¿Cómo se determinan las multas en la Ley chilena de datos personales?

En el último año ha sido frecuente leer y escuchar que si no se cumple con la futura Ley de Datos Personales de Chile, las empresas recibirán multas de hasta 20.000 UTM, es decir, alrededor de 1.400 millones de pesos (algo así como 1.600.000 dólares estadounidenses).

Sin embargo, para llegar a esa cifra (o incluso mayores), antes hay varias consideraciones previas que quiero explicar resumidamente, para ayudar a entender cómo se determinarán esas multas.

Para empezar, hay que tener claro que el órgano público competente para aplicar esas multas será la Agencia de Protección de Datos Personales y lo hará a partir de una fiscalización o de una reclamación, por infracciones cometidas por quienes utilizan los datos personales de otros (concretamente quienes deciden sobre los fines y medios del tratamiento, denominados “responsables de datos”). De esta forma, el sistema de sanciones ya no será principalmente judicial, sino administrativo, lo que hará mucho más ágil su aplicación.

Por lo tanto, cuando esas infracciones a la Ley de Datos Personales las cometan empresas privadas, cualquiera sea su tamaño, la Agencia podrá multarlas. Eso sí, para conocer a cuánto ascenderá una multa, el órgano fiscalizador debe responder antes varias preguntas necesarias para determinar la sanción correcta en cada caso. 

Acá te explico 3 de ellas.

PREGUNTA 1: ¿Cuál fue la infracción?

Esta primera pregunta es importante porque hay muchas formas diferentes de infringir la Ley y, según su gravedad, se determina el monto máximo de la sanción aplicable. Por esa razón, la Ley distingue entre infracciones leves, graves y gravísimas, siendo estas últimas, las que tienen sanciones más altas, con multas de hasta 20.000 UTM (o incluso mayores, en algunos casos).

Luego de analizar las distintas hipótesis de infracción, me atrevo a sostener que las empresas serán sancionadas mayormente por infracciones leves y graves. Creo que solo una minoría (y espero no equivocarme) incurrirá en infracciones gravísimas, ya que ellas corresponden a conductas que se esperaría venir de “grupos de delincuentes”, más que de organizaciones empresariales. 

Reconozco que esa calificación de “delincuentes” para quienes cometen las infracciones gravísimas de la Ley de Datos Personales puede verse dura, sobre todo porque no estamos en el ámbito penal sino en el administrativo. Pero creo que explico mi punto con tan solo leer algunas de esas infracciones gravísimas:

1. Tratar datos personales fraudulentamente. 

En este caso se utilizan los datos con la intención de engañar al titular o a terceros, similar a cualquier tipo de estafa o defraudación.

2. Destinar maliciosamente los datos a fines distintos a los autorizados. 

Acá también hay un incumplimiento intencional, consciente de que no está permitido el uso para un fin distinto del que fue autorizado por el titular. Es otra forma de engaño al titular, porque no se respetan los límites de la autorización que entregó. 

3. Comunicar o ceder los datos del titular a sabiendas que son falsos, incompletos o incorrectos.

“A sabiendas” es una expresión legal que significa que actúa deliberadamente, no por un error, sino conociendo que está entregando datos en esas malas condiciones y que pueden perjudicar al titular o a quien los utilice.

4. Omitir deliberadamente la comunicación de vulneraciones a medidas de seguridad que puedan afectar datos personales. 

   
   

En este supuesto existe una decisión de guardar silencio, de ocultar el incidente, normalmente para no ver afectada una cierta reputación de la empresa. Sin embargo, con ello puede aumentar exponencialmente el daño hacia los titulares de datos. De hecho, en la Ley Marco de Ciberseguridad los incidentes que involucran datos personales son calificados a priori como de “efecto significativo” y hay mayor urgencia de informarlos, para evitar que escalen y que la situación se agrave, siendo ahí también una infracción gravísima. 

Si bien quedan otras causales en esta categoría, por ejemplo, en las que se infringe la protección de datos sensibles y la de datos de menores de edad o en que el infractor se resiste a la autoridad porque no cumple lo resuelto por la Agencia, con las recién mencionadas creo que queda claro que las infracciones gravísimas no se cometen por un simple error.

