10.03.2017
1.- Contexto
– La Ley N° 19.628, del año 1999, sobre protección de la vida privada, establece un  conjunto de normas que regulan el tratamiento y la protección de los datos de
carácter personal de las personas naturales.
– Si bien la ley N° 19.628 constituyó un gran avance al momento de su dictación, siendo Chile el primer país latinoamericano en darse un marco regulatorio para el
tratamiento y la protección de los datos personales, es un hecho indiscutido que el acelerado desarrollo tecnológico, la masificación en el uso de las tecnologías de la
información, el extendido acceso a internet, la generación y uso de grandes volúmenes de información a través de sistemas automatizados de procesamiento, la
expansión del comercio electrónico, unido a los nuevos desafíos que enfrentan las sociedades y los Estados en materia de reconocimiento y protección de los derechos de sus ciudadanos, han llevado a que esta normativa pierda eficacia y efectividad.
– También es relevante considerar que la sociedad digital ha expandido los espacios de libertad, autonomía y desarrollo de las personas, pero también ha diseñado
nuevos y sofisticados sistemas de control y vigilancia que amenazan o limitan esa misma libertad, como la pérdida relativa del valor de la intimidad personal, la
disminución de algunos ámbitos de autodeterminación o la hiperaccesibilidad de la información digital que termina afectando la reputación social de las personas.
– Para lograr el desarrollo el país necesita, entre otras cosas, flexibilizar restricciones que sostienen altas barreras a la entrada en algunos sectores económicos y contar con regulaciones que incentiven y promuevan la competencia para permitir el nacimiento de nuevas negocios. Una deuda importante en esta materia, es la falta de una legislación moderna que permita cumplir los estándares internacionales en materia de protección y tratamiento de los datos personales para favorecer la
expansión y competitividad de las empresas exportadoras de servicios.
– La insuficiencia del actual marco normativo y la ausencia de una autoridad de control que den eficacia a la ley, son parte de un diagnóstico en el que existe un
amplio consenso entre los actores políticos, económicos y la sociedad civil.
– En este contexto, resulta fundamental avanzar en una nueva legislación que perfeccione y complete los vacíos de la actual normativa, recoja los estándares
internacionales contenidos en la legislación comparada y en las Directrices de la OCDE e incorpore una autoridad de control, un sistema institucional e incentivos
que aseguren la aplicación y cumplimiento de la ley.
– En consecuencia, esta propuesta busca balancear y equilibrar las diferentes miradas y opciones técnicas, económicas, jurídicas y políticas, proponiendo un marco
regulatorio que proteja los derechos y libertades de las personas, garantice el tratamiento lícito de los datos personales por parte de terceros, no entrabando ni
entorpeciendo la libre circulación de la información y en definitiva, se alcance una legislación moderna y flexible que permita enfrentar los desafíos del país de cara al siglo XXI.

2.- Objetivos del proyecto de ley
El proyecto de ley tiene como objetivo general actualizar y modernizar el marco normativo e institucional con el propósito de establecer que el tratamiento de los datos personales de las personas naturales se realice con el consentimiento del titular o en los casos que autorice la ley, reforzando la idea que los datos personales deben estar bajo la esfera de control de su titular, favoreciendo su protección frente a toda intromisión de terceros y estableciendo las condiciones regulatorias bajo las cuales los terceros, personas naturales o jurídicas, empresas y organizaciones públicas o privadas, pueden efectuar legítimamente el tratamiento de tales datos, asegurando estándares de calidad, información, transparencia y seguridad.
De esta forma, el principal desafío regulatorio es equilibrar la protección de los derechos y libertades de las personas que son titulares de los datos personales, especialmente el respeto y protección a la vida privada e intimidad, con la libre circulación de la información, asegurando que las reglas de autorización y uso que se establezcan no entraben ni entorpezcan el tratamiento lícito de los datos por parte de las personas, organismos y empresas.
Desde un punto de vista normativo, el presente proyecto de ley propone una amplia actualización y perfeccionamiento de la ley N° 19.628, sobre protección de la vida privada, tanto en sus aspectos dogmáticos como institucionales.

