칠레의 개인정보보호에 관한 법적 근거는 ▲헌법 ▲사생활 보호에 관한 법률(Ley Nº 19.628 Sobre Protección De La ida Privada)을 주축으로 하며, 현재 사생활 보호에 관한 법률을전면 개정하기 위한 개인정보보호법(안)이 의회에 계류 중이다.

가. 헌법

칠레 헌법은 개인정보보호를 위한 명시적인 조항을 보유하고 있지 않았으나, ‘18년 6월 기존 헌법을 수정하는 법률 제21,096호가 공포¹⁾되면서 개인정보보호에 관한 법률이 헌법상의 권리로 확립되었다. 개정 헌법 제19조제4항은 ‘헌법은 모든 개인에게 개인 및 가족의 사생활과 명예, 특히 개인정보보호를 보장한다. 이러한 개인정보의 처리 및 보호는 법률이 정한 방법과 요건에 따라 수행한다’고 규정하고 있다. ²⁾

1) https://www.diariooficial.interior.gob.cl/publicaciones/2018/06/16/42084/01/1415887.pdf
https://alessandri.legal/proteccion-de-datos-personales-ya-es-un-derecho-constitucional/
2) https://www.bcn.cl/leychile/navegar?idNorma=242302

나. 사생활 보호에 관한 법률 (Ley Nº 19.628, Sobre Protección De La Vida Privada)

칠레 최초의 개인정보보호에 관한 법률인 ‘사생활 보호에 관한 법률(법률 제19,628호)은 ’99년 8월 제정된 후 현재에 이르고 있으며, 이는 라틴 아메리카 최초의 포괄적 개인정보 보호법 제정 사례이다

동 법률은 총 24개 조문으로 구성된 법률로, 공공 및 민간 기관의 레지스트리 또는 데이터베이스에 보유 중인 개인정보 처리에 적용할 수 있는 법적 근거를 제공하고 있다. 단, 법률 제정 후 오랜 시간이 지나면서 현재 실정과 맞지 않는 아래와 같은 다양한 법률적 공백이 존재한다.³⁾

3) https://www2.deloitte.com/cl/es/pages/legal/articles/proteccion-datos-personales-chile.html

▲개인정보 감독기구의 부재 ▲위반행위에 대한 사법적 구제 이외에 행정적 구제절차 부재 ▲정보주체의 권리인 접근권, 정정권, 취소권, 반대권 등의 불명확성 ▲공공 부문에서의 개인정보 처리를 위한 명확한 제도적 규정 미비

이후 ‘10년 칠레는 OECD에 가입하면서 개인정보보호에 관한 국제 표준을 준수하고 국가 간 개인정보 이전에 관한 규정을 마련할 것을 약속하는 등 개인정보보호법의 최신화를 천명하고 ’17년 이래 법률 개정을 추진 중이다.

다. 개인정보보호법(안) (Proyecto de Ley que Regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales, 법안 11.092-07호 및 제11144-07호 병합)

현행 사생활 보호에 관한 법률을 전면 수정한 개정 개인정보보호 법안으로, ‘17년 칠레 상원 의회에 제출된 이후 현재까지 의회에 계류 중이다.

동 법률안은 EU 일반 개인정보보호법(General Data Protection Regulation 2016/679, 이하 GDPR)을 표본으로 하고 있으며 개인정보 처리 문제에 관한 국제 표준을 충족할 수 있도록 국내 법률을 정비하기 위한 목적을 지니고 있다. 구체적으로 ▲정보주체의 권리 강화 ▲특정 범주의 개인정보 처리 규제 ▲기술 및 관리적 보안 조치 채택 의무 도입 ▲보안 조치 위반 시 보고 의무 도입 ▲개인정보 제3국으로의 이전 규정 신설 ▲개인정보 감독기구 설립 등을 주요 내용으로 한다.