Cabe agregar que las infracciones gravísimas, junto con recibir las multas más altas, también pueden acarrear la suspensión de operaciones. Si dentro de un período de 2 años hay una reiteración de una infracción gravísima, la Agencia puede ser más drástica y ordenar que esa empresa además suspenda el tratamiento de datos durante 30 días, prorrogables indefinidamente hasta que la empresa infractora adopte las medidas de corrección que le indique.

Ahora bien, si las infracciones gravísimas deberían ser situaciones muy excepcionales, en mi opinión, las infracciones en que tal vez incurran las empresas con más frecuencia serán principalmente de tipo leve o grave, producto de omisiones, negligencias, errores, desórdenes, más que por acciones conscientes, deliberadas, destinadas a no cumplir sus obligaciones.

Veamos, entonces, qué incumplimientos califican como leves y graves para la Ley. 

Entre las infracciones leves hay algunas que corresponden a implementaciones de la Ley mal realizadas. Por ejemplo: 

• No tener publicada en el sitio web la política de privacidad y tratamiento de datos.

  
  

• No responder, correcta y oportunamente, las solicitudes de los titulares de datos, normalmente por falta de procedimientos internos para ello.

  
  

Este tipo de infracciones leves puede ser multado hasta por 5.000 UTM (alrededor de 350 millones de pesos) o recibir una amonestación escrita, según determine la Agencia. Pero eso no significa que la implementación pueda tomarse a la ligera, porque no hay que olvidar que, junto con pagar la multa, igual tendrá que corregir la infracción.

En mi opinión, las infracciones más frecuentes serán aquellas relacionadas con las actividades de tratamiento que realizan habitualmente las empresas. Ese tipo de hipótesis son calificadas en la Ley, por lo general, como infracciones graves y se sancionan, en principio, con multas de hasta 10.000 UTM (es decir, alrededor de 700 millones de pesos). 

Por supuesto, las infracciones graves también pueden partir de implementaciones mal realizadas o incompletas, cuando se ha trabajado sólo para “cumplir formalidades” o cuando las medidas implementadas por la empresa no son las correctas y realmente no funcionan. Por eso suelo poner tanto énfasis en el compliance efectivo, en la implementación de la Ley de Datos Personales sin improvisaciones y conscientes de que no se trata de un proyecto que finaliza en diciembre de 2026, luego de elaborar varios documentos y de contratar un delegado de protección de datos (DPO). El tratamiento de datos personales pasa a ser un proceso de gestión interno en mejora continua. 

Volviendo a esas infracciones calificadas como graves por la Ley, a modo de ejemplo, puedo mencionar:

1. Tratar los datos sin contar con el consentimiento del titular (cuando lo requiere). 

   
   

Si bien la Ley admite otras bases de licitud (situaciones que habilitan para utilizar los datos personales de otros), en las que no se requiere consentimiento, ellas proceden únicamente bajo ciertas condiciones. Es decir, no es llegar y reemplazar el consentimiento por un contrato o por la justificación de un interés legítimo. Además, para obtener el consentimiento del titular se necesita cumplir con varios requisitos para legitimar la recolección y uso de los datos que no siempre concurren y que, en ese caso, equivale a no tenerlo.

2. Tratar datos innecesarios, inexactos, incompletos o desactualizados, en relación con los fines declarados. 

   
   

Para evitar esta infracción se trabaja en dos momentos:

• Primero, durante la implementación de la Ley, adoptando varias decisiones de gobernanza de datos y fortaleciendo las competencias del personal.

  
  

• Después, al llevar a cabo las actividades de tratamiento de datos personales, donde es necesario poder visualizar con claridad la forma en que se procede para no desviarse del fin declarado y mantener la pertinencia y calidad de los datos que utiliza. De lo contrario, podría incurrir en esta infracción grave a pesar de haber implementado correctamente la Ley en un inicio.  

3. Vulnerar deberes de secreto sobre los datos que trata e infringir obligaciones de seguridad en el tratamiento de datos personales.

   
   

Esto puede ser el resultado de no preparar al personal, para hacerlo consciente de su obligación de guardar secreto sobre los datos personales a los que tiene acceso.

También corresponde a la no adopción de medidas técnicas y organizativas que sean apropiadas para garantizar un nivel de seguridad adecuado al riesgo que representa el tratamiento de los datos de esa empresa para los titulares de esa información.

