Webinar Implementación Ley de Datos Personales en tu Organización

Procesado: 01:30:52 584

Hacer Pregunta

Análisis

RESUMEN DEL WEBINAR "IMPLEMENTACIÓN LEY DE DATOS PERSONALES EN TU ORGANIZACIÓN"

Introducción y Contexto

El webinar, liderado por expertos en ley de datos, se enfoca en la implementación de la nueva ley de protección de datos personales en Chile. Se destaca la urgencia de adaptarse a la rápida evolución tecnológica, mencionando el crecimiento exponencial de la adopción de Inteligencia Artificial (IA). Se enfatiza que la protección de datos es una inversión estratégica, ya que los consumidores, especialmente los jóvenes, valoran la privacidad.

Estado Actual de la Ley y su Implementación

  • Avances clave: Aprobación de derechos para decisiones automatizadas, bloqueo temporal de datos, portabilidad electrónica y ampliación del plazo para responder consultas.
  • Puntos en discusión: Monto de las multas y el acceso a las fuentes de acceso público.
  • Importancia del cumplimiento: Se subraya la necesidad de cumplir con los estándares globales, especialmente el GDPR, para evitar sanciones y daños reputacionales.
  • La estructura jurídica de la economía digital en Chile, donde varias normativas (Fintech, Proconsumidor, Agencia de Protección de Datos, Ley de Cibercrimen, Ley de Ciberseguridad) regulan la protección de datos, creando un ecosistema complejo.

Cambios Clave y Recomendaciones

  • Categorización de datos: Se reitera la importancia de la categorización de datos, enfocándose en datos personales, sensibles y especialmente protegidos.
  • Derechos de los titulares: Se mencionan los derechos de acceso, rectificación, cancelación y oposición (ARCO).
  • Deberes de los responsables: Se destacan la importancia de la seguridad, confidencialidad e integridad de los datos. Se analizan riesgos internos (desconocimiento, falta de capacitación, procesos inadecuados) y externos (dispersión normativa, multas, etc.).
  • Estructura para el Cumplimiento: Se presentan los tres roles independientes pero coordinados: el Chief Data Officer, el DPO (Data Protection Officer) y el Jefe de Gobierno de Datos.
  • Modelo de Prevención de Infracciones: Es facultativo, pero beneficioso, y debe ser un instrumento vivo, adaptado a la organización y certificado. Incluye la capacitación, controles, y auditorías.
  • Cumplimiento en Contratos y Reglamento Interno: Se enfatiza la incorporación de normas de cumplimiento en contratos de trabajo y reglamentos internos.

Consentimiento vs. Fuentes de Acceso Público

  • Sobre el Consentimiento: Se define y enfatiza que debe ser libre, informado, específico, previo e inequívoco. Esto implica un consentimiento granular y un centro de preferencias para el titular.
  • Sobre fuentes de acceso público: Se explican los cambios en el tratamiento de datos obtenidos de fuentes públicas, pasando de ser una excepción al consentimiento a requerir una base de licitud. Se destaca la importancia de justificar el tratamiento de estos datos, especialmente relacionado con el interés legítimo.

Gestión de Riesgos

  • Análisis de Riesgos: Se enfatiza la necesidad de una gestión proactiva de riesgos, diferenciando riesgos operacionales y normativos.
  • Medidas preventivas: incluyen una debida diligencia, cultura de evidencia para asegurar cumplimiento.
  • Notificación de Brechas: Se habla de las obligaciones en caso de brechas de seguridad, incluyendo la notificación a la Agencia de Protección de Datos y/o otros órganos reguladores, y la necesidad de contener el daño.

Casos Prácticos y Conclusiones

Se presentan casos prácticos sobre el tratamiento de datos en educación (colegios), y se destaca la importancia de la gobernanza de datos, de la evaluación de datos, de saber dónde se está bien y dónde se está mal; y la urgencia de la capacitación para las empresas y organizaciones. Se cierra con un llamado a la acción para implementar modelos de prevención de infracciones y a considerar aspectos de seguridad y cumplimiento normativo.

Sabiduría

RESUMEN

Ignacio Gallardo presenta un webinar sobre la implementación de la Ley de Datos Personales, con Felipe y Macarena. Discuten la aprobación de artículos clave, cambios normativos, fuentes de acceso público, consentimiento y gestión de riesgo.

IDEAS

  • La ley de datos en Chile necesita cambios rápidos debido al avance tecnológico y la impaciencia ciudadana creciente.
  • La protección de datos personales es una inversión que impacta en la reputación y las decisiones de consumo.
  • El negocio actual se centra en el tratamiento y segmentación de datos, requiriendo regulaciones claras.
  • El GDPR europeo se ha convertido en un estándar global, influyendo en las adaptaciones normativas de los países.
  • El paradigma sobre los datos ha cambiado: ya no son propiedad de las empresas, sino de los titulares.
  • El consentimiento debe ser libre, específico, informado y previo para ser considerado válido legalmente.
  • La normativa chilena sobre protección de datos es obsoleta y necesita una agencia especializada.
  • Existe una falta de cultura corporativa y ciudadana en materia de protección de datos en Chile.
  • La constitucionalización del derecho a la protección de datos personales abrió nuevas vías legales.
  • El ecosistema jurídico de la economía digital en Chile es complejo y requiere adaptación continua.
  • Hay un ecosistema jurídico de la economía digital en Chile con múltiples instrumentos normativos.
  • La categoría de datos personales, los derechos de los titulares y los deberes de los responsables son claves.
  • El régimen de infracciones incluye civiles, administrativas y penales, generando diferentes niveles de responsabilidad.
  • Los programas de cumplimiento son herramientas de prevención que pueden mitigar sanciones en caso de incumplimiento.
  • Las obligaciones de seguridad deben garantizar confidencialidad e integridad de los datos para evitar riesgos.
  • Se debe priorizar la capacitación en protección de datos a todos los niveles de la organización.
  • La venta de bases de datos segmentadas es un activo valioso que puede generar nuevas oportunidades de negocio.
  • Las empresas deben identificar y documentar el flujo de datos para cumplir con la legislación.
  • El proyecto de ley define el consentimiento como una voluntad libre, específica, informada, expresa, previa e inequívoca.
  • Las fuentes de acceso público dejan de ser base de licitud y se rigen por el principio de finalidad.
  • Se requiere una base de licitud para tratar datos provenientes de fuentes de acceso público.
  • La gestión de riesgos es crucial en protección de datos y requiere una acción proactiva.
  • Se debe implementar un modelo de prevención de infracciones para el cumplimiento normativo.
  • Los modelos de cumplimiento con sanción pueden atenuar las sanciones en caso de infracción.
  • El proyecto de ley sobre la gestión de Inteligencia Artificial que ha surgido es muy prometedor.
  • Los modelos de Inteligencia artificial deben ser revisados para evitar sesgos discriminatorios.

INSIGHTS

  • La protección de datos ha evolucionado de propiedad a un atributo de la personalidad, impactando derechos.
  • La adopción tecnológica acelerada requiere adaptación rápida y la protección de datos es crítica.
  • El consentimiento debe ser granular y el concepto de venta atada es clave en la nueva ley de datos.
  • Las empresas deben entender que el incumplimiento normativo genera mayores daños reputacionales.
  • La falta de una cultura de protección de datos es un problema estructural en Chile.
  • La implementación de la ley de protección de datos debe ser proactiva y preventiva.
  • La gestión de riesgo requiere una acción proactiva y un músculo de cumplimiento constante.
  • Los modelos de prevención deben adaptarse a la realidad de la organización en cuestión.
  • La Inteligencia Artificial presenta desafíos y oportunidades en la protección de datos.
  • La anonimización debe ser irreversible para garantizar la protección de los datos.