En cuanto a los objetivos específicos de este proyecto de ley, se plantean los siguientes:
a. Establecer las condiciones regulatorias que permitan reforzar los derechos de los titulares de los datos personales en relación a las operaciones de tratamiento de
datos que legítimamente efectúen los agentes privados y públicos.
b. Dotar al país de una legislación moderna y flexible en materia de tratamiento de datos personales, que sea consistente con los compromisos internacionales
adquiridos luego de su incorporación a la OCDE y ajustada a las normas y estándares internacionales en la sociedad de la información.
c. Incrementar los estándares legales de Chile en el tratamiento de datos personales para transformarlo en un país con niveles adecuados de protección y seguridad,
promoviendo el desarrollo de la economía digital y favoreciendo la expansión del mercado de los servicios globales.
d. Definir estándares regulatorios, condiciones operacionales y un marco institucional que legitime el tratamiento de los datos personales por parte de los órganos
públicos, garantizando el cumplimiento de la función pública y los derechos de los ciudadanos.
e. Contar con una autoridad de control de carácter técnico y una institucionalidad pública que asuma los desafíos regulatorios y de fiscalización en materia de
protección de las personas y tratamiento de los datos personales.
3.- Resumen de los principales contenidos de la propuesta legislativa
3.1.- Objeto de la ley, definiciones y principios
a. El objeto de la ley es regular el tratamiento de los datos personales que realicen las personas naturales o jurídicas, públicas o privadas, con el propósito de asegurar el respeto y protección de los derechos y libertades de quienes son titulares de estos datos, en particular, el derecho a la vida privada.
b. El ámbito de aplicación de la ley es todo tratamiento de datos personales que realicen las personas naturales o jurídicas, incluidos los órganos públicos, que no se
encuentre regido por una ley especial. Se establece también el carácter supletorio de esta normativa, en aquellos tratamientos de datos regulados en leyes especiales.
Se excluyen de este régimen regulatorio al tratamiento de datos personales que se realice en el ejercicio de las libertades de emitir opinión y de informar regulado por
las leyes especiales dictadas de conformidad al número 12 del artículo 19 de la Constitución Política (Ley de Prensa) y el tratamiento que efectúen las personas
naturales en relación con sus actividades personales.
c. Se actualizan y amplían los conceptos y definiciones legales con el objeto de facilitar a los operadores del sistema la aplicación e interpretación de la ley. Para
actualizar estos conceptos se adoptaron las definiciones que se utilizan en las legislaciones más modernas y las recomendaciones técnicas de los organismos
internacionales. Las principales definiciones son las siguientes:
– Dato personal: cualquier información vinculada o referida a una persona natural, identificada o identificable a través de medios que puedan ser razonablemente
utilizados.
– Datos personales sensibles: aquellos datos personales que conciernen o se refieren a las características físicas o morales de una persona, como el origen racial,
ideología, afiliación política, creencias o convicciones religiosas o filosóficas, estados de salud físicos o psíquicos, orientación sexual, identidad de género e
identidad genética y biomédica.
– Titular de datos o titular: persona natural, identificada o identificable, a quien conciernen o se refieren los datos personales.
– Responsable de datos o responsable: persona natural o jurídica, pública o privada, a quien compete decidir acerca del tratamiento de datos personales, con
independencia de si los datos son tratados directamente por él o a través de un tercero o mandatario, y de su localización.
– Tratamiento de datos: cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar,
procesar, almacenar, comunicar, transmitir o utilizar de cualquier forma datos personales.
– Base de datos personales: conjunto organizado de datos personales, cualquiera sea la forma o modalidad de su creación, almacenamiento, organización y acceso, que permita relacionar los datos entre sí, así como realizar el tratamiento de ellos.
d. Se incorporan a la legislación interna un conjunto de principios rectores que han sido reconocidos en las Directrices de la OCDE y en la legislación comparada, que
inspiran la regulación de las operaciones de tratamiento de datos personales.
– Principio de licitud del tratamiento. Los datos personales sólo pueden tratarse con el consentimiento de su titular o por disposición de la ley.
– Principio de finalidad. Los datos personales deben ser recolectados con fines específicos, explícitos y lícitos. El tratamiento de los datos personales debe limitarse
al cumplimiento de estos fines.
– Principio de proporcionalidad. Los datos personales que se traten deben limitarse a aquellos que resulten necesarios en relación con los fines del tratamiento.
– Principio de calidad. Los datos personales deben ser exactos, y si fuera necesario, completos y actuales, en relación con los fines del tratamiento.
