📝 Título 02

Título II: Del tratamiento de los datos personales y de las categorías especiales de datos

Artículo 12

Artículo 12º.- Regla general del tratamiento de datos. Es lícito el tratamiento de los datos personales que le conciernen al titular cuando éste otorgue su consentimiento para ello.

El consentimiento del titular debe ser libre, informado y específico en cuanto a su finalidad o finalidades. El consentimiento debe manifestarse además en forma previa y de manera inequívoca mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.

Cuando el consentimiento lo otorgue un mandatario, éste deberá encontrarse expresamente premunido de esta facultad.

El titular puede revocar el consentimiento otorgado en cualquier momento y sin expresión de causa, utilizando medios similares o equivalentes a los empleados para su otorgamiento. La revocación del consentimiento no tendrá efectos retroactivos.

Los medios utilizados para el otorgamiento o la revocación del consentimiento deben ser expeditos, fidedignos, gratuitos y estar permanentemente disponibles para el titular.

Se presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección.

Con todo, lo dispuesto en el inciso anterior no se aplicará cuando quien ofrezca bienes, servicios o beneficios requiera como única contraprestación el consentimiento para tratar datos.

Corresponde al responsable probar que contó con el consentimiento del titular y que el tratamiento de datos fue realizado en forma lícita, leal y transparente.

Artículo 13

Artículo 13º.- Otras fuentes de licitud del tratamiento de datos. Es lícito el tratamiento de datos personales sin el consentimiento del titular en los siguientes casos:

a) Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y se realice de conformidad con las normas del Título III de esta ley, incluidos los datos referidos a la situación socioeconómica del titular.

b) Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley.

c) Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.

d) Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular. En todo caso, el titular podrá exigir siempre ser informado sobre el tratamiento que lo afecta y cuál es el interés legítimo en base al cual se efectúa dicho tratamiento.

e) Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.

El responsable deberá acreditar la licitud del tratamiento de datos.

Artículo 14

Artículo 14º.- Obligaciones del responsable de datos. El responsable de datos, sin perjuicio de las demás disposiciones previstas en esta ley, tiene las siguientes obligaciones:

a) Informar y poner a disposición del titular los antecedentes que acrediten la licitud del tratamiento de datos que realiza. Asimismo, deberá entregar de manera expedita dicha información cuando le sea requerida.

b) Asegurar que los datos personales se recojan de fuentes de acceso lícitas, con fines específicos, explícitos y lícitos, y que su tratamiento se limite al cumplimiento de estos fines.

c) Comunicar o ceder, en conformidad con las disposiciones de esta ley, información exacta, completa y actual.

d) Suprimir o anonimizar los datos personales del titular cuando fueron obtenidos para la ejecución de medidas precontractuales.

e) Cumplir con los demás deberes, principios y obligaciones que rigen el tratamiento de los datos personales previstos en esta ley.

El responsable de datos que no tenga domicilio en Chile y que realice tratamiento de datos de personas que residan en el territorio nacional deberá señalar y mantener actualizado y operativo un correo electrónico u otro medio de contacto idóneo para recibir comunicaciones de los titulares de datos y de la Agencia.

Artículo 14º bis.- Deber de secreto o confidencialidad. El responsable de datos está obligado a mantener secreto o confidencialidad acerca de los datos personales que conciernan a un titular, salvo cuando el titular los hubiere hecho manifiestamente públicos. Este deber subsiste aún después de concluida la relación con el titular. En caso de que el responsable haya realizado alguna acción sobre datos personales obtenidos de fuentes de acceso público, tales como organizarlos o clasificarlos bajo algún criterio o combinarlos o complementarlos con otros datos, los datos personales que resulten de dicha acción se encontrarán protegidos bajo el presente deber de secreto o confidencialidad.

El deber de secreto o confidencialidad no obsta a las comunicaciones o cesiones de datos que deba realizar el responsable en conformidad a la ley y al cumplimiento de la obligación de dar acceso al titular e informar el origen de los datos cuando esta información le sea requerida por el titular o por un órgano público dentro del ámbito de sus competencias legales.

