Párrafo Primero
De la responsabilidad, las infracciones y las sanciones aplicables a las personas Ley 21719
Art. primero N° 14
D.O. 13.12.2024naturales o jurídicas de derecho privado
Art. primero N° 14
D.O. 13.12.2024naturales o jurídicas de derecho privado
Artículo 34.- Infracciones leves, graves y gravísimas. Las infracciones cometidas por los responsables Ley 21719
Art. primero N° 14
D.O. 13.12.2024de datos a los principios señalados en el artículo 3° y a los derechos y obligaciones establecidos en esta ley se califican, atendida su gravedad, en leves, graves y gravísimas.
Art. primero N° 14
D.O. 13.12.2024de datos a los principios señalados en el artículo 3° y a los derechos y obligaciones establecidos en esta ley se califican, atendida su gravedad, en leves, graves y gravísimas.
Las responsabilidades en que incurra una persona natural o jurídica por las infracciones establecidas en esta ley, se entienden sin perjuicio de las demás responsabilidades legales, civiles o penales, que pudieran corresponderle.
Artículo 34 bis.- Infracciones leves. Se consideran infracciones leves, las siguientes:
a) InLey 21719
Art. primero N° 14
D.O. 13.12.2024cumplir total o parcialmente el deber de información y transparencia, establecido en el artículo 14 ter.
Art. primero N° 14
D.O. 13.12.2024cumplir total o parcialmente el deber de información y transparencia, establecido en el artículo 14 ter.
b) Carecer de la individualización del domicilio postal, correo electrónico o medio electrónico equivalente que permita comunicarse con el responsable de datos o su representante legal, actualizado y operativo, a través del cual los titulares de datos puedan dirigir sus comunicaciones o ejercer sus derechos.
c) Omitir la respuesta, responder en forma incompleta o fuera de plazo, las solicitudes formuladas por el titular de datos en conformidad a esta ley.
d) Omitir el envío a la Agencia de las comunicaciones previstas obligatoriamente en esta ley o sus reglamentos.
e) Incumplir las instrucciones generales impartidas por la Agencia en los casos que no esté sancionado como infracción grave o gravísima.
f) Cometer cualquier otra infracción a los derechos y obligaciones establecidos en esta ley, que no sea calificada como una infracción grave o gravísima.
Artículo 34 ter.- Infracciones graves. Se consideran infracciones graves, las siguientes:
a)Ley 21719
Art. primero N° 14
D.O. 13.12.2024 Tratar los datos personales sin contar con el consentimiento del titular de datos o sin un antecedente o fundamento legal que otorgue licitud al tratamiento, o tratarlos con una finalidad distinta de aquélla para la cual fueron recolectados.
Art. primero N° 14
D.O. 13.12.2024 Tratar los datos personales sin contar con el consentimiento del titular de datos o sin un antecedente o fundamento legal que otorgue licitud al tratamiento, o tratarlos con una finalidad distinta de aquélla para la cual fueron recolectados.
b) Comunicar o ceder datos personales, sin el consentimiento del titular, en los casos en que dicho consentimiento sea necesario, o comunicar o ceder los datos para un fin distinto del autorizado.
c) Efectuar tratamiento de datos personales innecesarios en relación con los fines del tratamiento vulnerando lo dispuesto en el literal c) del artículo 3°.
d) Tratar datos personales inexactos, incompletos o desactualizados en relación con los fines del tratamiento, salvo que la actualización de estos datos corresponda al titular en virtud de la ley o el contrato.
e) Impedir u obstaculizar el ejercicio legítimo de los derechos de acceso, rectificación, supresión, oposición o portabilidad del titular.
f) Omitir la respuesta, responder tardíamente o denegar la petición sin causa justificada, en los casos de solicitudes fundadas de bloqueo temporal del tratamiento de datos personales de un titular.
g) Realizar tratamiento de datos personales de niños, niñas y adolescentes con infracción a las normas previstas en esta ley.
h) Realizar tratamiento de datos personales sin cumplir los requisitos establecidos para las personas jurídicas de derecho privado sin fines de lucro y cuya finalidad sea política, filosófica, religiosa, cultural, sindical o gremial, respecto de los datos de sus asociados.
i) Vulnerar el deber de secreto o confidencialidad establecido en el artículo 14 bis.
j) Vulnerar o infringir las obligaciones de seguridad en el tratamiento de los datos personales establecidas en el artículo 14 quinquies.
k) Omitir las comunicaciones o los registros en los casos de vulneración de las medidas de seguridad establecidas en el artículo 14 quinquies.
l) Adoptar medidas de calidad y seguridad insuficientes o no idóneas para el tratamiento de datos personales con fines históricos, estadísticos o científicos y para estudios o investigaciones que atiendan fines de interés público.
m) Realizar operaciones de transferencia internacional de datos en contravención a las normas previstas en esta ley.
n) Incumplir una resolución o un requerimiento específico y directo que haya impartido la Agencia.