Es decir, el incumplimiento de obligaciones y principios esenciales para el sistema de protección de datos personales, como lo son el consentimiento como base de licitud, el respeto de la finalidad, la proporcionalidad y calidad de los datos y la confidencialidad y seguridad en el tratamiento, derivan en infracciones graves sancionadas con multas altas, de hasta 10.000 UTM.

En resumen, el primer paso para determinar la multa será ubicar la infracción dentro de alguno de estos tipos de gravedad previamente establecidos en la Ley. De hecho, la Agencia no podría considerar una conducta fuera del rango que le corresponde. Por ejemplo, aunque quisiera dar una señal ejemplarizadora, no podría considerar como gravísimo el no tener publicada la política en la web, ni tampoco minimizar el tratamiento de datos desactualizados solo como una infracción leve.  

PREGUNTA 2: ¿Quién cometió la infracción?

Esta pregunta que se hará la Agencia es importante porque al momento de aplicar una sanción debe seguir algunos parámetros indicados en la Ley, para que su decisión sea proporcional, no excesiva y aspire a ser justa. 

En ese sentido, deberá considerar el tamaño de esa empresa infractora. 

Si fuera una PYME (es decir, una empresa pequeña o mediana con menos de 200 trabajadores y ventas anuales inferiores a 100.000 Unidades de Fomento, esto es, alrededor de 3.970 millones de pesos), hay una norma transitoria hasta el 1 de diciembre de 2027 que le permite a la Agencia, si así lo estima, reemplazar las multas que correspondan por amonestaciones escritas, alternativa que no opera respecto de grandes empresas.

Asimismo, si fuera una empresa grande y cometiera una infracción grave o gravísima podría recibir sanciones más altas que los topes normales de 10.000 y 20.000 UTM, respectivamente. Ocurriría en caso de reincidencia. Ahí, las multas podrían corresponder al 2% (por infracciones graves) o 4% (por infracciones gravísimas) de los ingresos anuales en el último año. Esta regla, en cambio, no procede si la reincidencia de este tipo de infracciones graves y gravísimas la comete una PYME.  

Además, considerar quién cometió la infracción es importante porque la Agencia deberá tener presente la capacidad económica del infractor para determinar el monto de la multa. Es decir, la Ley espera que la Agencia tenga a la vista este hecho, de manera que, si una empresa atraviesa por una situación económica más precaria que otra similar, esto pueda significarle recibir una sanción por un monto más cercano al piso que al techo máximo de la multa.

PREGUNTA 3: ¿Cómo se ha comportado el infractor?

Respecto a esta tercera pregunta, la Agencia, luego de tener clara la gravedad de la infracción y quién es el posible infractor, se fijará en la conducta que ha tenido hasta ese momento y, en particular, cuando cometió la infracción. 

Por una parte, considerará si la infracción se produjo por falta de diligencia o cuidado, es decir, por la negligencia o los errores y desórdenes en esa empresa o si hubo intencionalidad de parte de la empresa infractora, lo que, como indiqué, se vincula con algunas causales de infracciones gravísimas.

También revisará si la empresa ha sido sancionada antes por la Agencia, en las mismas circunstancias. Esto es relevante porque podría configurarse una reincidencia, si se produjo dentro del período de los últimos 2 años y medio. Si así fuera, nos encontraríamos frente a una circunstancia agravante de responsabilidad, por lo que el monto de la multa podría llegar a triplicarse para la empresa infractora, independiente de su tamaño.

Pero no solo deberá tener en cuenta comportamientos negativos. La Agencia también revisará si concurren atenuantes de responsabilidad, debiendo en ese caso ser menos drástica al determinar el monto aplicable para la multa. Dentro de estas atenuantes de responsabilidad la Ley considera el que la empresa reconozca su responsabilidad en la infracción y, unilateralmente o bajo un acuerdo, realice acciones de reparación para los titulares de datos afectados. 

También atenúa responsabilidad si el infractor colabora con la investigación de la Agencia, se autodenuncia y adopta medidas frente a su infracción, no tiene sanciones previas o si cuenta con un modelo de prevención de infracciones que esté certificado ante la Agencia.  

De este modo, el monto de una multa terminará por definirse en cada caso. Por tanto, no se trata de un resultado único para toda infracción, sino que variará a partir de estas preguntas que acabo de explicar. 

Si necesita ayuda con la correcta implementación de la Ley en su empresa, que como expliqué es determinante para mitigar el riesgo de ser sancionado, solicite una reunión conmigo y conversemos sobre su situación.