라. 그 외 관련 법률⁴⁾

보건 분야에서의 권리와 의무에 관한 법률 (Ley Nº 20,584, Regula los derechos y deberes que tienen las personas en relación con acciones vinculadas a su atención en salud)

보건 및 의료 서비스에서의 국민의 권리 의무관계를 규율하는 법률로 의료정보 보호에 관한 내용을 포함하고 있는 것이 특징

임상 기록, 환자 치료 등이 기록된 연구·문서상의 모든 정보를 사생활 보호에 관한 법률 제2조제g)항에 따른 민감한 정보로 간주

의료 종사자 등은 환자의 의료 정보에 대한 기밀성을 보장하고 의료 정보가 목적 범위 내로 제한하여 사용되도록 필요한 조치를 취해야 함

• 컴퓨터범죄에 관한 법률(Ley Nº 21,459, Establece normas sobre delitos informáticos, deroga la ley N 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al convenio de Budapest)

컴퓨터와 관련한 범죄를 유형별로 체계화하고 이를 처벌하고자 하는 법률로, 개인정보를 직접적으로 보호하고자 하는 법률은 아님

다만, 컴퓨터 시스템에 포함되어 있거나 시스템 간 전송 중인 데이터와 관련한 부당 또는 불법적 행위에 형사 제재를 부과하는 등 간접적으로 개인정보보호 기능을 수행

구체적으로, 컴퓨터 시스템에 포함된 데이터를 취득 또는 이용할 목적으로 시스템에 접근하거나, 둘 이상의 컴퓨터 시스템 간 비공개 데이터가 전송되는 것을 기술적 수단으로써 부당하게 가로채거나 방해하는 행위를 처벌

4) https://www.dlapiperdataprotection.com/index.html?t=law&c=CL

마. 개인정보 처리자 의무사항

(1) 데이터 컨트롤러

(정보주체 권리강화) 현행법인 ‘99년 제정 사생활 보호에 관한 법률은 정보주체의 권리와 이에 결부된 개인정보 처리자에 관한 의무사항을 일반적으로 규정하고 있다.

사생활 보호에 관한 법률은 정보주체의 권리를 전반적으로 보장하고 있으나, 권리 행사에 필요한 구체적 절차나 개인정보 처리자의 의무사항 및 의무 이행 절차는 다소 부족한 편이며, 정보주체의 반대권, 이동권은 따로 규정하지 않고 있다.

공공부문 연방법률

조항	의무사항 세부 내용
정보를 제공받을 권리 (제4조)	개인정보 처리는 법률에서 허용하거나 정보주체가 명시적으로 동의한 경우에만 수행할 수 있으며, 이 때 개인정보 처리자는 정보주체에게 개인정보의 저장 목적 등에 대해 적절히 알려야 함
열람권 (제12조 및 제14조)	정보주체는 개인정보 처리자에게 처리 중인 자신의 개인정보, 그 출처 및 수령인, 저장 목적, 정기적으로 개인정보가 전송되는 조직/사람 등에 대해 요청할 권리를 보유 단, 법률은 정보주체의 열람권 행사 시 개인정보 처리자에 부과되는 의무사항을 별도로 규정하지 않음
정정권 (제6조, 제12조)	정보주체는 자신의 정보가 잘못되었거나, 부정확하거나, 오해의 소지가 있거나, 불완전한 경우 개인정보를 정정할 권리가 있음 개인정보 처리자는 정보주체의 요청 없이도 잘못되었거나, 부정확하거나, 오해의 소지가 있거나, 불완전한 개인정보를 정정해야 함 개인정보가 이전에 특정인 등과 공유된 경우 개인정보 처리자는 정정 요청 사실을 지체 없이 알려야 하며, 개인정보가 공유된 상대방을 특정할 수 없는 경우에는 데이터베이스의 정보를 사용하는 사람들이 일반적으로 알 수 있는 방식으로 공고를 게시해야 함
처리 제한권 (제6조, 제12조)	정보주체는 정확성을 확신할 수 없거나 타당성이 의심되고 삭제할 수 없는 개인정보인 경우에는 처리 중단을 요청할 수 있음 개인정보 처리자는 정보주체의 요청 없이도 정확성을 확신할 수 없거나 타당성이 의심되고 삭제할 수 없는 개인정보의 경우에는 처리 중단을 수행해야 함 정보주체가 자발적으로 개인정보를 제공했거나 개인정보가 마케팅 용도로 사용되고 있으면서, 정보주체가 일시적으로 해당 레지스트리에 표시되기를 원하지 않는 경우 정보주체는 개인정보 처리 중단을 요청할 권리가 있음 단, 법률은 처리 제한권과 관련한 개인정보 처리자의 의무사항에 대해서는 별도로 규정하지 않음

(컨트롤러 의무사항) 동법은 개인정보 처리자에 대한 기타 의무사항을아래와 같이 규정하고 있다.