El responsable debe adoptar las medidas necesarias con el objeto de que sus dependientes o las personas naturales o jurídicas que ejecuten operaciones de tratamiento de datos bajo su responsabilidad cumplan el deber de secreto o confidencialidad establecidos en este artículo.

Artículo 14º ter.- Deber de información y transparencia. El responsable de datos debe facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos la siguiente información:

a) La política de tratamiento de datos personales que haya adoptado, la fecha y versión de la misma.

b) La individualización del responsable de datos y su representante legal, y la identificación del encargado de prevención, si existiere.

c) El domicilio postal, la dirección de correo electrónico, el formulario de contacto o la identificación del medio tecnológico equivalente de uso común y fácil acceso mediante el cual se le notifican las solicitudes que realicen los titulares.

d) Las categorías, clases o tipos de datos que trata; la descripción genérica del universo de personas que comprenden sus bases de datos; los destinatarios a los que se prevé comunicar o ceder los datos; las finalidades de los tratamientos que realiza; la base de legitimidad del tratamiento; y, en caso de tratamientos que se basan en la satisfacción de intereses legítimos, cuáles serían éstos.

e) La política y las medidas de seguridad adoptadas para proteger las bases de datos personales que administra.

f) El derecho que le asiste al titular para solicitar ante el responsable acceso, rectificación, supresión, oposición y portabilidad de sus datos personales, de conformidad a la ley.

g) El derecho que le asiste al titular de recurrir ante la Agencia en caso de que el responsable rechace o no responda oportunamente las solicitudes que le formule.

h) En su caso, la transferencia de datos personales a un tercer país u organización internacional, y si éstos ofrecen o no un nivel adecuado de protección. En caso de que no cuenten con un nivel adecuado de protección, se deberá informar si existen garantías que justifiquen tal transferencia.

i) El periodo durante el que se conservarán los datos personales.

j) La fuente de la cual provienen los datos personales y, en su caso, si proceden de fuentes de acceso público.

k) Cuando el tratamiento está basado en el consentimiento del titular, la existencia del derecho a retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

l) La existencia de decisiones automatizadas, incluida la elaboración de perfiles. En tales casos, información significativa sobre la lógica aplicada, así como las consecuencias previstas de dicho tratamiento para el titular.

Artículo 14º quáter.- Deber de protección desde el diseño y por defecto. Con la finalidad de cumplir los principios y los derechos de los titulares establecidos en esta ley, el responsable debe aplicar medidas técnicas y organizativas adecuadas desde el diseño, con anterioridad y durante el tratamiento de los datos personales. Las medidas a aplicar deberán tener en consideración el estado de la técnica; los costos de implementación; la naturaleza, ámbito, contexto y fines del tratamiento de datos; así como los riesgos asociados a dicha actividad.

Asimismo, el responsable de datos deberá aplicar medidas técnicas y organizativas para garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales específicos y estrictamente necesarios para dicha actividad. Para ello se tendrá en consideración el número de datos recogidos, la extensión del tratamiento, el plazo de conservación y su accesibilidad.

Artículo 14º quinquies.- Deber de adoptar medidas de seguridad. El responsable de datos debe adoptar las medidas necesarias para resguardar el cumplimiento del principio de seguridad establecido en esta ley, considerando el estado actual de la técnica y los costos de aplicación, junto con la naturaleza, alcance, contexto y fines del tratamiento, así como la probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de datos tratados. Las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos. Asimismo, deberán evitar la alteración, destrucción, pérdida, tratamiento o acceso no autorizado.

En consideración al estado de la técnica, los costos de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de los titulares, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que, en su caso, incluya entre otros:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Artículo 14º sexies.- Deber de reportar las vulneraciones a las medidas de seguridad. El responsable deberá reportar a la Agencia por los medios más expeditos posibles y sin dilaciones indebidas las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate, o la comunicación o acceso no autorizados a dichos datos, cuando exista un riesgo razonable para los derechos y libertades de los titulares.