Artículo 34 quáter.- Infracciones gravísimas. Se consideran infracciones gravísimas, las siguientes:
a) Efectuar tratamiento de datos personales en forma fraudulenta.
b) Destinar maliciosamente los datos personales a una finalidad distinta de la consentida por el titular o prevista en la ley que autoriza su tratamiento.
c) Comunicar o ceder, a sabiendas, información no veraz, incompleta, inexacta o desactualizada sobre el titular de datos.
d) Vulnerar el deber de secreto o confidencialidad sobre los datos personales sensibles y datos personales relativos a la comisión y sanción de infracciones penales, civiles, administrativas y disciplinarias.
e) Tratar, comunicar o ceder, a sabiendas, datos personales sensibles o datos personales de niños, niñas y adolescentes, en contravención a las normas de esta ley.
f) Omitir en forma deliberada la comunicación de las vulneraciones a las medidas de seguridad que puedan afectar la confidencialidad, disponibilidad o integridad de los datos personales.
g) Efectuar tratamiento masivo de datos personales contenidos en registros electrónicos de infracciones penales, civiles, administrativas y disciplinarias, que llevan los organismos públicos, sin contar con autorización legal para ello.
h) Realizar, a sabiendas, operaciones de transferencia internacional de datos en contravención a las normas previstas en esta ley.
i) Incumplir una resolución de la Agencia que resuelve la reclamación de un titular sobre el ejercicio de sus derechos de acceso, rectificación, supresión, oposición, portabilidad o bloqueo temporal.
j) Entregar, a sabiendas, información falsa, incompleta o manifiestamente errónea en el proceso de registro o certificación del modelo de prevención de infracciones.
k) Incumplir la obligación establecida en el artículo 15 ter, en los casos que corresponda.
Artículo 35.- Sanciones. Las sanciones a las infracciones en que incurran los responsables de datos serLey 21719
Art. primero N° 14
D.O. 13.12.2024án las siguientes:
Art. primero N° 14
D.O. 13.12.2024án las siguientes:
a) Las infracciones leves serán sancionadas con amonestación escrita o multa de hasta 5.000 unidades tributarias mensuales.
b) Las infracciones graves serán sancionadas con multa de hasta 10.000 unidades tributarias mensuales.
c) Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 unidades tributarias mensuales.
En cada caso, la Agencia señalará las medidas tendientes a subsanar las causales que dieron motivo a la sanción, las que deberán ser adoptadas en un plazo no mayor a sesenta días, de lo contrario se impondrá un recargo de 50% a la multa cursada, sin perjuicio de lo establecido en el artículo 49.
En caso de que exista reincidencia, de conformidad al literal a) del inciso segundo del artículo 36, la Agencia podrá aplicar una multa de hasta tres veces el monto asignado a la infracción cometida.
En caso de que el infractor corresponda a una empresa distinta de aquéllas definidas como empresas de menor tamaño en el artículo segundo de la ley N° 20.416, que reincida en infracción de carácter grave o gravísima en los términos del literal a) del inciso segundo del artículo 36, la multa podrá alcanzar a la más gravosa entre la señalada en el inciso anterior o hasta el monto correspondiente al 2% o 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, según se trate de infracciones graves o gravísimas, respectivamente.
Artículo 36.- Circunstancias atenuantes y agravantes de responsabilidad. Se considerarán circunstanciasLey 21719
Art. primero N° 14
D.O. 13.12.2024 atenuantes:
Art. primero N° 14
D.O. 13.12.2024 atenuantes:
1. Las acciones unilaterales de reparación que realice el responsable y los acuerdos reparatorios convenidos con los titulares de datos que fueron afectados.
2. La colaboración que el infractor preste en la investigación administrativa practicada por la Agencia.
3. La ausencia de sanciones previas del responsable de datos.
4. La autodenuncia ante la Agencia. Junto con la autodenuncia, el infractor deberá comunicar las medidas adoptadas para el cese de los hechos que originaron la infracción o las medidas de mitigación implementadas, según corresponda.
5. El haber cumplido diligentemente sus deberes de dirección y supervisión para la protección de los datos personales sujetos a tratamiento, lo que se verificará con el certificado expedido de acuerdo a lo dispuesto en el artículo 51.
Se considerarán circunstancias agravantes:
a) La reincidencia. Existe reincidencia cuando el responsable ha sido sancionado en dos o más ocasiones, en los últimos treinta meses, por infracción a esta ley. Las resoluciones que aplican las sanciones respectivas deberán encontrarse firmes o ejecutoriadas.
b) El carácter continuado de la infracción.
c) El haber puesto en riesgo la seguridad de los derechos y libertades de los titulares en relación a sus datos personales.
Artículo 37.- Determinación del monto de las multas. Para la determinación del monto de las multas señaLey 21719
Art. primero N° 14
D.O. 13.12.2024ladas en esta ley, la Agencia deberá aplicar prudencialmente los siguientes criterios:
Art. primero N° 14
D.O. 13.12.2024ladas en esta ley, la Agencia deberá aplicar prudencialmente los siguientes criterios:
1. La gravedad de la conducta.
2. Si la conducta fue realizada con falta de diligencia o cuidado en aquellos casos que no se consideran estos elementos en la configuración de la infracción.