– Principio de responsabilidad. Quienes realicen tratamiento de datos personales (responsable de datos) serán legalmente responsables del cumplimiento de los
principios, obligaciones y deberes de conformidad a esta ley.
– Principio de seguridad. En el tratamiento de los datos personales se deben garantizar niveles adecuados de seguridad, protegiéndolos contra el tratamiento no
autorizado, pérdida, filtración, destrucción o daño accidental y aplicando medidas técnicas u organizativas apropiadas.
– Principio de información. Las prácticas y políticas sobre el tratamiento de los datos personales deben estar permanentemente accesibles y a disposición de
cualquier interesado de manera precisa, clara, inequívoca y gratuita.
3.2.- Derechos de los titulares de datos y garantía de efectividad
a. Se reconocen al titular de datos personales (personas naturales) los derechos de acceso, rectificación, cancelación y oposición (los denominados derechos
ARCO). Estos derechos son irrenunciables, gratuitos y no puede limitarse su ejercicio en forma convencional.
b. El derecho de acceso habilita al titular a solicitar y obtener del responsable confirmación acerca de si sus datos personales están siendo tratados por él, acceder
a ellos en su caso y, a la información prevista en la ley. El derecho de rectificación se ejerce con el objeto que el responsable modifique o complete los datos del titular, cuando están siendo tratados por él y sean inexactos o incompletos. El derecho de cancelación persigue que el responsable suprima o elimine los datos del titular, de acuerdo a las causales previstas en la ley. El derecho de oposición faculta al titular para requerir que no se lleve a cabo un tratamiento de datos determinado, de conformidad a las causales previstas en la ley, entre otras, cuando afecte sus derechos y libertades fundamentales, cuando se realice exclusivamente con fines de marketing directo o se trate de tratamiento automatizado para efectuar una valoración o perfilamiento del titular.
c. Con el objeto de asegurar un ejercicio eficaz de los derechos que se reconocen al titular de datos, se establece un procedimiento directo y eficaz para que cualquier
persona (titular de datos) pueda recurrir directamente ante el responsable de datos con el objeto que le dé acceso, rectifique, cancele o no realice un determinado
tratamiento de datos personales que le conciernen. Se considera también el derecho al bloqueo transitorio de los datos personales. Si el responsable no acoge la
solicitud o no responde dentro del plazo que le fija la ley, el titular puede presentar un reclamo ante la autoridad de control (procedimiento administrativo de tutela
de derechos). La resolución de la autoridad de control es reclamable ante la Corte de Apelaciones respectiva (procedimiento de reclamación judicial).
d. Siguiendo las tendencias regulatorias más modernas se introducen algunos derechos vinculados a la sociedad digital como el derecho a la portabilidad de los datos
personales, en virtud del cual el titular de datos puede solicitar y obtener del responsable en un formato electrónico estructurado, genérico y de uso habitual, una
copia de sus datos personales y comunicarlos o transferirlos a otro responsable..
e. Se refuerza la regulación del denominado “derecho al olvido” en relación a los datos relativos a infracciones penales, civiles, administrativas y disciplinarias. Se
busca contar con una regla que equilibre adecuadamente el derecho de las personas a reducir el acceso a información desfavorable y que afecta su reputación social, con el derecho a la información y el interés público que hay envuelto en el acceso a ella.
3.3.- Consentimiento como fuente principal de legitimidad del tratamiento de datos
a. Concordante con el principio que los datos personales deben estar bajo la esfera de control de su titular, se establece el consentimiento como la fuente principal de
legitimidad del tratamiento de los datos personales. El consentimiento del titular debe ser libre e informado, debe ser otorgado en forma previa al tratamiento y
específico en cuanto a su finalidad o finalidades. Debe manifestarse de manera inequívoca, esto es, mediante una declaración verbal, escrita o realizada a través de
un medio electrónico equivalente o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.
b. Se permite el tratamiento de los datos personales que conciernen al titular, sin requerir su consentimiento, cuando el tratamiento se refiere a datos que han sido
recolectados de una fuente de acceso público, cuando se trate de datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y su
tratamiento se realice en conformidad a la ley o cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o de un contrato en que es parte el titular.