El responsable deberá registrar estas comunicaciones, describiendo la naturaleza de las vulneraciones sufridas, sus efectos, las categorías de datos y el número aproximado de titulares afectados, y las medidas adoptadas para gestionarlas y precaver incidentes futuros.

Cuando dichas vulneraciones se refieran a datos personales sensibles, datos relativos a niños y niñas menores de catorce años, o datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, el responsable deberá también efectuar esta comunicación a los titulares de estos datos a través de sus representantes, cuando corresponda. Esta comunicación deberá realizarse en un lenguaje claro y sencillo, singularizando los datos afectados, las posibles consecuencias de las vulneraciones de seguridad y las medidas de solución o resguardo adoptadas. La notificación se deberá realizar a cada titular afectado y, si ello no fuere posible, se realizará mediante la difusión o publicación de un aviso en un medio de comunicación social masivo y de alcance nacional.

Los deberes de información señalados en este artículo no obstan a los demás deberes de información que establezcan otras leyes.

Artículo 14º septies.- Diferenciación de estándares de cumplimiento. Los estándares o condiciones mínimas que se impongan al responsable de datos para el cumplimiento de los deberes de información y de seguridad establecidos en los artículos 14 ter y 14 quinquies, respectivamente, serán determinados considerando el tipo de dato del que se trata, si el responsable es una persona natural o jurídica, el tamaño de la entidad o empresa de acuerdo a las categorías establecidas en el artículo segundo de la ley N° 20.416 que fija normas especiales para las empresas de menor tamaño, la actividad que desarrolla y el volumen, naturaleza y las finalidades de los datos personales que trata.

Los estándares o condiciones mínimas de cumplimiento y las medidas diferenciadas a que alude el inciso anterior serán determinados por la Agencia mediante instrucción general.

Artículo 15

Artículo 15º.- Cesión de datos personales. Los datos personales podrán ser cedidos con el consentimiento del titular y para el cumplimiento de los fines del tratamiento. También se podrán ceder los datos personales cuando la cesión sea necesaria para el cumplimiento y la ejecución de un contrato en que es parte el titular; cuando exista un interés legítimo del cedente o del cesionario en los términos previstos en la letra d) del artículo 13, y cuando lo disponga la ley.

En caso de que el consentimiento otorgado por el titular al momento de realizarse la recolección de los datos personales no haya considerado la cesión de los mismos, éste debe recabarse antes que se produzca, considerándose para todos los efectos legales como una nueva operación de tratamiento.

La cesión de datos deberá constar por escrito o a través de cualquier medio electrónico idóneo. En ella se deberá individualizar a las partes, los datos que son objeto de la cesión, las finalidades previstas para el tratamiento y los demás antecedentes o estipulaciones que acuerden el cedente y el cesionario.

El tratamiento de los datos personales cedidos deberá realizarse por el cesionario de conformidad a las finalidades establecidas en el contrato de cesión.

Una vez perfeccionada la cesión, el cesionario adquiere la condición de responsable de datos para todos los efectos legales. El cedente, por su parte, también mantiene la calidad de responsable de datos respecto de las operaciones de tratamiento que continúe realizando.

Si se verifica una cesión de datos sin contar con el consentimiento del titular, siendo éste necesario, la cesión será nula, debiendo el cesionario suprimir todos los datos recibidos sin perjuicio de las responsabilidades legales que correspondan.

Artículo 15º bis.- Tratamiento de datos a través de un tercero mandatario o encargado. El responsable puede efectuar el tratamiento de datos en forma directa o a través de un tercero mandatario o encargado. En este último caso, el tercero mandatario o encargado realiza el tratamiento de datos personales conforme al encargo y a las instrucciones que le imparta el responsable, quedándole prohibido su tratamiento para un objeto distinto del convenido con el responsable, así como su cesión o entrega en los casos en que el responsable no lo haya autorizado de manera expresa y específicamente para cumplir con el objeto del encargo.

