14 Janvier, 2025
Nous avons publié la nouvelle loi Chilienne sur la protection de la vie privée, qui va révolutionner la manière dont nous traitons les données personnelles aujourd’hui:
Que devez-vous savoir pour rester conforme?
Quand cette loi entre-t-elle en vigueur?
La nouvelle loi n° 19,628 sur la protection des données personnelles a été officiellement publiée le 13 décembre 2024 et ses dispositions entreront en vigueur le 1er décembre 2026.
Cette loi vous concerne-t-elle?
Même si votre entreprise n’est pas basée au Chili, cette nouvelle loi s’appliquera à vous si vos opérations de traitement sont destinées à offrir des biens ou des services à des personnes concernées qui se trouvent au Chili, ou à surveiller le comportement de personnes concernées qui se trouvent au Chili, y compris l’analyse, le suivi, le profilage ou la prédiction de leur comportement.
Quelles sont les nouvelles obligations auxquelles vous devez vous conformer?
- Fournir de nouvelles informations détaillées aux personnes concernées: avant de collecter leurs données personnelles, vous devez les informer des catégories de données personnelles collectées, des destinataires des données et des transferts internationaux de données, de la période de conservation des données, entre autres détails. Les promoteurs d’essais cliniques doivent intégrer ces nouvelles informations dans leurs formulaires de consentement éclairé (ICF) pour être conformes, sinon ils seront en non-conformité.
- Signer un contrat avec vos sous-traitants: les contrats avec vos sous-traitants doivent inclure des clauses obligatoires, telles que l’objet, la durée et la finalité du traitement, les limites de la sous-traitance, les mesures de sécurité à mettre en œuvre.
- Notifier les violations de données à l’Agence et aux personnes concernées: En cas de violation, vous devez en informer l’Agence de protection des données et les personnes concernées dans les plus brefs délais. Attention, ne manquez pas une notification!
- Effectuer une analyse d’impact sur la protection des données (DPIA): Si le traitement présente un risque élevé pour les droits des personnes concernées, vous devez effectuer une DPIA avant le début des opérations de traitement. Vous allez mener une étude clinique au Chili? Vous devrez certainement effectuer une DPIA.
Ces obligations principales sont essentielles et peuvent être complétées par des exigences supplémentaires. Restez informés!
Les droits des sujets ont-ils changé?
Comme pour toute loi sur la protection des données, la sauvegarde des droits des personnes concernées est fondamentale – elle est au cœur même de ce que représentent les lois sur la protection des données.
La nouvelle loi élargit les droits des personnes:
de s’opposer au traitement de leurs données.
d’obtenir des informations sur les décisions individuelles automatisées, y compris le profilage.
de bloquer le traitement des données à caractère personnel.
à la portabilité des données.
Bonne nouvelle: le délai de réponse à ces demandes de droits passe de 2 à 30 jours, avec une extension possible de 30 jours.
Quelques nouvelles qui ont un impact sur le secteur de la santé:
- Le terme « pseudonymisation » est introduit et ces données pseudonymisées doivent être protégées:
Les données pseudonymisées sont des données traitées de telle sorte qu’elles ne peuvent plus être attribuées à une personne concernée sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient fournies séparément et fassent l’objet de mesures techniques et organisationnelles visant à garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.
Par conséquent, si vous êtes un sponsor et que vous n’avez accès qu’à des données pseudonymisées, vous êtes tenu de les protéger et de vous conformer à toutes les obligations légales relatives à leur traitement, en mettant en œuvre les mesures prévues par la loi.
- Les données relatives à la santé et au profil biologique humain sont classées comme données sensibles.
Ces données ne peuvent être traitées qu’avec le consentement de la personne concernée et aux fins prévues par les lois spéciales en matière de santé. Bien entendu, il existe des exceptions, par exemple lorsque le traitement des données est essentiel pour sauvegarder la vie de la personne concernée, ou lorsqu’elles sont utilisées à des fins de recherche qui servent des objectifs d’intérêt public ou sont au bénéfice de la santé humaine, ou encore pour le développement de produits ou de fournitures médicales qui ne pourraient pas être développés autrement.
⚠️ Commanditaires, soyez vigilants pour vos études cliniques au Chili.
Quels sont les risques de non-conformité?
Les sanctions prévues par la loi sont sévères:
Violations mineures: avertissement écrit ou amende pouvant aller jusqu’à 5 000 unités fiscales mensuelles[1] (c’est-à-dire absence de réponse, réponse incomplète ou tardive aux demandes de droits des personnes concernées).
Violations graves: amende pouvant aller jusqu’à 10 000 unités fiscales mensuelles. (c’est-à-dire le traitement de données à caractère personnel sans le consentement de la personne concernée ou sans base juridique appropriée)
Violations très graves: amende pouvant aller jusqu’à 20 000 unités fiscales mensuelles. (par exemple, omission délibérée de signaler les atteintes à la sécurité des données à caractère personnel).
[1] Unités fiscales chiliennes (UTM) : il s’agit d’une unité monétaire qui correspond à un montant équivalent en pesos chiliens. En décembre 2024, ce montant est de 67,294 pesos chiliens.
Quelle est la prochaine étape? Préparez-vous dès aujourd’hui!
Chez MyData-TRUSt, nous avons des experts en protection des données et en essais cliniques qui peuvent vous accompagner, de la gestion d’une violation de données à la préparation de votre programme de conformité.
📞 Vous avez des activités ou des projets au Chili? Contactez-nous pour en savoir plus sur nos services: [email protected]
Grace Conde