CITAS

  • "La impaciencia de la ciudadanía respecto de la demora de proceso legislativos aumenta considerablemente".
  • "La protección de datos personales no solo es un costo, sino que también es una inversión".
  • "Los datos evidentemente no pertenecen a las empresas que los administran sino a los titulares".
  • "El dato personal permite generar una identificación que a esa persona la puede incluso condicionar".
  • "El consentimiento también debe reunir requisitos".
  • "El consentimiento debe ir reuniendo un conjunto de consideraciones o características para ser válido".
  • "Estamos en presencia de un cambio epocal donde la adopción de tecnologías de desarrollos va cada vez más rápido".
  • "Los datos que yo tengo son míos porque yo invertí en su depuración".
  • "Yo tercero, yo responsable, tengo que probar por qué en virtud de qué fuente de legitimidad".
  • "El interés legítimo supone que la empresa tiene el derecho a tratar datos de terceros sin consentimiento".
  • "El consentimiento, no es otra cosa que la expresión de voluntad".
  • "Este es como el Bolsón más abierto no donde cabe todo".
  • "La evolución tecnológica ha sido más rápida de la que ellos pensaban".
  • "La base de licitud por sí sola y los puedo destinar a cualquier finalidad".
  • "Esta es la situación país y esto es lo que nos debería ocupar".
  • "Es un negocio totalmente lícito, estamos hablando de datos de fuentes de acceso público".
  • "El derecho es que lo revise".
  • "Amazon del no sé cuándo, del 2015, que le daba más puntaje a los hombres que a las mujeres."
  • "Los hombres son más de poner logros, yo lideré, yo logré esta meta".
  • "La protección de datos desde el 2018 es un derecho fundamental".
  • "Porque si no, cuando alguien quiera tomar una decisión algorítmica sin necesidad de ningún tipo de contrapeso".
  • "En la práctica tenemos un conjunto o múltiples instrumentos normativos de diferentes rangos".
  • "La lógica de la economía t.".
  • "Hay que buscar un equilibrio".

HÁBITOS

  • El cumplimiento de la ley requiere una capacitación a todos los funcionarios de la empresa.
  • Las empresa deben realizar un mapa de datos para entender sus riesgos y obligaciones.
  • La identificación de los datos sensibles y también los datos protegidos es fundamental.
  • Las instituciones deben tener una visión de negocio, y no solo una mirada legal.
  • Las empresas deben tener un área de gobienro de riesgos para evitar conflictos.
  • Las organizaciones necesitan aplicar medidas correctivas en sus sistemas de proteccón de datos.
  • Establecer los derechos de la ley en el ámbito laboral y reglamentos interiores.
  • Creación de un modelo de prevención de infracciones en las empresas.
  • Crear el modelo de gobernanza para la seguridad de la Inteligencia artificial.
  • La comunicación constante a los involucrados en relación a la ley de datos.

HECHOS

  • Los teléfonos móviles tardaron 16 años en llegar a 100 millones de usuarios; chat GPT, 3 meses.
  • Según el Banco Mundial, 6 de cada 10 jóvenes priorizan la protección de datos.
  • Facebook no crea contenido, pero es la mayor plataforma del mundo.
  • El GDPR se transformó en un estándar global para la protección de datos.
  • El artículo 19 numeral cuarto del 2018 constitucionalizó el derecho a la protección de datos.
  • Chile tiene una ley de datos de 1999, que hoy se encuentra obsoleta.
  • El 21,8% de los profesionales encuestados tiene conocimiento del proyecto de ley.
  • 80% de los líderes empresariales chilenos consideran importantes los datos.
  • Muchos casos de mal uso de los datos en base de Inteligencia Artificial.
  • El caso de la vacunación en Nueva Orleans, se dio sesgos algorítmicos.

REFERENCIAS

  • Referencia al informe de Cristián Maulen y Data Triden sobre uso de datos en Chile.
  • Menciona la ley de Fintech, que establece regulaciones en materia de protección de datos.
  • Referencia al artículo 15 bis de la ley pro consumidor y el rol del Sernac.
  • Menciona la ley de delitos informáticos y su relación con la protección de datos.
  • Ley de Ciberseguridad, y como esta complementa la ley de protección de datos.
  • Circular CNAC sobre cookies y otros patrones oscuros.
  • El caso del Banco Chile con filtración de cartolas.
  • Declaración Universal de Derechos Humanos y privacidad.
  • Convenio 108 y el GDPR.
  • El ejemplo de Chileautos para el registro de datos.

CONCLUSIÓN EN UNA FRASE

La implementación de la Ley de Datos Personales requiere adaptación constante, gobernanza y cultura, enfocada en los derechos de los ciudadanos.

RECOMENDACIONES

  • Evaluar y realizar un levantamiento de los procesos que realiza tu organización.
  • Comenzar a documentar y registrar el flujo de información de datos personales.
  • Implementar un programa de cumplimiento para evitar las sanciones futuras.
  • Es necesario realizar capacitación en los diferentes niveles de la empresa.
  • Implementar el modelo de prevención de infracciones en las empresas.
  • Prestar atención a los datos sensibles sobre menores de edad en instituciones educativas.
  • Gestionar la creación de un comité de crisis ante el robo de información.
  • Hacer las gobernanzas para la Inteligencia artificial en los modelos.
  • Tener una mirada de negocio a la información y bases de datos.
  • Realizar un análisis de brechas externo e identificar los riesgos.

Sabiduría PRO DeepSeek V3

Análisis más profundo usando un modelo de IA avanzado. Genera insights más detallados y refinados.