3.4.- Obligaciones, deberes y régimen de responsabilidad de los responsables de datos
a. Con el propósito de reforzar la idea que el tratamiento de los datos personales debe ser lícito, controlado e informado, se definen con nitidez las obligaciones y
deberes de los responsables de datos.
b. Dentro de las principales obligaciones de los responsables de datos se destacan las de acreditar, en caso que les sea requerido, los antecedentes que demuestren la
licitud del tratamiento que realizan; asegurar el cumplimiento del principio de finalidad; comunicar información veraz, completa, exacta y actualizada de los datos
personales; adoptar y mantener las medidas de seguridad razonables y evitar su acceso o tratamiento no autorizados.
c. A su vez, dentro de los deberes de los responsables de datos se regulan particularmente el deber de reserva y confidencialidad, el deber de información y
transparencia, el deber de adoptar medidas de seguridad y el deber de reportar las vulneraciones a las medidas de seguridad.
d. Con el propósito de armonizar y equilibrar la protección de la información de las personas con la circulación legítima y el tratamiento lícito de los datos personales, no imponiendo trabas excesivas a las personas y empresas que desestimulen su uso o aumenten en forma innecesaria los costos de transacción, se establecen estándares diferenciados de cumplimiento de los deberes de información y de seguridad, considerando si el responsable de datos es una persona natural o
jurídica, el tamaño de la empresa y, el volumen y las finalidades de los datos que trata.
e. Se regulan los requisitos, modalidades de ejecución, formalidades y efectos jurídicos de la cesión o transferencia de las bases de datos personales que
disponga o administre el responsable de datos. Se regula también, los efectos jurídicos y el régimen de responsabilidad del tratamiento de datos que efectúa un
tercero o mandatario en representación o por encargo del responsable de datos.
f. Una de las principales innovaciones de esta nueva normativa es la regulación del tratamiento automatizado de grandes volúmenes de datos (Big Data). El
desarrollo y la masificación de la información digital ha llevado a que los datos crezcan a un ritmo exponencial, lo que conjugado con el desarrollo de nuevas
tecnologías que permiten hacer un procesamiento inteligente de esta información y de manera accesible, aumenta notablemente la capacidad de predictibilidad de los sistemas automatizados y masivos de tratamiento de información. La normativa propuesta protege la facultad de control del titular sobre su propia información, pero también reconoce la licitud del acceso y uso de la información por parte de terceros y particularmente, de las empresas.
3.5.- Tratamiento de los datos personales sensibles y categorías especiales de datos
a. Se eleva el estándar para el tratamiento de los datos personales sensibles en relación a los demás datos personales, estableciendo que sólo puede realizarse
cuando el titular a quien conciernen los datos sensibles preste su consentimiento libre e informado, en forma expresa (el régimen general es el consentimiento
inequívoco). El consentimiento expreso se puede otorgar mediante una declaración escrita, verbal o por medios electrónicos.
b. Se reconoce la existencia de circunstancias específicas que también legitiman el tratamiento de los datos personales sensibles, como aquellos casos en que el titular
ha hecho manifiestamente públicos su datos sensible; cuando el tratamiento es realizado por una fundación, una asociación o cualquier otra entidad que no persiga
fines de lucro, cuya finalidad sea política, filosófica, religiosa, cultural, deportiva, sindical o gremial, cumpliéndose todos los requisitos establecidos en la ley o
cuando exista una situación de emergencia médica o de salud.
c. Reconociendo la necesidad de avanzar en la protección de algunos datos sensibles más específicos, en los que se han generado significativos avances en el desarrollo científico y tecnológico y se espera un desarrollo exponencialmente mayor, se introducen normas especiales para el tratamiento de los datos personales relativos a la salud, los datos biométricos y los datos relativos al perfil biológico humano (dentro de los datos relativos al perfil biológico humano se incluyen los datos genéticos, protéomicos y metabólicos).
d. Se introduce una regla especial para el tratamiento de datos personales con fines históricos, estadísticos, científicos y para estudios o investigaciones que atiendan
fines de interés público.
e. Se establece una regla para el tratamiento de los datos personales de geolocalización o de movilidad del titular, sobre la base del consentimiento como
fuente de legitimidad del tratamiento. La información sobre la ubicación espacial y movilidad de los titulares de datos permite, en conjunto con otros datos, establecer o caracterizar hábitos, preferencias, estilos de vida y de consumo, evaluar trayectos y anticipar desplazamientos futuros, entre otros usos. Esta información tiene un enorme valor y su utilización debe estar sujeta a las reglas generales de autorización establecidas en la ley.