공공부문 연방법률

조항	의무사항 세부 내용
비밀유지(제7조)	공공 및 민간 부문의 개인정보 처리자는 일반이 접근할 수 없는 출처로부터 개인정보를 수집한 경우 해당 정보에 대해 비밀을 유지할 의무가 있음
목적 준수 (제9조)	개인정보는 일반이 접근할 수 있는 출처에서 제공되거나 수집된 경우가 아니라면 수집된 목적으로만 사용되어야 함
선관주의의무 (제11조)	개인정보 수집에 따른 기록이나 저장소에 책임이 있는 자는 선량한 관리자의 주의5)로써 개인정보를 관리해야 하며, 손해에 대해서는 책임을 져야 함

5) 직업 및 사회적 지위에 따라 일반적 및 평균적으로 요구되는 수준의 주의를 의미

한편, 의회에 계류 중인 개인정보보호법(안)에서는 정보주체의 권리를 확대하고 개인정보 처리자의 의무사항을 새로이 규정하는 등 정보주체의 개인정보보호 강화에 중점을 두고 있다.

법안에서는 현행법을 전면 개정하여, 열람권(안 제5조), 정정권(안 제6조), 삭제권 및 처리제한권(안 제7조)의 내용을 더욱 구체화하고 이에 결부된 컨트롤러의 의무와 이행절차를 자세히 규정하고 있다.

또한, 현행법에서 규정하고 있지 않은 반대권(이의제기권, 안 제8조), 이동권(안 제9조)을 새로이 도입하는 등 정보주체의 권리를 강화하고 있다.

개인정보 처리자의 기타 의무사항과 관련, 기존 의무사항을 대체하여 아래와 같이 개인정보 처리자의 의무사항을 구체화하였다
▲개인정보 처리의 적법성을 증명하는 배경 정보의 신속하고 완전한 제공 ▲개인정보의 합법적 출처로부터의 수집 및 목적 범위 내 처리 ▲사전 계약의 이행을 위해 획득한 개인정보의 삭제 혹은 익명화 (이하 안 제14조) ▲비밀유지 의무 (안 제14조의2) ▲정보 투명성 의무 (안 제14조의3) ▲개인정보보호 최적화 설계 및 기본설정 의무 (안 제14조의4) ▲보안 조치 의무 (안 제14조의5) ▲개인정보 침해 보고 의무 (안 제14조의6) 등

(2) 데이터 프로세서

현행 사생활 보호에 관한 법률은 개인정보 처리를 책임지는 자를 컨트롤러 및 프로세서 등으로 구분하지 않으므로, 데이터 프로세서에 대한 별도의 의무는 두고 있지 않다. 단, 개인정보보호법(안)에서는 제3자 대리인 또는 관리자(Tercero mandatario o encargado)라는 데이터 프로세서와 유사한 개념을 도입해 컨트롤러와의 사이에 체결된 개인정보 처리와 관련한 계약상 의무 준수 등을 명시하고 있다. (안 제15조의2)

바. 행정처분 법적 근거

현행 사생활 보호에 관한 법률에는 개인정보 감독기구 및 감독기구의 행정처분을 위한 법적 근거조항이 없으며, 정보주체의 권리 침해 및 개인정보 관련 피해 시 법원에 민사소송을 제기해야 한다.

데이터베이스의 책임자가 정보주체의 개인정보 열람, 정정, 삭제 또는 처리 중단 요청에 대해 영업일 기준 2일 이내에 응답하지 않거나 기타 사유로 요청을 거부한 경우, 민사 법원에 청구를 제기할 수 있다. (제16조)
법원은 시정 명령과 별도로, 최대 50 월간 세금단위(Unidad Tributaria Mensual⁶⁾)(약 3,150 미국 달러, ‘22년 7월 기준)의 벌금을 부과하였다.