que nos pueden ir dejando en el chat y<br>finalmente esta seción la va a ir<br>liderando Ignacio Gallardo que es socio<br>también de ley de datos entonces durante<br>la última semana bueno las últimas dos<br>semanas hemos tenido dos sesiones de<br>comisión mixta en total hemos logrado 10<br>bueno han logrado ellos no nosotros 10<br>acuerdos Y les queremos resumir los<br>cuatro más importantes y también dejar<br>los invitados a revisar linkedin por ley<br>de datos si es que quiere leer estos<br>otros seis acuerdos que no les vamos a<br>comentar hoy día sí Entonces el primero<br>en la aprobación del artículo 8 artículo<br>8 bis que estableció el derecho posición<br>de los titulares de datos para<br>decisiones automatizadas eso ya está<br>aprobado que sería después despachado el<br>artículo toter que aprobó el derecho al<br>bloqueo de tratamientos de datos<br>personales de manera temporal cada vez<br>que un ciudadano o un usuario le haga<br>una consulta de datos a una organización<br>Sí el artículo noveno que establece que<br>la portabilidad datos va a ser<br>electrónica y finalmente el artículo 11o<br>que amplió el paso a las organizaciones<br>de 15 a 30 días corridos para responder<br>consultas y además da una prórroga de 30<br>días más entonces mi primera pregunta<br>acá va para Felipe que bueno él desde el<br>2012 estaba comentando esta ley<br>eh estaba de hecho en el caso muy<br>bullado del banco chile con la<br>filtración de las cartolas y ahí<br>solicitó Bueno necesitamos reformar esta<br>ley y necesitamos crear una agencia de<br>protección de datos personales entonces<br>Felipe bueno primero que todo buenos<br>días y preguntarte cómo ves El Avance Y<br>si crees que vamos a tener humo blanco<br>Este primer<br>semestre Hola qué tal Rodrigo buenos<br>días saludar a todas eh las asistentes y<br>los asistentes saludar Por cierto<br>también a mi copanel ista Macarena<br>Gatica e felicitar por la iniciativa a<br>ver yo diría en términos muy prácticos<br>creo que sí vamos a tener vamos a ver eh<br>probablemente humo blanco eh<br>durante el primer semestre de este año<br>si uno ve y siguiera el ritmo digamos de<br>la comisión mixta probablemente eh se va<br>a estar despachando se estaría<br>despachando el proyecto A fines de abril<br>eh fines de abril principio de mayo o<br>Ojalá antes eh Porque los temas más más<br>delicados como lo comentábamos antes de<br>de iniciar el el webinar siempre<br>legislativamente se dejan para el final<br>para no generar un ambiente de<br>confrontación antes de resolver temas<br>pacíficos en consecuencia como tú bien<br>dices el resumen que hiciste ha ido<br>resolviendo temas que son bastante<br>pacíficos y y por tanto los temas de<br>régimen de multas fuente acco público y<br>otro digamos Probablemente van a ser los<br>últimos en tomarse eh la discusión en la<br>comisión mixta Así que yo tengo toda la<br>esperanza de que vamos a tener<br>prontamente finalmente nuestra ley de<br>protección de<br>datos perfecto eh Mira Macarena sigue<br>con problemas así que quizás est ser la<br>pregunta que tenía preparada para<br>Macarena Eh bueno Tú mencionaste ahí que<br>teníamos dos puntos conflictivos que son<br>el acceso a datos públicos y las multas<br>tú cómo crees que va a terminar<br>resolviendo la comisión mixta esos dos<br>artículos no no no sé no sé cómo<br>terminará resolviéndose pero pero a ver<br>lo que hay aquí son criterios distintos<br>no respecto de monto de multas eh Hay<br>quienes plantean que las multas<br>incorporadas o los los guarismos que<br>tienen las multas son excesivamente<br>altos y pueden significar una<br>afectación de la continuidad de de la de<br>la empresa digamos y por otro lado hay<br>quienes dicen que las multas que tienen<br>techo<br>eh No siempre logran su objetivo por<br>cuanto muchas veces se incorpora dentro<br>de los costos de producción eh la multa<br>asociada entonces también hay que buscar<br>un equilibrio en eso y y respecto a la<br>Fuentes deo público La verdad es que yo<br>me inclino más por la por la posición<br>del senado eh pero pero no sé cómo se va<br>a resolver eso entiendo que los asesores<br>están dando una al respecto eh una cosa<br>es establecer ciertas restricciones pero<br>pero no considerar las fuente de acceso<br>público como una base de licitud o<br>fuente de legitimidad puede traer<br>complicaciones prácticas particularmente<br>para para efecto de los chequeos tipo de<br>información entonces creo que hay que<br>resolverlo de buena forma y creo ha hay<br>propuestas de redacción intermedia que<br>serían satisfactorias para ambas partes<br>por aquí se requiere por un lado<br>proteger los derechos de los titulares<br>pero también garantizar y dar certeza<br>para que las empresas que deban realizar<br>o personas algún tipo de consulta o uso<br>de datos tengan el marco regulatorio eh<br>bastante claro digamos para que pueda<br>desarrollarse perfecto muchas gracias<br>Felipe eh vamos a partir con la<br>presentación entonces Bueno vamos a<br>partir con nuestra primera presentación<br>el es socio de H abogados es ex senador<br>es ex convencional Constituyente autor<br>de la Reforma constitucional que<br>consagra el derecho de protección de<br>datos personales en nuestra Carta Magna<br>y además el autor del proyecto que<br>actualmente está en discusión<br>legislativa dejo con ustedes entonces a<br>Felipe<br>arb Muchas gracias nuevamente Rodrigo<br>Bueno voy a intentar hacer una<br>presentación que la voy ir pasando<br>rápido pero la idea es ir comentando<br>digamos algunos elementos que me parecen<br>relevantes para efectos de El proyecto<br>de ley pero también un poco dar dar algo<br>de contexto solo les voy a decir antes<br>de partir la presentación que ayer<br>estaba una exposición sobre Inteligencia<br>artificial con a nivel internacional y<br>da una cifra que era francamente<br>impactante que decían que eh los<br>teléfonos móviles se demoraron 16 años<br>en llegar a los 100 millones de usuarios<br>16 años internet se demoró 7 años<br>Facebook se demoró 4,5 años en llegar a<br>los 100 millones de usuario y chat gpt<br>Se demoró TR meses es decir lo que que<br>estamos en presencia es de un cambio<br>epocal donde la adopción de tecnologías<br>de desarrollos va cada vez más rápido y<br>eso va obligar necesariamente a que<br>aquellos que estamos vinculados al mundo<br>del derecho o en actividades<br>empresariales o incluso al legislador a<br>tener Claridad que ya la impaciencia de<br>la ciudadanía respecto de la demora de<br>proceso legislativos eh aumenta<br>considerablemente Y eso también<br>significa que en los procesos de adec<br>de de nuestras empresas de nuestras de<br>nuestras actividades diarias tiene que<br>ser mucho más rápido de lo contrario<br>enfrentar eventualmente daño<br>reputacional sobre todo considerando que<br>según los ú los últimos estudios del<br>Banco Mundial los consumidores entre 18<br>y 35 años eh seis de cada 10<br>consumidores entre 18 y 35 años<br>consideran eh la protección de los datos<br>personales al momento de la decisión de<br>sus opciones de consumo para decirlo de<br>otra forma eh estos consumidores<br>prefieren empresas que protegen sus<br>datos sobre aquellas que no lo hacen lo<br>cual también eh nos obliga a entender<br>que la protección de datos personales no<br>solo es un costo sino que también es un<br>inversión desde el punto de vista<br>incluso de la posibilidad de tener buen<br>buen público o mayor eh mayor eh<br>beneficios reputacionales Cuál ha sido<br>lo qué es lo que ha ido ocurriendo ha<br>ido ocurriendo que a nivel global<br>evidentemente eh las empresas que más<br>crecen son las empresas vinculadas a la<br>gestión de datos piensen ustedes que<br>Facebook eh No no crea contenido pero es<br>la mayor plataforma piens ustedes que<br>Waze no tiene vehículos que airbnb no<br>tiene inmuebles Dónde está el negocio el<br>negocio está justamente en el el<br>tratamiento de información en la<br>capacidad de segmentación En definitiva<br>en el manejo de de datos eh Y el trabajo<br>de los mismos razón por la cual se<br>requieren regulaciones digamos que vayan<br>por un lado dándole certezas Cuáles son<br>los Marcos jurídicos los cuales pueden<br>moverse Pero por otro lado también que<br>generen un marco de protección a los<br>derechos ciudadanos para efecto de<br>evitar