Si el tercero mandatario o encargado trata los datos con un objeto distinto del encargo convenido o los cede o entrega sin haber sido autorizado en los términos dispuestos en el inciso anterior, se le considerará como responsable de datos para todos los efectos legales, debiendo responder personalmente por las infracciones en que incurra y solidariamente con el responsable de datos por los daños ocasionados, sin perjuicio de las responsabilidades contractuales que le correspondan frente al mandante o responsable de datos.

El tratamiento de datos a través de un tercero mandatario o encargado se regirá por el contrato celebrado entre el responsable y el encargado, con arreglo a la legislación vigente. En el contrato se deberá establecer el objeto del encargo, la duración del mismo, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de titulares a quienes conciernen los datos y los derechos y obligaciones de las partes. El encargado no podrá delegar parte o la totalidad del encargo salvo que conste una autorización específica y por escrito del responsable. El encargado que delegue a otro encargado parte o la totalidad del encargo continuará siendo solidariamente responsable sobre dicho encargo y no podrá eximirse de responsabilidad argumentando que ha delegado el tratamiento. La Agencia pondrá a disposición del público modelos tipo de contratos en su página web.

El tercero mandatario o encargado deberá cumplir con lo dispuesto en los artículos 14 bis y 14 quinquies. La diferenciación de estándares de cumplimiento establecida en el inciso primero del artículo 14 septies también será aplicable al tercero mandatario o encargado. Tratándose de una vulneración a las medidas de seguridad, el tercero o mandatario deberá reportar este hecho al responsable.

Cumplida la prestación del servicio de tratamiento por parte del tercero mandatario o encargado, los datos que obren en su poder deben ser suprimidos o devueltos al responsable de datos, según corresponda.

Artículo 15º ter.- Evaluación de impacto en protección de datos personales. Cuando sea probable que un tipo de tratamiento, por su naturaleza, alcance, contexto, tecnología utilizada o fines, pueda producir un alto riesgo para los derechos de las personas titulares de los datos personales, el responsable del tratamiento deberá realizar, previo al inicio de las operaciones del tratamiento, una evaluación del impacto en protección de datos personales.

La evaluación de impacto se requerirá siempre en casos de:

a) Evaluación sistemática y exhaustiva de aspectos personales de los titulares de datos basadas en tratamiento o decisiones automatizadas, como la elaboración de perfiles, y que produzcan en ellos efectos jurídicos significativos.

b) Tratamiento masivo de datos o a gran escala.

c) Tratamiento que implique observación o monitoreo sistemático de una zona de acceso público.

d) Tratamiento de datos sensibles y especialmente protegidos en las hipótesis de excepción del consentimiento.

La Agencia de Protección de Datos establecerá y publicará una lista orientativa de los tipos de operaciones de tratamiento que requieran o no una evaluación de impacto relativa a la protección de datos personales. La Agencia también establecerá las orientaciones mínimas para realizar esta evaluación, considerando a lo menos en dichos criterios la descripción de las operaciones de tratamiento, su finalidad, la evaluación de la necesidad y la proporcionalidad con respecto a su finalidad, la evaluación de los riesgos y medidas de mitigación.

Los responsables podrán consultar a la Agencia de Protección de Datos cuando, en virtud del resultado de la evaluación, el tratamiento demuestre ser de alto riesgo a efectos de obtener recomendaciones de parte de dicha entidad.

Artículo 16

Artículo 16º.- Regla general para el tratamiento de datos personales sensibles. El tratamiento de los datos personales sensibles sólo puede realizarse cuando el titular a quien conciernen estos datos manifiesta su consentimiento en forma expresa, otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente.