더불어, 공공 기관, 민간 법인 또는 데이터베이스를 책임지는 자연인은 개인정보의 부적절한 취급으로 인한 재산 및 정신적 손해를 배상해야 한다. (제23조)

이 절차는 정보주체의 요청이나 법원의 명령에 따라 개인정보를 삭제, 정정, 처리 중단 하는 데에 영향을 주지 않는다.

손해배상액은 사건 경위와 사실의 중대성 등을 고려해 판사가 결정한다

단, 소비자로서 개인은 국립소비자청(SERNAC)에 개인정보 침해를 원인으로 한 민원을 제기 가능하다.⁷⁾

SERNAC은 직접적으로 벌금을 부과할 권한은 없으나, 광범위한 감독 권한을 바탕으로 소비자 피해 보상을 위한 자발적 집단 절차(비사법적 절차) 및 사법적 절차 등에 착수할 수 있다.

한편, 개인정보보호법(안)에서는 신설 개인정보 감독기구가 행정처분 부과할 법적 근거를 마련하고 있다.

법안 제30조의2에서는 개인정보 감독기구의 기능 및 권한을 나열하면서, 제(d)호에서 개인정보 감독기구에 법률을 위반한 자연인 또는 법인에 대해 제재를 내릴 수 있는 권한을 명시

법안은 개인정보보호 위반 유형을 경중에 따라 구체적으로 열거하고(안 제34조~제34조의4), 위반 사안에 따라 최대 1만 월간 세금단위(Unidad Tributaria Mensual)(약 63만 미국 달러, ‘22년 7월 기준)의 과징금을 부과할 수 있도록 규정 (안 제35조)

이 때 위반 행위가 재차 발생할 경우에는 최대 3배에 이르는 과징금 부과도 가능

또한 매우 심각한 위반이 반복될 경우에는 개인정보 감독기구가 최대 30일 동안 개인정보 처리자의 개인정보 처리 활동 중단을 명령할 수 있음 (안 제38조)

6) 칠레의 세금 및 과태료 계산 목적에 주로 활용되는 가상의 화폐 단위로, 소비자물가지수 등을 반영해 칠레 중앙은행이 매월 발표
7) https://www.dlapiperdataprotection.com/index.html?t=enforcement&c=CL

사. 개인정보 국외이전 조항

(1) 현행법은 개인정보 제3국으로의 이전에 관해 특별한 요건을 두지 않다

법률에서 개인정보 국외이전을 특별히 다루지 않으므로 일반적인 개인정보 처리 활동으로 간주되며⁸⁾, 처리를 위한 일반적 법적 요건(예: 정보주체의 동의 등)을 충족한 경우에만 국외이전이 가능한 것으로 해석하고 있다.

(2) 그러나, 개인정보보호법(안)은 개인정보의 국외이전을 별도로 규율하는 조문을 신설하였다

법안은 일반적인 개인정보 처리와 개인정보 국외이전을 별개로 취급하여, 아래의 경우 정보주체의 사전 동의 없이도 개인정보의 국외 이전이 가능하도록 허용한다.

8) https://www.multilaw.com/Multilaw/Data_Protection_Laws_Guide/DataProtection_Guide_Chile.aspx

공공부문 연방법률

조항

의무사항 세부 내용

국외 이전 요건(안 제27조)

적절한 수준의 개인정보보호를 보장하는 국가 법률시스템 내의 개인, 법인, 공공·민간 조직으로 이전하는 경우 적절한 수준의 개인정보보호를 보장하는 국가 법률시스템 여부는 ▲개인정보 처리 원칙 수립 여부 ▲정보주체 권리 보장을 위한 규범의 존재 및 이를 통제하고 감독하는 관할 공공 당국의 존재 여부 ▲컨트롤러에 대한 보안 의무 부과 여부 ▲위반 시 제재 여부 등을 고려해 개인정보 감독기구가 결정 (안 제28조) 전송인-수령인 간 계약 또는 기타 법적 수단에 근거하여 개인정보가 이전될 때, 해당 계약에 정보주체의 권리와 전송인의 의무 및 통제 수단 등이 명시되어 있는 경우 전송인-수령인이 각각 법률에 따라 구속력 있고 인증된 준수 또는 자율 규제 모델을 채택한 경우 특정 은행, 금융 또는 주식 이전이 관련 법률에 따라 이루어지는 경우 증권시장법에 따라 동일 비즈니스 그룹, 관계사 또는 동일 컨트롤러에 속하는 기업 또는 조직 간에 이전이 이루어지는 경우 칠레 정부가 비준하고 현재 시행 중인 국제조약 또는 협약상의 의무를 이행하기 위해 개인정보를 이전해야 하는 경우 공공기관의 기능 수행 및 권한행사를 위하여 공공기관이 체결한 협약의 적용 등을 위해 이전이 필요한 경우 자연인, 법인, 공공·민간 조직이 수행한 개인정보 이전이 법률 및 특정 목적을 위해 명시적으로 승인된 경우 국제 사법협력을 위해 이전된 경우 정보주체와 컨트롤러 간 계약체결 또는 이행을 위해, 혹은 정보주체의 요청에 따른 사전 계약의 이행을 위해 이전이 필요한 경우 질병 예방, 진단, 치료, 보건 서비스 관리를 위해 의료 및 보건 목적상 긴급한 조치를 취할 필요가 있을 경우