que nuestra identidad digital se<br>afecten los derechos no solo digitales<br>sino los derechos que hoy día consagran<br>los ordenamientos constitucionales o<br>incluso la declaración universal de<br>derechos humanos y cómo se ido haciendo<br>esto bueno la respuesta regulatoria<br>occidente es que uno empieza a mirar<br>digamos que Europa ha muchas décadas<br>digamos que ha hecho esfuerzo en esta<br>materia recordemos el punto a pie<br>inicial probablemente en la ley del<br>censo eh que consagró por primera vez el<br>principio de autodeterminación<br>informativa allá en en Alemania luego<br>digamos viene ya todo el derecho<br>internacional la dección Universal de<br>Derechos Humanos habla de la privacidad<br>que luego tiene una aplicación práctica<br>en el convenio 108 digamos y finalmente<br>en el gdpr digamos no y en el caso<br>chileno También tenemos una evolución<br>normativa que la vamos a ir viendo<br>digamos en esta materia pero<br>evidentemente aquí quiero hacer un<br>paréntesis porque tenemos una respuesta<br>regulatoria internacional denominada el<br>gdpr nacido en Europa que hoy día se ha<br>transformado en la práctica en un<br>estándar de convocación global y cuando<br>uno observa las adecuaciones normativas<br>de los países están orientadas<br>principalmente con más con menos matices<br>digamos a ser reconocidos como un país<br>adecuado por la por la comunidad Europea<br>y por tanto adscribir a parámetros o<br>estándares de mayor nivel de protección<br>eh aquí tenemos un elemento digamos que<br>que estábamos comentando lo lo principal<br>digamos es que si uno tuviese que mirar<br>eh todos los diferentes estándares que<br>hemos ido conociendo a lo largo de la<br>historia es que en el último tiempo ha<br>habid un cambio de paradigma se discutía<br>sobre datos eh A partir del de la<br>concepción de la propietar ia del<br>derecho de propiedad y de hecho si este<br>webinar lo hubiésemos hecho<br>probablemente el año 2010 2012 e incluso<br>el 2015 eh algunas empresas dirían eh<br>los datos que yo tengo son míos porque<br>yo invertí en su depuración yo los<br>trabajé eh yo los eh los segment que Y<br>les di un valor y al darle el valor los<br>datos son míos hoy esa discusión no es<br>posible los datos evidentemente No<br>pertenecen a las empresas que los<br>administran sino a los titulares las<br>personas por eso que me permitio<br>sostener la tesis de que eh los datos<br>personales son hoy día o debieran ser<br>considerados un atributo de la<br>personalidad eh que se suma al estado<br>civil al nombre al domicilio que<br>conocemos tradicionalmente en el Derecho<br>civil porque efectivamente el dato<br>personal permite digamos generar una<br>identificación que a esa persona la<br>puede incluso condicionar no eh aquí<br>vemos un pequeño gráfico respecto a la<br>evolución regulatoria hablaba de 1983<br>aquí por 84 pero es más menos lo mismo<br>hasta que avanza digamos hasta el gdpr<br>pasando por todo tipo de ensayos y eh<br>modificaciones digamos eh normativas en<br>términos generales Aquí están los 10<br>requerimientos en materia de estándar de<br>gdpr digamos eh que es muy importante<br>tenerlos presente a la hora de que las<br>empresas toman decisiones de adecuación<br>porque eh hemos conocido casos de<br>personas que ofrecen comillas una<br>adecuación de la empresa pero resulta<br>que al no reunir los requerimientos<br>básicos del est gdpr finalmente hac un<br>esfuerzo las empresas importantes<br>económico sino también de dedicación<br>logístico y finalmente No necesariamente<br>reciben la adecuación que requieren por<br>eso tan importante ir avanzando en estas<br>materias fíjense ustedes lo que ha<br>pasado porque este régimen que se<br>instala Es un régimen que se esta con el<br>objetivo de la gente de que las empresas<br>lo cumplan Pero obviamente el el nivel<br>de cumplim imiento de las normas también<br>dice relación directa con los incentivos<br>y cuando uno ve el régimen de sanciones<br>del gdpr Bueno uno ve que por ejemplo es<br>natural la industria media<br>telecomunicaciones digamos son las que<br>más multas han enfrentado Y por qué el<br>régimen de multas es tan alto justamente<br>para que las empresas no lo incorporen<br>dentro de sus costos de producción y<br>tengan la capacidad o más bien el<br>incentivo de ir cumpliendo digamos sus<br>eh sus las normativas que se va<br>instalando acá tenemos alguna de las<br>últimas sanciones digamos de los últimos<br>5 años la conocida por ejemplo la<br>sanción de 1200 millones de euros eh a<br>meta eh lo más complejo en esa materia<br>fue que eh la razón por la sanción o la<br>la la la infracción que se que se<br>instaló fue una base legal insuficiente<br>digamos eh para esta materia<br>consecuencia se Consideró que la fuente<br>de legitimidad no era adecuada no eh Y<br>por qué digo fuente de legitim ida<br>porque partamos de la base de que el<br>gdpr y Los estándares Internacionales y<br>también nuestra ley instala la idea de<br>que el dato es de la persona del titular<br>y no de eh Como dije de la empresa que<br>lo administra y por tanto si un tercero<br>quiere administrar un dato si yo<br>quisiera administrar el dato de Macarena<br>o el dato de Rodrigo yo debiera<br>justificar el onus proband recae en mí<br>yo tercero yo responsable tengo que<br>probar por qué en virtud de qué fuente<br>de legitimidad o base de licitud<br>tengo o administro o trato ese dato y<br>por tanto los estándares nos establecen<br>un conjunto de fuentes de legitimidad o<br>base de licitud dentro de las cuales<br>encontramos la ley ejemplo práctico<br>típico digamos el Ministerio Público no<br>es que se le pida el consentimiento un<br>imputado para poder tratar su datos sino<br>que la ley lo habilita para ello<br>contratos por ejemplo relaciones<br>contractuales cuando hay consentimiento<br>es muy importante puede hacer relaciones<br>contractuales pue hacer consentimiento<br>eh que den origen a relaciones<br>contractuales o precontractuales<br>relación precontractual con compañía de<br>seguro la compañía de seguro para<br>efectos de hacer una cotización me pide<br>un conjunto de antecedentes un conjunto<br>de datos yo se los entrego incluso me<br>puede pedir exámenes médicos que son<br>información sensible y resulta que luego<br>cuando me dice mire su prima va a ser de<br>tanto aquí está su póliza yo digo no sab<br>que no estoy de acuerdo no llego a<br>acuerdo La pregunta es Qué se hace con<br>esa información Eh bueno Ahí la fuente<br>de legitimidad es una relación<br>precontractual pero habilita esa<br>relación precontractual como fuente de<br>legitimidad permanente aún cuando no<br>haya habido relación contractual bueno<br>parte de los elementos de discusión<br>digamos que uno tiene que ir<br>Estableciendo para efecto de la<br>adecuación también está el interés<br>legítimo muy muy polémico el interés<br>legítimo en el sentido de que alguien<br>podría extender alguien dijo que como<br>decimos los abogados este es como el El<br>Bolsón más abierto no donde cabe todo<br>pero no cabe todo el interés legítimo<br>supone que la empresa eh tiene el<br>derecho a tratar datos de terceros sin<br>consentimiento cuando sean estrictamente<br>necesarios para el desarrollo de eh su<br>eh de su eh del corazón de su negocio<br>ahora eh es siempre posible justificar<br>el uso de datos de tercero en base al<br>interés legítimo no Europa ha ido<br>Estableciendo bordes y regulaciones Sí y<br>por tanto aquí en Chile Lamentablemente<br>como no tenemos una agencia eh<br>especializada No tenemos tanta<br>regulación en esta materia Y<br>probablemente se va a ir acomodando en<br>función de lo que nos diga la nueva<br>agencia cuando esté creada y también de<br>la jurisprudencia en esta materia la<br>fuente de acceso público son otra<br>legislación y el consentimiento sin duda<br>el consentimiento es decir que que el<br>titular del dato otorgue su voluntad el<br>consentimiento No es otra cosa que la<br>expresión de voluntad no eh que<br>establece en el código civil digamos<br>para la validez de los contratos y dice<br>nuestro código civil que la voluntad<br>tiene que tener ciertos requisitos no es<br>cierto exenta de vicio etcétera error<br>fuerza dolo son los vicios del<br>consentimiento bueno en materia comillas<br>de derecho de protección de datos<br>derecho informático