3.6.- Protección para el tratamiento de los datos de niños, niñas y adolescentes
a. Se introduce una regulación especial para el tratamiento de los datos personales de los niños, niñas y adolescentes, estableciendo como regla basal que el tratamiento de los datos personales que conciernen a los niños, niñas y adolescentes sólo puede realizarse atendiendo al interés superior de los niños, niñas y adolescentes y al respeto de su autonomía progresiva.
b. Se regula en forma diferencia las autorizaciones de tratamiento para los niños y niñas y para los adolescentes. En el caso de los niños y niñas, el tratamiento de
datos requiere el consentimiento previo, específico y expreso de quien tiene a su cargo el cuidado personal. Respecto de los adolescentes, se establece que sus datos
personales sensibles sólo pueden ser tratados con el consentimiento de quien tiene a su cargo el cuidado personal del adolescente. Para los demás datos personales, rigen las normas generales de autorización.
c. Consistente con la orientación protectora de los datos personales de los niños, niñas y adolescentes, se establece una obligación especial para los establecimientos
educacionales y para las personas o entidades públicas o privadas que traten o administren datos personales de niños, niñas y adolescentes, incluido quienes
ejercen su cuidado personal, de velar por el uso lícito y la protección de la información personal que concierne a los niños, niñas y adolescentes.
3.7.- Regulación del flujo transfronterizo de datos personales
a. Se incorpora una regulación específica para la transferencia internacional de datos personales, ajustándola a los estándares y recomendaciones de la OCDE. Se
distingue entre países que disponen de una marco normativo que proporciona niveles adecuados de protección de datos y aquellos que no (países no adecuados).
Se entiende que el ordenamiento jurídico de un país posee niveles adecuados de protección de datos, cuando cumple con estándares similares o superiores a los
fijados en la ley chilena en materia de protección y tratamiento de datos personales.
b. En el caso de los países adecuados, se reconoce amplia autonomía a los intervinientes para impulsar los flujos transfronterizos de información, sujeto al
cumplimiento de las reglas generales. La autoridad de control, siguiendo parámetros técnicos y los estándares de la OCDE, determinará los países que poseen una
legislación adecuada.
c. Respecto de la transferencia internacional de datos a empresas, entidades u organizaciones sujetas al ordenamiento jurídico de países no adecuados, la ley
permite la transferencia de los datos, definiendo un conjunto de hipótesis, circunstancias o eventos que autorizan el envío de la información, la que se realiza
bajo la responsabilidad legal de quien efectúa la transferencia de datos y con aviso previo a la autoridad de control.
3.8.- Tratamiento de datos personales por parte de los organismos públicos
a. La ley constituye la fuente de legitimidad del tratamiento de datos personales que realizan los órganos públicos. Como consecuencia de ello, es lícito el
tratamiento de los datos personales que efectúan los órganos públicos cuando se realiza para el cumplimiento de sus funciones legales, dentro del ámbito de sus
competencias y de conformidad a las normas legales correspondientes.
Cumpliéndose esas condiciones, los órganos públicos actúan como responsables de datos y no requieren el consentimiento del titular.
b. Con el objeto de evitar flujos innecesarios de los datos personales, pero al mismo tiempo promover la interconectividad y la eficiencia en la gestión pública, se
regula con precisión la facultad de los órganos públicos para comunicar o ceder datos personales específicos o bases de datos a otros órganos públicos, siempre que
la comunicación o cesión de los datos resulte necesaria para el cumplimiento de funciones legales y ambos órganos actúen dentro del ámbito de sus competencias.