Sin perjuicio de lo anterior, es lícito el tratamiento de datos personales sensibles, sin el consentimiento del titular, en los siguientes casos:

a) Cuando el tratamiento se refiere a datos personales sensibles que el titular ha hecho manifiestamente públicos y su tratamiento esté relacionado con los fines para los cuales fueron publicados.

b) Cuando el tratamiento se basa en un interés legítimo realizado por una persona jurídica de derecho público o de derecho privado que no persiga fines de lucro y se cumplan las siguientes condiciones:

i. Su finalidad sea política, filosófica, religiosa, cultural, sindical o gremial;

ii. El tratamiento que realice se refiera exclusivamente a sus miembros o afiliados;

iii. El tratamiento de datos tenga por objeto cumplir las finalidades específicas de la institución;

iv. La persona jurídica otorgue las garantías necesarias para evitar filtraciones, sustracciones o un uso o tratamiento no autorizado de los datos, y

v. Los datos personales no se comuniquen o cedan a terceros.

Cumpliéndose estas condiciones, la persona jurídica no requerirá el consentimiento del titular para tratar sus datos, incluidos los datos personales sensibles. En caso de duda o controversia administrativa o judicial, el responsable de datos deberá acreditar su concurrencia.

Cuando un integrante de la persona jurídica deje de pertenecer a ella, sus datos deberán ser anonimizados o suprimidos.

c) Cuando el tratamiento de los datos personales del titular resulte indispensable para salvaguardar la vida, salud o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento. Una vez que cese el impedimento, el responsable debe informar detalladamente al titular los datos que fueron tratados y las operaciones específicas de tratamiento que fueron realizadas.

d) Cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o un órgano administrativo.

e) Cuando el tratamiento de datos sea necesario para el ejercicio de derechos y el cumplimiento de obligaciones del responsable o del titular de datos, en el ámbito laboral o de seguridad social, y se realice en el marco de la ley.

f) Cuando el tratamiento de datos personales sensibles lo autorice o mandate expresamente la ley.

Las excepciones para tratar datos sin consentimiento, mencionadas en este artículo, se entienden aplicables al tratamiento de datos que no revisten el carácter de datos sensibles.

Artículo 16º bis.- Datos personales sensibles relativos a la salud y al perfil biológico humano. Si se cumple lo dispuesto en el inciso primero del artículo 16, los datos personales relativos a la salud del titular, así como aquellos relativos al perfil biológico del titular, tales como los datos genéticos, proteómicos o metabólicos, sólo podrán ser tratados para los fines previstos por las leyes especiales en materia sanitaria.

Sólo se podrán tratar los datos personales sensibles relativos a la salud del titular y a su perfil biológico, sin contar con su consentimiento, respetando los principios y reglas establecidos en la presente ley, en los siguientes casos:

a) Cuando éste resulte indispensable para salvaguardar la vida o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento. Una vez que cese el impedimento, el responsable debe informar detalladamente al titular los datos que fueron tratados y las operaciones específicas de tratamiento que fueron realizadas.

b) En casos de alerta sanitaria legalmente decretada.

c) Cuando sean utilizados con fines históricos, estadísticos o científicos, para estudios o investigaciones que atiendan fines de interés público o vayan en beneficio de la salud humana, o para el desarrollo de productos o insumos médicos que no podrían desarrollarse de otra manera. Los resultados de los estudios e investigaciones científicas que utilicen datos personales relativos a la salud o al perfil biológico pueden ser publicados o difundidos libremente. Para ello deberá previamente anonimizarse los datos que se publiquen.

d) Cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o ante un órgano administrativo.

e) Cuando el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de sistemas y servicios de asistencia sanitaria y social.

f) Cuando la ley así lo permita e indique expresamente la finalidad que deberá tener dicho tratamiento.

Se prohíbe el tratamiento y la cesión de los datos relativos a la salud y al perfil biológico de un titular y las muestras biológicas asociadas a una persona identificada o identificable, incluido el almacenamiento del material biológico, cuando los datos o muestras han sido recolectados en el ámbito laboral, educativo, deportivo, social, de seguros, de seguridad o identificación, salvo que la ley expresamente autorice su tratamiento en casos calificados y que se refiera a alguno de los casos mencionados en este artículo.