3. El perjuicio producido con motivo de la infracción, especialmente el número de titulares de datos que se vieron afectados.
4. El beneficio económico obtenido con motivo de la infracción, en caso de que lo hubiese.
5. Si el tratamiento realizado incluye datos personales sensibles o datos personales de niños, niñas y adolescentes.
6. La capacidad económica del infractor.
7. Las sanciones aplicadas con anterioridad por la Agencia en las mismas circunstancias.
8. Las circunstancias atenuantes y agravantes que concurran.
En caso de que una conducta dé origen a dos o más infracciones, o cuando una infracción sea medio para cometer otra, se impondrá una sola multa, considerando siempre la sanción de la infracción más grave. En caso de que se verifiquen dos o más conductas infraccionales, independientes entre sí, se acumularán las sanciones correspondientes a cada una de ellas.
Las multas deberán ser pagadas en la Tesorería General de la República, a través de los medios presenciales o digitales que ella disponga, dentro del plazo de diez días hábiles contado desde que la resolución de la Agencia se encuentre firme. El comprobante de pago correspondiente deberá ser presentado a la Agencia dentro del plazo de diez días hábiles contado desde que se hubiere efectuado el pago.
Cuando por unos mismos hechos y fundamentos jurídicos, el infractor pudiese ser sancionado con arreglo a esta ley y a otra u otras leyes, de las sanciones posibles, se le impondrá la de mayor gravedad.
Artículo 38.- Sanciones accesorias. En caso que se impongan multas por infracciones gravísimas reiteradLey 21719
Art. primero N° 14
D.O. 13.12.2024as, en un período de veinticuatro meses, la Agencia podrá disponer la suspensión de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un término de treinta días. Esta suspensión no afectará el almacenamiento de datos por parte del responsable.
Art. primero N° 14
D.O. 13.12.2024as, en un período de veinticuatro meses, la Agencia podrá disponer la suspensión de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un término de treinta días. Esta suspensión no afectará el almacenamiento de datos por parte del responsable.
La suspensión que disponga la Agencia como sanción accesoria podrá ser parcial o total, y no podrá decretarse cuando con ello se afecten los derechos de los titulares.
Durante este período el responsable deberá adoptar las medidas necesarias con el objeto de adecuar sus operaciones y actividades a las exigencias dispuestas en la resolución que ordenó la suspensión.
Si el responsable no da cumplimiento a lo dispuesto en la resolución de suspensión temporal, esta medida se podrá prorrogar indefinidamente, por períodos sucesivos de máximo treinta días, hasta que el responsable cumpla con lo ordenado.
Cuando la suspensión afecte a una entidad sujeta a supervisión por parte de un organismo público de carácter fiscalizador, la Agencia deberá previamente poner los antecedentes en conocimiento de la autoridad regulatoria correspondiente, para los efectos de cautelar los derechos de los usuarios de dicha entidad.
Artículo 39.- Registro Nacional de Sanciones y Cumplimiento. Créase el Registro Nacional de Sanciones yLey 21719
Art. primero N° 14
D.O. 13.12.2024 Cumplimiento, administrado por la Agencia. El registro será público y su acceso gratuito. Se consultará y llevará en forma electrónica.
Art. primero N° 14
D.O. 13.12.2024 Cumplimiento, administrado por la Agencia. El registro será público y su acceso gratuito. Se consultará y llevará en forma electrónica.
En él se deberán consignar a los responsables de datos que hayan sido sancionados por infringir los derechos y obligaciones establecidos en esta ley. Deberá distinguirse según la gravedad de la infracción. Adicionalmente, se deberá consignar la conducta infraccionada, las circunstancias atenuantes y agravantes de responsabilidad y la sanción impuesta. También se deberán consignar los responsables que adopten modelos certificados de prevención de infracciones, con carácter vigente.
Las anotaciones en el registro serán de acceso público por el período de cinco años, a contar de la fecha en que se practicó la anotación.
Artículo 40.- Prescripción. Las acciones para perseguir la responsabilidad por las infracciones previstLey 21719
Art. primero N° 14
D.O. 13.12.2024as en esta ley prescriben en el plazo de cuatro años, contado desde la ocurrencia del hecho que originó la infracción.
Art. primero N° 14
D.O. 13.12.2024as en esta ley prescriben en el plazo de cuatro años, contado desde la ocurrencia del hecho que originó la infracción.
En caso de infracciones continuadas, el plazo de prescripción de las referidas acciones se contará desde el día en que la infracción haya cesado.
Se interrumpe la prescripción con la notificación del inicio del procedimiento administrativo correspondiente.
Las sanciones que se impongan por una infracción a la presente ley prescriben en el plazo de tres años, contado desde la fecha en que la resolución que impone la sanción quede ejecutoriada.