Se establece también que se pueden comunicar o ceder datos personales entre organismos públicos, cuando ellos se requieran para un tratamiento que tenga por
finalidad otorgar beneficios al titular, evitar duplicidad de trámites para los ciudadanos o reiteración de requerimientos de información o documentos para los
mismos titulares. También se regula la comunicación y cesión de datos a personas o entidades privadas.
c. Reconociendo la función pública envuelta en el tratamiento de datos que efectúan  los órganos públicos se establecen condiciones regulatorias especiales que legitiman su tratamiento, pero al mismo tiempo se consagran y regulan los principios que rigen el tratamiento de los datos personales por parte de estos órganos, los
derechos que se reconocen a los titulares de estos datos, la forma de ejercer estos derechos y, se define un procedimiento de reclamación administrativa y
de tutela judicial efectiva para el ejercicio y protección de estos derechos.
d. Con el objeto de elevar el estándar de cumplimiento y definir con precisión el centro de responsabilidad en los órganos públicos, se establece que la autoridad o
jefe superior del órgano debe velar para que la institución pública realice el tratamiento de los datos personales con arreglo a los principios y obligaciones
establecidos en la ley. Para tal efecto, se define un régimen especial de responsabilidades y sanciones.
e. Se regula un régimen de excepción para el tratamiento de datos que realicen los órganos públicos en los casos de datos protegidos por normas de secreto o
confidencialidad; cuando se refiere al tratamiento de datos vinculados a la investigación de infracciones penales, civiles y administrativas; cuando
correspondan a actividades relacionadas con la seguridad de la nación, el orden público o la seguridad pública, y cuando en los casos que se hayan declarado estado
de catástrofe o estado de emergencia.
f. Se regulan las actividades de tratamiento de los datos personales que efectúan el Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el
Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral, y los demás tribunales especiales creados por ley.
Se contempla un modelo regulatorio, de fiscalización y cumplimiento compatible con la autonomía de estas instituciones.
3.9.- Creación de una autoridad de control de carácter técnico
a. Se crea una institución especializada y de carácter técnico, denominada Agencia de Protección de Datos Personales. Se trata de un organismo descentralizado, con
personalidad jurídica y patrimonio propio, encargado de velar y fiscalizar el cumplimiento de la normativa relativa al tratamiento de datos personales y su
protección, se relaciona con el Presidente de la República a través del Ministerio de Hacienda y se encuentra afecto al Sistema de Alta Dirección Pública.
b. La función principal de la Agencia de Protección de Datos Personales será velar por la protección de los derechos y libertades de las personas que son titulares de
datos y por el adecuado cumplimiento de las normas relativa al tratamiento de los datos. Para el cumplimiento de esta función esta autoridad de control está dotada de facultades para regular, supervisar, fiscalizar y en última instancia, sancionar los incumplimientos a la ley.
c. Se consagra un modelo de coordinación regulatoria con el objeto de evitar o precaver conflictos de normas y asegurar la coordinación, cooperación y colaboración entre la Agencia de Protección de Datos Personales y el Consejo para la Transparencia, en el marco de las funciones y atribuciones señaladas en las leyes
N° 19.628 y N° 20.285, respectivamente.
3.10.- Régimen general de cumplimiento de la ley
a. Se contempla un catálogo específico de infracciones a los principios y obligaciones establecidos en la ley cometidas por los responsables de datos, sean
personas naturales o jurídicas, que se califican atendida su gravedad, en leves, graves y gravísimas, estableciendo sanciones correlativas a la gravedad de la
infracción que van desde la amonestación escrita a multas que oscilan entre 1 y 5.000 UTM. En casos excepcionales se contempla el cierre o clausura de las
operaciones de tratamiento de datos.
b. La determinación de las infracciones y la aplicación de la sanción respectiva por incumplimiento o vulneración de los principios y obligaciones establecidas en la ley corresponde a la Agencia de Protección de Datos Personales (a través del procedimiento administrativo por infracción de ley). En el caso de los órganos
públicos y de los agentes de la Administración del Estado, las investigaciones las realiza la Agencia y las sanciones las aplica la Contraloría General de la República.
c. Se incorpora un procedimiento de reclamación judicial. En efecto, cualquier persona natural o jurídica que se vea afectada por una resolución de la Agencia de
Protección de Datos Personales podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el
reclamante. Para el conocimiento y resolución de estas controversias se establece un procedimiento judicial concentrado y de rápida resolución.
d. Como una forma de incentivar y promover el cumplimiento de la ley, y siguiendo las recomendaciones de la OCDE, se regula la adopción por parte del sector privado y del sector público de modelos de prevención de infracciones, fijando para ellos los estándares y requisitos mínimos con los que deberán cumplir. La certificación y supervisión de estos programas estará a cargo de la Agencia de Protección de Datos Personales. Se establece una atenuante especial en caso que los responsables de datos cuenten con estos programas de prevención y cumplimiento.