo dispone el

artículo 4° de la ley N° 19.628, el propósito

del almacenamiento de sus datos personales, es

decir, la finalidad perseguida con el

tratamiento de la información, y la posible

comunicación a terceros. De la misma forma, se

podrá informar al titular la denominación del

órgano o servicio responsable del tratamiento

de la base de datos y los derechos que le

asisten para la protección de sus datos

personales.

Se recomienda especialmente a los órganos o

servicios públicos que dispongan de una

política proactiva de difusión de información

en esta materia a fin de dar cabal

cumplimiento al deber de informar antes

señalado. Por ejemplo, podrán contemplar estos

antecedentes en la Política de Privacidad

poniéndola a disposición permanente del

público en los respectivos sitios web

institucionales, mediante afiches o la mención

a tal política en los formularios en que se

soliciten datos personales (formulario de

registro), señalando dónde se encuentra ésta,

entre otras.

b) Los órganos o servicios públicos deberán

necesariamente, de conformidad al artículo 9°

de la ley N° 19.628, efectuar el tratamiento

de los datos personales cumpliendo con las

finalidades correspondientes a las materias de

su competencia. Se recomienda que estas

finalidades se encuentren explicitadas, a modo

ejemplar, en la política de privacidad,

formulario de registro, formulario papel u

otro medio, para de esta manera informar

adecuadamente a su titular.

c) En virtud del principio de calidad de los

datos y de los artículos 6° y 9°, inciso

segundo, de la ley N° 19.628, los órganos o

servicios públicos deberán de oficio y sin

necesidad de requerimiento del titular de los

datos: eliminar los datos caducos y aquellos

que se encuentren fuera de su competencia por

carecer de fundamento legal; bloquear los

datos cuya exactitud no pueda ser establecida

o cuya vigencia sea dudosa y respecto de los

cuales no corresponda la cancelación; y

modificar los datos inexactos, equívocos o

incompletos.

d) Se recomienda asimismo que, en virtud del

principio de seguridad y del artículo 11 de la

ley N° 19.628, los órganos o servicios

públicos, desde el momento de la recolección,

adopten todas las medidas, tanto organizativas

como técnicas, para resguardar la integridad,

confidencialidad y disponibilidad de los datos

contenidos en sus registros con la finalidad

de evitar su alteración, pérdida, transmisión

y acceso no autorizado, haciéndose responsable

de los daños causados. En este sentido, los

organismos públicos deberán aplicar diversos

niveles de seguridad atendiendo al tipo de

dato almacenado. A título ejemplar, respecto

de aquellos datos definidos como sensibles,

deberán adoptarse niveles de seguridad más

altos que respecto de aquellos que no posean

dicha calidad.

e) Los órganos o servicios públicos deberán

exigir a sus funcionarios cumplir con la

obligación de secreto o confidencialidad en

relación a los datos que provengan o hayan

sido recolectados de fuentes no accesibles al

público, contemplada en el artículo 7° de la

ley N° 19.628, en especial respecto de los que

trabajen en el tratamiento de datos personales

o tengan acceso a éstos de cualquier otra

forma, extendiéndose, igualmente, este deber a

los demás datos o antecedentes relacionados

con el banco de datos, como por ejemplo

respecto de las medidas de seguridad adoptadas

a su respecto. Asimismo, la referida

obligación del funcionario público no cesará

por haber terminado sus obligaciones en ese

campo, es decir, por dejar de desempeñarse en

el tratamiento o acceso a dichos registros o

en el Servicio mismo.

6.3. Tratamiento de datos personales relativos a

delitos, infracciones administrativas o faltas

disciplinarias

Los órganos de la Administración del Estado,

conforme a lo dispuesto en el artículo 21 de la ley

N° 19.628, que sometan a tratamiento datos

personales relativos a condenas por delitos,

infracciones administrativas o faltas

disciplinarias, no podrán comunicarlos una vez

prescrita la acción penal o administrativa, o

cumplida o prescrita la sanción o la pena.