el consentimiento<br>también debe reunir requisitos y los<br>requisitos del consentimiento para que<br>este sea válido y sea considerado una<br>fuente de legitimidad supone que es un<br>consentimiento de requisito evolutivo en<br>razón de la criticidad del dato y es por<br>eso que los estándares Internacionales y<br>nuestra legislación contemplan por<br>ejemplo una categorización de datos<br>distinta y en función de esa<br>categorización entre dato personal dato<br>especialmente protegido y dato sensible<br>van exigiendo que ese consentimiento<br>tenga mayor nivel de deamos más<br>características para que sea válido dado<br>que se entiende que el titular debe<br>tener conciencia absoluto o absoluta de<br>que el consentimiento que está dando<br>puede dar origen o sea va a dar origen<br>al tratamiento de ese dato de parte de<br>un tercero y Que obviamente a medida que<br>la criticidad del dato va aumentando el<br>ento tiene que tener más requisitos no y<br>eso uno dirá Bueno eso es teoría no es<br>teoría Porque desde el momento por<br>ejemplo que en nuestra página web<br>digamos en la de una empresa digamos uno<br>tiene que poner en la casilla al<br>consentimiento por de pronto no puede<br>estar pre chequeada eh Pero<br>adicionalmente puede debe establecer por<br>ejemplo Que si yo estoy dando el<br>consentimiento eh para una empresa que<br>vende automóviles y doy mi<br>consentimiento para que me puedan usar<br>mis datos y mis cont actos Para enviarme<br>información frente a eventuales llamados<br>de emergencia del vehículo que he<br>comprado la pregunta que tiene que<br>hacerse es ese consentimiento para esa<br>finalidad alcanza también o permitiría<br>que esa empresa que tiene una filial que<br>hace car sharing me mandara<br>publicidad bueno eh se habla de la<br>especificidad del principio de finalidad<br>se habla de la proporcionalidad En<br>consecuencia los el consentimiento debe<br>ir reuniendo un conjunto de<br>consideraciones o características para<br>que sea una fuente válida a 5 años del<br>gdpr la cooperación ha mejorado<br>ciertamente Hay nuevas reglas<br>procedimentales digamos la obligación de<br>las autoridades ha ido cambiando ha<br>habido reducción de desacuerdos pero hoy<br>día Ya estamos hablando del gdpr 2.0 por<br>dos yo diría dos elementos fundamentales<br>que Europa ha identificado en su proceso<br>de implementación del gdpr el primero es<br>que eh la evolución eh tecnológica la<br>evolución tecnológica ha sido más rápida<br>la que Ellos pensaban yo les ilustraba<br>respecto de los 16 años para llegar a<br>100 millones de teléfonos móviles versus<br>los 3 meses de stpt la irrupción de la<br>Inteligencia artificial generativa<br>genera también un desafío pero en el<br>caso de Europa otro de los elementos que<br>ha sido importante para efecto de<br>iniciar la discusión de El gdp 2.0 di<br>relación con los datos industriales y<br>también con los datos públicos no<br>particularmente en yo diría eh el el<br>escenario geopolítico de la irrupción de<br>China como un eh actor fundamental en<br>materia de desarrollo de procesos<br>industriales y también tecnológicos no<br>eh luego la pregunta es bueno en qué<br>está nuestro país nuestro país la verdad<br>es que tuvimos en los 90 una ley pionera<br>éramos los primeros éramos los primeros<br>del barrio no existía Facebook los<br>teléfonos cuando llama por teléfono<br>había que pagar la llamada que le<br>entraba y la casilla y bueno y nos<br>quedamos con esa ley hasta el día de hoy<br>1999 eh 2024 En consecuencia estamos<br>hablando de que la evolución tecnológica<br>la globalización financiera el<br>desarrollo de de mercados y de negocios<br>hicieron que nuestra ley quedara<br>completamente obsoleta una veas Data<br>prácticamente inaplicable difícil<br>engorroso eh No consagr institucionales<br>especializadas no promueve nuevos<br>modelos de negocio No contempla Norma de<br>transferencia internacional eh En<br>consecuencia hay un conjunto de vacíos<br>también lo que quiero decir En<br>definitiva es que nuestra regulación que<br>originalmente fue pionera en algún<br>minuto hoy día lamentablemente no lo es<br>sino que se encuentra obsoleta<br>declaración anticuada falta de eh<br>institucionalidad especializada Y cuando<br>digo falta institucional especializada<br>me refiero principalmente a una agencia<br>que es lo que estamos eh lo que está<br>incorporando en este proyecto de ley y<br>evidentemente por el el por el lado<br>digamos de la oferta tenemos legislación<br>anticuada y falta institucionalidad pero<br>por el lado de la demanda Es decir de<br>nosotros de los ciudadanos tenemos un<br>problema estructural es que no hay una<br>cultura no solo corporativa no hay una<br>cultura ciudadana ni corporativa en<br>materia de protección de datos y por<br>tanto no está en nuestro ADN entender<br>que nuestro dato tiene un valor y no<br>solo que tiene un valor sino que además<br>la mala administración de nuestro dato<br>puede generar daños en la en el<br>ejercicio de nuestros derechos<br>fundamentales eh Y si eso le pasa al<br>ciudadano en cuanto tal en cuanto a<br>titular del dato imagínense ustedes<br>cuánto le pasa en su condición de<br>prestador de servicio Es decir de<br>proveedor de servicio en la empresa no<br>hay cultura corporativa protección de<br>datos en general lo que hay más bien Es<br>decir mira tenemos que hacer una<br>política de privacidad pongamos los<br>derechos arc en la página web Pero bueno<br>después vemos cómo nos arreglamos pero<br>ya sí Bueno y cómo hacemos este trabajo<br>Bueno no sé Mira mándame Mándame la<br>planilla Excel de del datalake me mandas<br>digamos por correo no hay cultura<br>corporativa no no no no hay no hay no<br>hay adecuación de procesos y muchas<br>veces los directorios<br>eh le restan importancia a un tema que<br>puede generar un daño reputacional aún<br>mayor que las y y también sanciones aún<br>mayor de que los ingresos que percibe la<br>empresa y que todas las inversiones que<br>hacen para efectos digamos de mejorar su<br>reputación no cierto en Chile hemos<br>tenido una evolución normativa también<br>importante y Ho diría yo destacaría el<br>2018 por dos razones uno porque el gdpr<br>se nos levanta como una luz amarilla nos<br>dice Europa usted si quiere renovar el<br>tratado libre comercio usted tiene que<br>adecuar su normas de protección de datos<br>si no va a seguir siendo considerado un<br>país no adecuado y no le vamos a no<br>vamos a permitir que empresas de<br>matrices o filiales europeas o que o que<br>o que o que eh tratan datos de<br>ciudadanos europeos los manden a Chile<br>primer problema chile queda fuera de<br>varios negocios y de hecho bien lo saben<br>Quiénes operan en esta materia hay<br>empresas de matrices europeas que están<br>exigiendo a sus sus proveedores<br>crecientemente la adecuación al estándar<br>gdpr bajo la sanción de excluirlo de su<br>registro de proveedores por instrucción<br>digamos de sus matrices y lo segundo es<br>la constitucionalización del derecho a<br>la protección de datos personales<br>artículo 19 numeral cuarto año 2018 se<br>instala como derecho constitucional eso<br>primero hecha por la borda<br>esta esta explicación o justificación<br>que daba un sector de la industria<br>financiera que decía Mira la ley de<br>datos miren explicación Ah Es una ley<br>simple nuestra ley es una Ley Orgánica y<br>por tanto no se rige no no tenía lógica<br>pero bueno esa era una de las<br>explicaciones que por escrito entregaban<br>digamos e ciertas industrias des momento<br>que están a nivel constitucional<br>evidentemente se acaba esa discusión se<br>sanja pero adicionalmente se abre la<br>posibilidad de eh recurrir a las cortes<br>de apelaciones mediante el recurso de<br>protección y además como ha ocurrido ya<br>en un par de casos digamos eh hacer<br>tutela de derechos en materia de<br>protección de datos y por tanto eso Abre<br>a la empresa un desafío aún mayor no eh<br>que es muy importante entonces lo que<br>tenemos hoy día es que cuando alguien me<br>dice oye eh Cuánto falta para que salga<br>la ley de protección de datos yo creo<br>que falta muy poco pero yo no esperaría<br>a la ley de protección de datos por qué<br>Porque la lógica la lógica legislativa<br>era seguir el proceso como lo hizo<br>Brasil una ley de protección de