또한, 법안은 위의 어느 경우에 해당하지 않더라도 개인정보 전송인 및 수령인이 정보주체의 권리를 적절히 보장할 경우 개인정보 감독기구의 승인을 통해 국외이전을 할 수 있도록 허용 (안 제28조)

아. 개인정보 법제 준수 지원 현황⁹⁾

(1) 인공지능을 활용한 개인정보 처리 지침 발표 (SERNAC, ‘22.1.)¹⁰⁾

SERNAC은 인공지능 시스템 활용 시 소비자 개인정보 처리에 관한 요건을 담은 지침을 발표하여 인공지능 시스템을 사용하여 개인정보를 처리할 경우 소비자에게 미칠 부정적 영향을 고려, 소비자의 권익을 보호하기 위한 활동의 일환으로 삼고 있다.

지침은 먼저, 인공지능 시스템을 활용하여 소비자 관계 내에서 예측, 권고, 결정을 내리는 행위를 개인정보 처리로 간주한다.

사생활 보호에 관한 법률 제2조제o)항의 문언에 따르면 ‘자동화 여부에 관계없이 개인정보의 수집, 저장, 기록, 구성, 처리, 선택, 추출, 비교, 상호 연결, 분리, 통신, 할당, 전송, 전달, 삭제, 또는 기타 방법으로 사용하는 모든 작업 및 기술 절차의 조합’을 개인정보 처리로 정의한다

따라서 소비자 관계 내에서 예측, 권고, 결정을 내리기 위해 자동화된 데이터베이스를 활용하는 것은 개인정보 처리 활동에 포함된다고 해석한다.

결국, 해당 시스템을 통한 개인정보 처리 시 사생활 보호에 관한 법률에 따라 정당성, 목적성, 비례성, 기밀성, 보안 및 책임성 등을 엄수해야 한다.

(2) 소비자 표준계약서의 개인정보 처리 권한 조항에 관한 지침 (SERNAC, ‘21.12.)¹¹⁾

SERNAC은 개인정보 보호정책과 이용 약관 상의 소비자 개인정보 수집 및 처리 권한의 경우 공정성과 관련하여 소비자보호 법령 등에 비추어 검토되어야 한다고 강조한 지침을 발표하였다.

▲소비자가 사업자에 자신의 개인정보를 처리할 수 있도록 일반적으로 권한을 부여하는 조항
▲소비자가 사업자에 부여한 자신의 개인정보 처리 권한을 변경할 수 없도록 하는 조항
▲소비자가 사업자에 자신의 개인정보 처리로 인해 발생하는 모든 책임을 면제해 주는 조항
▲소비자가 사업자에 개인정보 처리와 관련한 의무 및 보안 책임을 면제하는 조항

9) 칠레에는 개인정보 감독기구가 존재하지 않아, 개인정보 업무를 취급하는 유관기관에서 발행한 지침을 대신 수록
10) https://www.hipervinculos.cl/en/sernac-sets-new-guidelines-about-processing-of-consumers-personal-data/, https://www.sernac.cl/portal/618/w3-article-64740.html
11) https://www.carey.cl/sernac-define-nuevos-lineamientos-sobre-datos-personales-de-consumidores/, https://ww w.sernac.cl/portal/618/w3-article-64611.html