Por consiguiente, los órganos deberán abstenerse de

publicar en virtud del artículo 7°, letra g) de la

Ley de Transparencia, referido a los actos y

resoluciones que tengan efectos sobre terceros, los

datos personales relativos a condenas por delitos,

infracciones administrativas o faltas

disciplinarias una vez prescrita la acción penal o

administrativa, o cumplida o prescrita la sanción o

la pena y aplicarán, de ser procedente, el

principio de divisibilidad respecto de los actos o

resoluciones que los contengan.

Con todo, cuando el Consejo conozca de un reclamo

por incumplimiento de los deberes de transparencia

activa o de un amparo por denegación de acceso a la

información, podrá autorizar la comunicación de

este tipo de datos cuando así lo exija el interés

público, en aplicación de la Ley de Transparencia.

Se exceptuarán de la prohibición de comunicación,

los casos en que esa información les sea solicitada

por los Tribunales de Justicia u otros organismos

públicos dentro del ámbito de su competencia,

quienes deberán guardar respecto de ella la debida

reserva o secreto y, en todo caso, les serán

aplicables los siguientes artículos de la ley N°

19.628:

a) El artículo 5° que regula el procedimiento

automatizado de transmisión de datos;

b) El artículo 7° que consagra el principio de

secreto exigible a los funcionarios públicos;

c) El artículo 11 que establece el principio de

seguridad, y

d) El artículo 18 referido a la prohibición de

comunicación de datos personales relativos a

obligaciones de carácter económico, financiero

bancario o comercial cuando han transcurrido

cinco años desde que la obligación se hizo

exigible, después de haber sido pagada o

haberse extinguido la obligación por otro modo

legal, sin perjuicio de la comunicación a los

Tribunales de Justicia de la información que

requieran con motivo de juicios pendientes.

6.4. Inscripción de las bases de datos en el Registro de

Bancos de Datos Personales a cargo de Organismos

Públicos

Los órganos de la Administración del Estado deberán

inscribir todos los bancos de datos personales que

obren en su poder en el Registro de los Bancos de

Datos Personales a cargo de Organismos Públicos que

lleva el Servicio de Registro Civil e

Identificación, de acuerdo a lo establecido en el

artículo 22 de la ley N° 19.628, en el decreto

supremo N° 779, de 2000, del Ministerio de

Justicia, que aprobó el Reglamento del Registro de

Bancos de Datos Personales a cargo de Organismos

Públicos y en la resolución (E) N° 1.540, de 2010,

del Servicio de Registro Civil e Identificación.

a) Características del registro. Este registro

tendrá carácter público y en él constará,

respecto de cada uno de esos bancos de datos,

el fundamento jurídico de su existencia, su

finalidad, tipos de datos almacenados y

descripción del universo de personas que

comprende.

b) Requisitos de la inscripción. Conforme a la

normativa aludida, el organismo público

responsable del banco de datos para efectos de

la inscripción, debe proporcionar, a lo menos:

i. El nombre del banco de datos personales,

es decir, la denominación que el propio

organismo le dé al banco de datos que

inscriba y que sirva para su

identificación;

ii. El organismo público responsable del

banco de datos personales respectivo;

iii. El RUT correspondiente al organismo

público;

iv. El fundamento jurídico de la existencia

del banco de datos personales, es decir,

se deben indicar las normas legales que

sancionan en forma específica la

existencia de un registro en particular,

o las normas de carácter general,

sectorial u orgánica que habiliten al

organismo público para tratar los datos

personales y almacenarlos en bancos de

datos;

v. La finalidad del banco de datos;

vi. El o los tipos de datos almacenados en

dicho banco, pudiendo corresponder, a

modo ejemplar, a cualquiera de las

siguientes categorías de datos:

biométricos (como ADN, firma, fotografía,

impresiones dactilares, etc.), civiles

(como datos de los padres, domicilio,

fecha de nacimiento, lugar de nacimiento,

nombres, apellidos, datos del cónyuge,

estado civil, fecha de matrimonio, sexo,

fecha de defunción, lugar de defunción,

nacionalidad, RUN, etc.), económicos y

financieros (como cuentas bancarias,

ingresos, tarjetas de crédito, deudas,

RUT, etc.), generales (calidad de

conductor de vehículos motorizados,

habilidades, membresía a organizaciones,

etc.), judiciales o legales (como

condenas, infracciones de tránsito,

consumo y tráfico de estupefacientes,

violencia intrafamiliar, etc.), de salud

(como enfermedades, discapacidad,

intervenciones, alergias, etc.), sociales

(nivel educacional, religión, profesión,

ocupación u oficio, etnia, etc.) y otros

datos referidos a cualquier otra

información concerniente a personas

naturales, identificadas o

identificables, almacenada en la base de

datos del organismo respectivo; y

vii. Una descripción del universo de personas

que comprende.

c) Procedimiento de inscripción. El procedimiento

de inscripción de los bancos de datos

personales a cargo de los órganos de la

Administración del Estado se encuentra

regulado en el decreto supremo N° 779, de

2000, del Ministerio de Justicia, que aprobó

el Reglamento del Registro de Bancos de Datos

Personales a cargo de Organismos Públicos y en

las resoluciones que el Director Nacional

estime pertinente dictar al efecto, en

especial, la resolución (E) N° 1.540, de 2010,

que establece el procedimiento de inscripción

de registros y/o bancos de datos personales a

cargo de los organismos públicos o la que la

reemplace.

d) Oportunidad de la inscripción. Los órganos o

servicios públicos deberán inscribir la base

de datos dentro del plazo de 15 días contados

desde que se inicien las actividades del

respectivo banco.

e) Correcciones de la inscripción. Cualquier

corrección relativa a errores u omisiones de

una inscripción deberá ser requerida por el

propio organismo responsable de dicha

inscripción en el Registro de Bancos de Datos

Personales, siguiendo el mismo procedimiento

establecido para la inscripción.

f) Modificaciones de la inscripción. Cualquier

modificación de una inscripción deberá ser

requerida por el propio organismo responsable

de la inscripción en el Registro de Bancos de

Datos Personales, en el plazo de 15 días

contados desde que se produzca cualquier

cambio en la información proporcionada, de

acuerdo a lo establecido en la letra b) del

presente numeral.

6.5. Comunicación o transmisión de datos personales

Los organismos de la Administración del Estado sólo

podrán establecer procedimientos de comunicación,

transmisión o cesión de datos de carácter personal

para fines que digan directa relación con sus

competencias legales y las de los organismos

participantes, aplicando los principios

orientadores establecidos en el punto 4 de estas

recomendaciones. Por su parte, el receptor sólo

podrá utilizar los datos personales para los fines

que motivaron la transmisión, salvo que se trate de

datos personales accesibles al público en general o

se transmitan datos personales a organizaciones

internacionales en cumplimiento de lo dispuesto en

tratados y convenios vigentes. Dicho procedimiento

podrá contemplar las siguientes etapas:

requerimiento expreso, admisibilidad del mismo y

firma de un convenio de transmisión, las que se

someterán a los lineamientos que se señalan a

continuación.

El requerimiento de datos personales efectuado a un

órgano o servicio público contendrá las siguientes

especificaciones:

a) La individualización del requirente, el que

puede ser un organismo público o privado;

b) El motivo y el propósito del requerimiento,

con indicación expresa del tratamiento de

datos que se busque efectuar y la finalidad

del mismo, y

c) El tipo de datos que se desea transmitir.

La admisibilidad del requerimiento será evaluada

por el órgano o servicio responsable del banco de

datos que lo recibe, verificando que la

comunicación guarde relación con sus tareas o

finalidades, es decir, que se encuentra dentro del

ámbito de sus competencias, y estableciendo los

requisitos necesarios para el resguardo de los

derechos de protección de datos en el convenio

respectivo. En esta etapa, los órganos públicos

garantizarán la igualdad de trato en el acceso a

esta información por parte de todas las entidades

que efectúen el requerimiento correspondiente, y

cumplan con los requisitos establecidos.