datos<br>que sirva como base estructurante con<br>una agencia especializada capaz de<br>interpretar supervigilar fiscalizar y<br>sancionar luego de eso la ley de medios<br>de pago luego de eso la ley de finanzas<br>abiertas Y así sucesivamente porque se<br>suponía que amos a tener una ley una ley<br>base bueno como esa ley base se ha<br>trazado más que todas las otras el<br>problema que tenemos hoy día es que en<br>la práctica en materia de protección de<br>datos tenemos un ecosistema jurídico de<br>la economía t así lo lo he denominado<br>porque en la práctica tenemos un<br>conjunto o múltiples instrumentos<br>normativos de diferentes rangos que<br>están regulando las materias propias de<br>protección de datos por de pronto como<br>decía la base del artículo 19 número 4<br>Pero tenemos la ley de fintech que en el<br>capítulo de finanzas abiertas establece<br>regulaciones específicas a través de<br>Norma de carácter general que va a<br>dictar la cmf para toda la industria<br>financiera y que regulada por la cmf en<br>materia de protección de datos y por<br>tanto la cmf va a ser fiscalizadora en<br>esa materia también luego tenemos el<br>artículo 15 bis de la ley proconsumidor<br>para aquellos espacios donde existen<br>relaciones de consumo y está el cnac<br>como fiscalizador luego vamos a tener la<br>agencia de protección de datos no con la<br>nueva ley y por tanto vamos a tener un<br>tercer regulador también ahí eh Luego si<br>usted me me me me apura un poco tenemos<br>la ley de delitos informáticos que toca<br>tangencialmente pero por ejemplo<br>establece como delito la receptación<br>compra y venta de bases de datos en<br>consecuencia si de acuerdo a la ley de<br>datos yo no puedo justificar mi base de<br>datos en alguna base de licitud o fuente<br>legitimidad podrá podría presumirse que<br>esa base de datos fue comprada o<br>adquirida de manera ilícita si así Se<br>presume y así se sanciona por ley<br>delitos informáticos cumplo con decirles<br>que eh el delito de receptación de la<br>ley delitos informáticos es uno de los<br>delitos base de la ley de delitos<br>económicos en consecuencia también lo lo<br>pasa como si fuera poco tenemos la ley<br>de ciberseguridad la agencia de<br>ciberseguridad ley acaba a ser<br>despachada esa ley va a generar eh<br>También la creación de la agencia de<br>ciberseguridad que existe una relación<br>muy muy simbiótica entre ambos temas<br>toda vez que uno de las obligaciones o<br>deberes de responsable es velar por la<br>seguridad y obviamente como se trata de<br>datos muchos de ellos que son eh datos<br>informáticos se cruza con el principio<br>de seguridad que va a administrar<br>digamos la eh la agencia de<br>ciberseguridad y todo ello como<br>corolario con las circulares del cnac<br>sobre cookis y otros patrones oscuros<br>etca que están saliendo que crean como<br>digo este ecosistema jurídico En<br>consecuencia cuando uno asesora una<br>empresa no puede solo circunscribirse<br>digamos a el aspecto exclusivo de la ley<br>de datos sio tiene que ver todo lo<br>anterior e En consecuencia eso abre yo<br>digo algunos riesgos que vamos a ver más<br>adelante los principales cambios la<br>categorización de datos personales los<br>derechos de los titulares y deberes<br>responsables la lógica de existencia de<br>terceros delegados digamos y cuál es el<br>régimen de responsabilidad pues si yo<br>soy un grupo económico y un holding y<br>tengo diferentes empresas puedo<br>compartir los datos puedo tener un Data<br>ley común Cuál es el estándar que voy a<br>seguir el del más alto el del más bajo<br>tengo que hacer diferencia en dat Lake<br>en materia de ciberseguridad y niveles<br>de encriptación bueno algunos de esos<br>elementos si yo<br>tercerizar eh disminuir mi nivel de<br>responsabilidad frente a una eventual<br>infracción que Cometa el delegado todos<br>estos elementos tienen que estar en<br>consideración Al momento de eh<br>eh diseñar los sistemas de adecuaciones<br>que es un poco lo que hacemos nosotros<br>digamos eh un régimen de infracciones<br>sanciones y Registro Público pensemos<br>que tenemos como vamos a ver un régimen<br>de infracciones<br>eh multidisciplinario tenemos<br>infracciones civiles infracciones<br>administrativas infracciones penales<br>digamos En consecuencia ese régimen<br>diverso de eh infracciones genera un<br>régimen diverso de sanciones y por tanto<br>de responsabilidad y ahí entonces<br>también es muy importante estar atento<br>porque uno podría dar perfecto<br>cumplimiento íntegro a el proyecto de<br>ley que viene y que se va a aprobar<br>prontamente pero podría estar a la vez<br>incumpliendo algunos de os otros<br>elementos o normativas del denominado<br>ecosistema jurídico de la economía<br>digital eh vienen normas en materia<br>trans conferencia internacional de datos<br>eh De hecho de hecho recuerden ustedes<br>que yo les hablaba de las sanciones de<br>meta una de las sanciones que tuvo eh<br>fue por entregar información de sacar<br>información de ciudadanos europeos a<br>Estados Unidos al país al cual la Unión<br>Europea considera un país no adecuado En<br>consecuencia se generan cambios<br>importantes también para nosotros no<br>deber el responsable están acá<br>principalmente si uno tuviese que mirar<br>digamos eh ese evidente que eh los<br>program de cumplimiento salta<br>inmediatamente como un elemento de eh<br>prevención eh que podía generar también<br>un incentivo a la disminución digamos de<br>sanciones sanciones cuando hay algún<br>tipo de incumplimiento ya voy terminando<br>Eh ya me aprendí la luz de alerta Así<br>que estoy casi listo las obligaciones de<br>seguridad eso es muy importante ciertas<br>características qué es lo que se debe<br>asegurar y ojo con esto se debe asar la<br>confidencialidad así que no se nos<br>filtren los datos pero también la<br>integridad y ahí los riesgos pueden ser<br>externos pero también internos porque<br>muchas veces vemos empresas que<br>invierten software muy sofisticados en<br>materia de ciberseguridad para evitar<br>incidentes pero resulta que se comparten<br>digamos la información a través de<br>planillas Excel dentro de la corporación<br>Y eso puede generar un impacto eh<br>desastroso el punto de vista de la<br>integridad Entonces cuando uno<br>identifica los riesgos hay riesgos<br>internos en las corporaciones y también<br>hay riesgos externos dentro de los<br>internos obviamente vimos que está de la<br>el desconocimiento de regulación la<br>falta de de preparación y cultura y<br>capacitación procesos inadecuados y<br>tercerización sin delegación y los<br>externos Acá está cuando uno habla de<br>dispersión normativa Aquí está por<br>ejemplo las multas del proyecto ley de<br>datos en lo que dice el cnac la agencia<br>de ciberseguridad la ley de delitos<br>económicos la ley fintec la ley de<br>delitos informáticos dentro de alguno de<br>los elementos consecuencia aquí tenemos<br>la confluencia de reguladores el<br>principal objeto yo creo de la comición<br>mixta lo que debiera pensar también es<br>poner alguna Norma de coordinación<br>porque tener por ejemplo a una empresa<br>de retail que tiene actividad financiera<br>actividad de consumo y maneja base de<br>datos tendría cuatro reguladores para un<br>mismo tema la agencia de ciberseguridad<br>la eh el cnac la agencia de protección<br>de datos Y obviamente también la cmf en<br>cuanto eh corresponde En consecuencia se<br>va a requerir una norma de coordinación<br>la acumulación de sanciones yo ya lo<br>dije lo que se puede instalar hay que<br>identificar oportunidades sepan ustedes<br>que la la la la venta de de Twitter hoy<br>día ex uno de los puntos principales que<br>tuvo como piedra de tope se cerca de TR<br>meses la negociación no fue el precio<br>fue justamente la el formato de la<br>plataforma de datos entregable en<br>consecuencia hoy día una empresa con eh<br>una base de datos adecuada segmentada<br>tiene un nuevo activo valoriza y es muy<br>importante incluso permite crear nuevas<br>unidades de negocio que financien<br>probablemente otras actividades de<br>adecuación no eh y aquí se ponen algunos<br>elementos de Por qué es necesario<br>valorizar los datos para desarrollar<br>nuevos negocios para eficientar procesos<br>para segmentar eh segmentar Y proveer de<br>nuevos servicios digamos a a nuevos<br>ámbitos