Desde su dictación la ley 19.628 sobre protección a la vida privada ha tenido algunos cambios sobre todo en materia de datos financieros. Además, ha sido recientemente consagrado en la Constitución, en junio de 2018, junto a la garantía de protección a la vida privada y a la honra de la persona y de su familia, la protección de los datos personales, “cuyo tratamiento y protección se efectuará en la forma y condiciones que determine la ley”. Desde 2008 han existido compromisos políticos para adecuar la ley 19.628 al estándar de protección internacionalmente reconocido, lo que no se ha concretado. El ultimo de esos intentos son los boletines 11092-07 y 11144-07 de 2017, cuyo texto actualmente refundido, se basa principalmente en el Reglamento Europeo de Protección de Datos, GDPR, la norma aplicable a todo el territorio de la Unión, que vino a reemplazar las regulaciones locales por un estándar más exigente.
Este cambio legislativo incorpora varios aspectos, entre ellos, mejora el sistema de derechos de las personas, tratamientos especiales de datos, cesiones y transferencias internacionales.
Lo más importante del proyecto es la consagración de la autoridad de control, asunto que ha sido la piedra de tope regulatoria en Chile.
El proyecto en su versión original creaba una Agencia de Protección de Datos, pero luego de una revisión e indicaciones propuestas por el nuevo gobierno, se elimina esta Agencia y se propone entregar las competencias regulatorias al Consejo para la Transparencia, denominándolo “Consejo para la Transparencia y Protección de Datos”. Las modificaciones apuntan a crear dentro de dicho organismo, un brazo encargado de la protección de datos en el sector público y privado, bajo figura dual que ya existe en otros países como México, Inglaterra, Argentina y Perú. Este Consejo cambia por completo su actual gobierno directivo, en miras de garantizar la independencia del regulador de datos. Será administrado por un Consejo Directivo designado por el Presidente de la República, y aprobado por el Senado, con dedicación exclusiva, sin embargo la designación de la autoridad de datos coincide con el periodo presidencial lo que no garantizaría su independencia.
Actualmente el Consejo tiene autonomía legal y presupuestaria, ejerce funciones normativas y jurisdiccionales que le son propias. Podría cuestionarse su falta de especialización técnica, un requisito de las autoridades de control según el GDPR, debido a que históricamente ha fallado hacia el acceso a la información y no le ha correspondido una función fortalecida en protección de datos, asunto que podría ajustarse en el tiempo, junto con la necesidad que el proyecto pueda incorporar mayores capacidades fiscalizadoras y de intervención sobre todo hacia el sector privado. Esta discusión recién comienza y queda un largo camino por recorrer.