De la transmisión, la fecha, el motivo y propósito

de la misma, los requisitos específicos para la

protección de los datos personales transmitidos y

la obligación del solicitante de utilizar los datos

personales sólo para los fines que motivaron la

transmisión se dejará constancia en un convenio de

comunicación o transmisión suscrito por ambas

partes, el que se entenderá aprobado una vez que se

encuentre totalmente tramitado el o los

correspondientes actos administrativos de

aprobación, según se trate de uno o más órganos

públicos. Por tanto, a lo menos deberá contener:

i. Identificación del órgano público que

transmite los datos y del destinatario de los

mismos;

ii. Identificación del banco de datos, según la

denominación dada en la inscripción efectuada

en el Registro de Bancos de Datos Personales a

cargo de Organismos Públicos;

iii. Las medidas de seguridad que deberán adoptar

tanto el que transmite los datos como el

destinatario de los mismos durante todo el

procedimiento de transmisión y posterior

tratamiento de los datos por este último;

iv. La indicación de que el receptor de los datos

tendrá la calidad de responsable del

tratamiento, estando sometido a las mismas

obligaciones, multas y responsabilidad de

indemnizar en caso de tratamiento indebido de

los datos, que el órgano público que efectuó

la transmisión;

v. El procedimiento para efectuar el aviso a que

se refiere el artículo 12, inciso final, de la

ley N° 19.628, en caso que se ejerza ante

cualquiera de los responsables de la base de

datos comunicada los derechos de modificación,

cancelación o bloqueo, adoptando las medidas

de trazabilidad que correspondan;

vi. El plazo que el destinatario conservará los

datos transmitidos, y

vii. Los cursos de acción que deberá seguir el

destinatario una vez que haya efectuado el

tratamiento que motivó la transmisión, ya sea

que se acuerde la destrucción o devolución del

banco de datos al transmisor y de cualquier

otro soporte donde consten los datos objeto de

la comunicación.

Por ejemplo, si el organismo utiliza un servicio

web que permite la consulta directa entre los

sistemas de información de las diversas entidades

participantes o si dos organismos públicos

suscriben convenios de intercambio de datos

personales, deberán cumplir con lo dispuesto en el

artículo 5° de la ley N° 19.628 y observar las

precedentes recomendaciones.

No serán aplicables las recomendaciones contenidas

en este numeral a los convenios o contratos

celebrados entre órganos o servicios públicos y

particulares cuando este último tenga la calidad de

encargado del tratamiento, esto es, actúa bajo las

instrucciones del organismo responsable de la base

de datos, quien tiene las facultades para decidir

acerca de la base de datos misma. En ese caso,

deberá estarse a las exigencias contempladas en el

numeral 6.6. y siguientes.

6.6. Tratamiento de datos a través de un mandatario

(también denominado encargado del tratamiento)

Los órganos o servicios públicos, en conformidad a

lo dispuesto en el artículo 8° de la ley N° 19.628,

podrán encargar el tratamiento de los datos a un

tercero, que tendrá la calidad de mandatario.

El contrato de prestación de servicios de

tratamiento que encargue el tratamiento de datos

personales deberá ser otorgado por escrito y se

recomienda hacer mención de:

a) Que el tratamiento se efectúa a cuenta y

riesgo del organismo responsable del

tratamiento;

b) Las condiciones de utilización de los datos;

c) Las medidas de seguridad que se deban adoptar,

y

d) Las exigencias de confidencialidad de las

personas que trabajen en el tratamiento y, en

general, de la necesidad de dar cumplimiento a

las obligaciones establecidas en la ley N°

19.628 y de observar las presentes

recomendaciones.

En estos casos no se entenderá que existe

transmisión, comunicación o cesión de datos entre

el responsable del tratamiento y el mandatario (o

encargado).