de de gestión muy repaso muy<br>rápido pero ya está adás porque ustedes<br>ya lo hicieron pero en queé está la<br>mixta lo que está en verde lo que se ha<br>discutido lo otro lo que está está<br>pendiente Yo diría tal como lo dije al<br>principio los temas más complejos van a<br>quedar para el final eh Y Finalmente<br>solo para decir esto y aquí termino eh<br>Un par de eh eh recomendaciones de por<br>ejemplo eh crear un informe de brechas<br>extern creo que siempre es importante<br>una mirada de afuera de la corporación<br>porque que necesitamos dentro de<br>nuestras corporaciones estamos<br>probablemente subsumidos en una en una<br>en una vorágine que no nos permite<br>advertir una mirada eh externa para que<br>fije parámetros vea Cuáles son las<br>brechas para decir cuál es el T subcero<br>como decen los ingenieros Cuál es el<br>punto de partida dónde estoy qué es lo<br>que tengo Cuáles son mis riesgos Cuáles<br>son mis brechas de incumplimiento y<br>luego de eso temporalizar digamos Cuáles<br>son las modificaciones que hay qui<br>haciendo de acuerdo a los niveles de<br>urgencia o importancia No es cierto<br>revisión de procesos Esto no es solo<br>contratos también es contratos también<br>son cláusulas contractuales pero también<br>son procesos y flujograma de datos No es<br>cierto los riesgos de ciberseguridad los<br>software de comunicación interna el<br>organigrama de distribución de<br>responsabilidades no solo debe ser<br>pensado en función de la ley de<br>protección de datos sino también de la<br>ley de delitos económicos porque<br>evidentemente un po tiene un grado de<br>responsabilidad mayor eh por<br>infracciones en materia de protección de<br>datos Y si no tiene cortafuegos Podría<br>eh generar una cadena de<br>responsabilidades eh ascendentes lo cual<br>obviamente hay que tratar de evitar Cómo<br>enfrentar enfrentar los cambios<br>capacitación y distinguir la<br>capacitación es completamente distinto a<br>aquellos que participan de los procesos<br>de los que no participan y también los<br>niveles que participan administrativo<br>directivo y estratégico típico ejemplo<br>Nosotros hemos hecho cuatro cursos de<br>capacitación me dijo el otro día una<br>persona una empresa grande eh Mis<br>funcionaros están todos muy a caballo lo<br>que vi la nueva ley del nuevo estándar<br>yo le digo le agradezco mucho pero usted<br>me invitó esta charla y yo entré y el<br>Guardia me pidió todos mis datos me<br>pidió una fotocopia de carne identidad y<br>no me dijo ni para qué era Ni cuánto<br>tiempo lo iba a almacenar no había un<br>documento que lo acreditara En<br>consecuencia incorporen la próxima<br>capacitación también al guardia que sepa<br>que tiene que informar la finalidad de<br>la del registro el tiempo duración y el<br>proceso de de eliminación así así de<br>simple elementos prácticos hay que<br>buscar compromiso del directorio<br>entender que hay riesgos reputacionales<br>y riesgos de sanciones acumulativas que<br>pueden ser comillas cuasi expropiatorios<br>si uno las va sumando y por tanto es muy<br>importante hacerlo es de esa forma<br>eh caso práctico caso práctico eh una<br>empresa irrumpe los medios anunciando la<br>implementación de desarrollos inhouse de<br>Inteligencia artificial para facilitar<br>la gestión diaria y optimizar las<br>prestaciones iones que reciben los<br>consumidores pregunta se informó los<br>consumidores Cuáles datos fueron<br>utilizados para entar los modelos Cuál<br>sería la injerencia del dpo existe la<br>posibilidad de oponerse a tratamiento<br>automatizado algo dijo el proyecto de<br>ley y último caso para que se den cuenta<br>que no solo las empresas de tecnología o<br>del retail o financieras tienen que<br>adecuarse acá tenemos un caso laboral<br>todos tenemos trabajadores bueno Qué<br>pasa si un empleado justifica una<br>asistencia por la enfermedad de un hijo<br>dónde queda esa licencia médica en el<br>mismo repositorio quién tiene acceso a<br>la licencia médica puede el jefe conocer<br>la enfermedad específica del hijo<br>tratándose de un niño niña y adolescente<br>datos especialmente protegido y una<br>enfermedad datos sensible bueno Estos<br>son algunos de los desafíos que yo creo<br>que son muy importantes de IL lucidar<br>por ahí están las recomendaciones se las<br>dejo ustedes las vean y finalmente les<br>agradezco mucho y Disculpen haberme<br>pasado un poquito en el<br>tiempo Muchas gracias Felipe por la<br>presentación le vamos a dar el pase a<br>magarena eh Macarena si nos escuchas sí<br>les escucho ustedes me escuchan superb<br>Ah ya me voy a desconectar Entonces el<br>celular para no tener eh acople de los<br>dos partes ya<br>eh Mientras tanto le doy las gracias por<br>por la invitación nuevamente Creo que<br>estas son las instancias eh que<br>necesitamos Ah para poder ver cómo<br>implementamos la norma eh Cuáles son los<br>cambios que los procesos van a necesitar<br>e en las empresas voy a compartir y<br>cuando hablo de empresa en realidad<br>debería hablar de organizaciones Ah eso<br>es bien bien<br>importante parece que no puedo<br>compartir Ya Muchas gracias Rodrigo hoy<br>día he tenido todos los problemas de de<br>tecnología que pueden que uno puede<br>tener cuando se va a conectar a un zoom<br>y y en realidad eso significa que que la<br>tecnología tiene riesgo ya y como decía<br>Felipe aquí hay riesgos reputacionales<br>de por medio También tenemos riesgos<br>operacionales y y también riesgos<br>normativa<br>eh ahí se ve no sí lo ven bien ustedes<br>cierto Sí ya si quieres pasamos no más<br>hacia adelante<br>e vamos quiero abordar tres temas<br>respecto a protección de datos pero la<br>implementación de la nueva regulación<br>Rodrigo Si quieres pasa nás a<br>siguiente<br>eh Y antes de entrar a los tres temas eh<br>un amigo que tenemos en común con Felipe<br>hizo un informe cristián maulen a través<br>de de Data triden cierto de customer<br>Trigger todos los años hace un informe y<br>creo que esto es muy relevante y muy en<br>línea con lo que comentaba Felipe<br>fíjense que el 80% de los líderes<br>encuestados que son empresas en general<br>chilenas es decir que prestan productos<br>o servicios en Chile consideran entonces<br>que los datos son importantes para su<br>organización 66 de los líderes afirman<br>que crecerán las inversiones y el 50% de<br>las empresas están avanzando en<br>prácticas de Data driven es decir sus<br>decisiones están basadas en datos Ahora<br>cuando este informe hasta este punto<br>habla de datos en términos generales<br>cierto pueden ser datos que No<br>necesariamente son datos personales<br>pueden ser datos productivos sujetos a<br>secretos comerciales vamos a la<br>siguiente<br>aquí viene el tema que a mí me preocupa<br>Ah y perdón que me ocupa me ocupa de<br>lunes a domingo ya a esta altura e el 21<br>21,8 por de Los profesionales<br>encuestados declara tener conocimiento<br>del proyecto de ley 21 y veníamos de un<br>70 y tanto por que considera que es<br>importante los datos es decir que hoy<br>día es un activo relevante tener datos<br>en la compañía el 53,3 de los líderes<br>empres seriales declara hacer uso<br>responsable los datos esto Esta es la<br>situación país y esto es lo que nos<br>debería es tener ocupado si si ocurre<br>que el proyecto de ley se aprueba eh<br>este semestre eh tenemos dos años para<br>aquellas organizaciones que no han<br>comenzado a trabajar de adecuar sus<br>procesos ya y pueden haber cambios<br>importantes en la forma de hacer los<br>negocios ya ahora sí eh les quiero ya<br>que que ya llamé la atención Ahora les<br>voy a les voy a comentar Tres puntos<br>relevantes eh En cuanto a la<br>implementación de la ley uno es el<br>consentimiento que Felipe ya lo mencionó<br>las fuentes de acceso público un cambio<br>importante eh que todavía no está<br>zanjado porque hay eh es de las materias<br>que va a revisar la comisión mixta y<br>luego de gestión de riesgo vamos con el<br>consentimiento<br>entonces la siguiente por favor ya eh el<br>proyecto de ley a diferencia la ley<br>vigente Define el consentimiento no Se<br>los voy a leer porque está ahí Ah Esta<br>es la definición que está en el artículo<br>2 letra p del proyecto de ley pero<br>quiero que levantemos las<br>características más importantes que es<br>esta voluntad libre específica Gracias<br>Expreso libre