Las excepciones para tratar datos sin el consentimiento mencionado en este artículo se entienden aplicables al tratamiento de datos que no revisten el carácter especial a que se refiere este precepto.

Artículo 16º ter.- Datos personales biométricos. Son datos personales biométricos aquellos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la identificación única de ella, tales como la huella digital, el iris, los rasgos de la mano o faciales y la voz.

Sólo podrán tratarse estos datos cuando se cumpliere con lo dispuesto en el inciso primero del artículo 16 y siempre que el responsable proporcione al titular la siguiente información específica:

a) La identificación del sistema biométrico usado;

b) La finalidad específica para la cual los datos recolectados por el sistema biométrico serán utilizados;

c) El período durante el cual los datos biométricos serán utilizados, y

d) La forma en que el titular puede ejercer sus derechos.

Los datos personales biométricos podrán tratarse sin consentimiento sólo en los casos señalados en el inciso segundo del artículo 16 bis.

Artículo 16º quáter.- Datos personales relativos a los niños, niñas y adolescentes. El tratamiento de los datos personales que conciernen a los niños, niñas y adolescentes, sólo puede realizarse atendiendo al interés superior de éstos y al respeto de su autonomía progresiva.

Cumpliéndose la exigencia establecida en el inciso anterior, para tratar los datos personales de los niños y niñas se requiere el consentimiento otorgado por sus padres o representantes legales o por quien tiene a su cargo el cuidado personal del niño o niña, salvo que expresamente lo autorice o mandate la ley.

Los datos personales de los adolescentes se podrán tratar de acuerdo a las normas de autorización previstas en esta ley para los adultos, salvo lo dispuesto en el inciso siguiente.

Los datos personales sensibles de los adolescentes menores de 16 años sólo se podrán tratar con el consentimiento otorgado por sus padres o representantes legales o quien tiene a su cargo el cuidado personal del menor, salvo que expresamente lo autorice o mandate la ley.

Para los efectos de esta ley, se consideran niños o niñas a los menores de catorce años, y adolescentes, a los mayores de catorce y menores de dieciocho años.

Constituye una obligación especial de los establecimientos educacionales y de todas las personas o entidades públicas o privadas que traten o administren datos personales de niños, niñas y adolescentes, incluido quienes ejercen su cuidado personal, velar por el uso lícito y la protección de la información personal que concierne a los niños, niñas y adolescentes.

Artículo 16º quinquies.- Datos personales con fines históricos, estadísticos, científicos y de estudios o investigaciones. Se entiende que existe un interés legítimo en el tratamiento de datos personales que realicen las personas naturales o jurídicas, públicas o privadas, incluidos los organismos públicos, cuando el tratamiento se realiza exclusivamente con fines históricos, estadísticos, científicos y para estudios o investigaciones, todos los cuales deben atender fines de interés público.

Los responsables de datos deberán adoptar y acreditar que han cumplido con todas las medidas de calidad y seguridad necesarias para resguardar que los datos se utilicen exclusivamente para tales fines. En el caso de los datos personales sensibles, el responsable debe identificar los riesgos posibles e implementar las medidas tendientes a su reducción o mitigación. Cumplidas estas condiciones, el responsable podrá almacenar y utilizar los datos por un período indeterminado de tiempo.

Los responsables que hayan tratado datos personales exclusivamente con estas finalidades podrán efectuar publicaciones con los resultados y análisis obtenidos, debiendo previamente adoptar las medidas necesarias para anonimizar los datos que se publiquen.

Artículo 16º sexies.- Datos de geolocalización. El tratamiento de los datos personales de geolocalización del titular se podrá realizar bajo las mismas fuentes de licitud establecidas en los artículos 12 y 13.

El titular de datos deberá ser informado de manera clara, suficiente y oportuna, del tipo de datos de geolocalización que serán tratados, de la finalidad y duración del tratamiento y si los datos