6.7. Medidas de seguridad de los bancos o registros de

Datos

En virtud del principio de seguridad y del artículo

11 de la ley N° 19.628, se recomienda a los

organismos de la Administración del Estado adoptar

todas las medidas, tanto organizativas como

técnicas, para resguardar la integridad,

confidencialidad y disponibilidad de los datos

contenidos en sus registros con la finalidad de

evitar la alteración, pérdida, transmisión y acceso

no autorizado de los mismos.

Para ello, los organismos públicos aplicarán

diversos niveles de seguridad atendiendo al tipo de

dato almacenado; a título ejemplar, respecto de los

datos sensibles deberán adoptarse niveles de

seguridad más altos que en relación a aquellos que

no poseen dicha calidad.

Los organismos públicos deberán adoptar todas las

medidas de seguridad de sistemas para el resguardo

de los bancos de datos personales que sean

pertinentes a la naturaleza de los datos tratados,

por lo que se recomienda, especialmente, adoptar

las medidas de seguridad establecidas en el

artículo 11 y siguientes del decreto supremo N° 83,

de 2004, del Ministerio Secretaría General de la

Presidencia, que aprobó la Norma Técnica para los

Órganos de la Administración del Estado sobre

Seguridad y Confidencialidad de los documentos

electrónicos, en lo relativo a establecer una

política que fije las directrices generales

orientadoras en materia de seguridad de bases de

datos que se encuentran en su poder, que defina un

encargado de seguridad al interior del servicio,

mediante el correspondiente acto administrativo, y

que a cada banco de datos se le asigne un

responsable.

6.8. Obligaciones en caso de tratamiento de datos para

encuestas, estudios de mercado y sondeos de opinión

De acuerdo a lo establecido en el artículo 3° de la

ley N° 19.628, cuando los órganos o servicios

públicos recolecten datos personales a través de

encuestas, estudios de mercado o sondeos de opinión

pública u otros instrumentos semejantes, sin

perjuicio de los demás derechos y obligaciones que

la ley regula, se deberá informar a las personas

del carácter obligatorio o facultativo de las

respuestas y el propósito para el cual se está

solicitando la información.

La comunicación de sus resultados debe omitir las

señas que puedan permitir la identificación de las

personas consultadas, debiendo sólo comunicarse los

datos que tengan la calidad de estadísticos, es

decir, los que en su origen, o como consecuencia de

un tratamiento, no pueden ser asociados a un

titular identificado o identificable, por haber

sido aplicado a su respecto un procedimiento de

disociación de datos.

Asimismo, el titular del dato puede oponerse a la

utilización de sus datos personales con fines de

publicidad, investigación de mercado o encuestas de

opinión. Para ello se recomienda que el órgano o

servicio informe al titular del dato, conjuntamente

con los aspectos señalados y al momento de

realizarse la recopilación, que le asiste el

derecho a oponerse, en cualquier tiempo, a la

utilización de los mismos con los fines indicados.

6.9. Responsabilidad por las infracciones y derecho a

Indemnización

De conformidad al artículo 23 de la ley N° 19.628,

el órgano de la Administración del Estado

responsable del banco de datos personales deberá

indemnizar el daño patrimonial y moral que causare

por el tratamiento indebido de los datos, sin

perjuicio de proceder a eliminar, modificar o

bloquear los datos de acuerdo a lo requerido por el

titular o, en su caso, lo ordenado por el tribunal.

7. Encargado o encargada de protección de datos

Para facilitar el cumplimiento de las obligaciones establecidas en la ley Nº 19.628 y una mejor observancia de las presentes Recomendaciones, se sugiere que las distintas autoridades, jefaturas o jefes superiores de los órganos o servicios de la Administración del Estado, designen a un funcionario o funcionaria de dicha repartición para desempeñarse como encargado o encargada de protección de datos y constituya un contacto efectivo en la materia con el Consejo para la Transparencia.

La designación y las comunicaciones que se establezcan para los efectos antedichos no alterarán, en caso alguno, la responsabilidad prevista en el artículo 23 de la ley señalada anteriormente.

II.- Publicación. Publíquese el presente acuerdo en el Diario Oficial.".