informado específico<br>previo e inequívoco y me voy a referir a<br>un a una característica que creo que es<br>el cambio más sustancial en cuanto a la<br>implementación ya eh Hay cambios bien<br>importantes en cuanto a los inequívocos<br>cierto y que sea previo eh pero me voy a<br>me voy a pronunciar respecto del libre<br>ya de esta característica que tiene que<br>ser un consentimiento libre y Qué se<br>entiende cuando un consentimiento eh es<br>libre y aquí voy a me voy a acordar de<br>de lo que decía Felipe cuando era<br>senador Y decía que esto atenta cierto<br>contra lo que es la venta atada y el<br>proyecto de ley específicamente señala<br>cuando Se presume que este<br>consentimiento no ha sido libremente<br>otorgado y es precisamente cuando<br>solicitamos un consentimiento que va más<br>allá de la finalidad que va en el<br>producto servicio que eh la persona está<br>requiriendo y voy a poner un ejemplo<br>bien simple estoy en línea y voy a<br>cotizar no sé eh un crédito ya y hoy día<br>la ley permite que podamos tener una<br>política de privacidad que contenga un<br>consentimiento específico pero que va<br>con todas las finalidades en un solo<br>consentimiento<br>eso de acuerdo al proyecto de ley cierto<br>eh sería un consentimiento con una venta<br>atada porque yo le estoy solicitando un<br>consentimiento para un tratamiento de<br>datos que va más allá de la cotización<br>por ejemplo no sé eh enviarle<br>comunicaciones promocionales de otros<br>productos él está cotizando Solamente él<br>o ella está cotizando solamente un<br>crédito pero aquí le estamos otorgando<br>solicitando un consentimiento de una<br>amplitud mucho mayor que ha sido<br>específica el tema está en que la ley<br>vigente hoy día lo permite ya y este es<br>el cambio en qué se traduce esto<br>materialmente y vamos al slide siguiente<br>en un consentimiento granular y en un<br>centro de preferencia ya A qué nos<br>referimos con consentimiento granular<br>Macarena Gatica entra al sitio de este<br>proveedor de servicio financiero y y va<br>a solicitar un la cotización de un<br>crédito y le van a tener que dar las<br>distintas opciones en cuanto al<br>tratamiento de datos recordemos Qué es<br>la protección de datos la protección de<br>datos es que nosotros podamos disponer<br>de nuestros datos salvo excepciones<br>cierto yo no le puedo decir al registro<br>civil No registre mi matrimonio o<br>elimino un matrimonio porque Obviamente<br>que hay excepciones legales pero frente<br>a estas situaciones la persona debe<br>tener la libertad para poder decir qué<br>consentimiento o qué tratamiento de<br>datos va a autorizar ahora esto implica<br>un centro preferencia esto es el<br>estándar europeo y es el estándar que<br>vamos a tener si Dios quiere en dos años<br>y algo más ya entonces eh parece muy<br>fácil de cara al consumidor al titular<br>del dato darle estas opciones sin<br>embargo esto requiere un gran ejercicio<br>al interior de la compañía Para poder<br>cumplir las preferencias que esa persona<br>otorgó hoy día a veces nos preguntan<br>usted quiere que nos comuniquemos con<br>usted por correo electrónico por<br>WhatsApp por por teléfono y uno da la<br>opción y la y esa compañía que recibe<br>esa información solo nos contacta por<br>esa vía bueno Esto es más o menos<br>similar pero es un mundo mucho más<br>amplio dentro de la compañía y que va<br>muy relacionado con gobierno de datos de<br>manera de tener las bases de datos<br>identificadas Y también etiquetadas los<br>datos de manera de poder ir eh creando<br>reglas de uso de los datos en base a las<br>finalidades y a los consentimientos<br>dados<br>vamos a la<br>siguiente las fuentes de acceso público<br>y la siguiente por<br>favor bueno Esto Aquí hay un cambio<br>sustancial<br>eh la ley<br>19628 define las fuentes de acceso<br>público como los registros<br>recopilaciones de datos personales<br>públicos o privados de acceso no<br>restringido es decir son aquellos sitios<br>donde nosotros podemos rescatar<br>información de titulares de datos como<br>por ejemplo podría ser el registro civil<br>el registro comercio y yo siempre digo<br>que la gran fuente de acceso público es<br>internet si ustedes ingresan y ponen<br>macar domicilio Macarena Gatica que el<br>otro día me lo hicieron en una charla y<br>me dic Macarena tú vives en tal<br>dirección no ya no vivo ahí y esa<br>información la sacaron del servel porque<br>yo no yo no no he actualizado el<br>domicilio Ya<br>e entonces uno podría decir que esas son<br>las fuentes de acceso público hoy día la<br>ley los considera una excepción al<br>consen ento eh podríamos decir que es<br>una base licitud por sí sola el momento<br>de que yo capture esta información de<br>una fuente de acceso público yo la puedo<br>tratar y es una excepción a la finalidad<br>yo puedo destinarlo a cualquier<br>finalidad pensemos en los en los web<br>scrapping que se hacen de diferentes<br>bases de datos o de sitios web Cuál es<br>el cambio sustancial que hay que deja de<br>ser una base de licitud y está regida<br>por el principio de finalidad ya por lo<br>tanto yo requiero una base de licitud<br>para poder tratar datos de fuentes de<br>acceso público voy a poner un ejemplo si<br>yo publico mi auto en Chile autos y<br>pongo público el teléfono ese teléfono<br>mi dato personal que está público la<br>finalidad Cuál es Es que ustedes me<br>llamen para comprarme mi auto y no para<br>que alguien tome el teléfono y después<br>por ejemplo me ofrezca no sé eh un<br>servicio de limpieza de ventana<br>ya Y esto es un cambio<br>sustancial y generalmente las bases de<br>acceso público van a ser tratadas en<br>virtud del interés legítimo y como dijo<br>Felipe el interés legítimo es una base<br>de licitud excepcional y fundada no es<br>El Bolsón del payaso donde yo voy a<br>tomar mis bases de datos voy a decir<br>todas estas no tienen consentimiento<br>bueno no tien ley ni consentimiento ni<br>contrato Ah las voy a tirar aquí el<br>interés legítimo no requiere un interés<br>cierto un interés superior por el cual<br>yo estoy tratando estos datos Y debo<br>además sujetarme a la finalidad de esa<br>base de datos Ya por lo tanto no sería<br>lícito que pudieran enviarme correo<br>cierto Perdón mensajes de texto o<br>WhatsApp ofreciéndome la limpieza de las<br>ventanas cuando la finalidad era la<br>venta del auto esto es clave y esto es<br>un punto que no está zanjado como les<br>dije estea que va a ser tratado en en la<br>comisión mixta y y cuál es Cuál es la<br>razón digamos Dónde está la discusión<br>porque obviamente hoy día la protección<br>de dato desde el 2018 es un derecho<br>fundamental cierto y por lo tanto no<br>debiese ser vulnerado y deberíamos<br>tender cierto a respetar este derecho<br>ahora bien existen ciertos casos d que<br>hoy día eh las la la información que<br>accedemos de bases de acceso público<br>tien una importancia sustancial en la<br>situación que hoy día vimos como país me<br>estoy refiriendo a todo lo que es<br>compliance fuentes de acceso público<br>delitos eh los delitos económico y<br>también por ejemplo relacionados con el<br>cibercrimen Y qué información podemos<br>disponer hoy día estamos en una<br>situación sumamente complicada porque eh<br>estas normas cierto<br>eh protegen un derecho un derecho<br>fundamental una garantía constitucional<br>y por proteger otro bien que podría ser<br>la seguridad pública Vamos a entrar a a<br>colisionar normas<br>eh lo comentaba en en octubre del año<br>pasado en en un congreso en Europa<br>Entonces los europeos me decían pero<br>Macarena por ningún motivo e y pero<br>nosotros estamos en una situación<br>bastante distinta en cuanto a seguridad<br>pública Ya por lo tanto eh creemos que<br>esto requiere un un mayor análisis<br>respecto de de qué casos se podrían<br>llegar a hacer eh uso de fuentes de<br>acceso público para una finalidad quizás<br>distinta a aquella de la cual eh nace<br>esta fuente propiamente tal Ya Entonces<br>esto es un tema que no lo dejen de de<br>tener en el radar y hoy día la fuentes<br>de acceso público estos datos se<br>utilizan para diversas cosas Ah y yo no<br>digo que no deba existir un límite a ese<br>uso pero sí tener presente la situación<br>país que tenemos respecto del crimen<br>organizado vamos a la siguiente me voy a<br>apurar para que tengamos espacio para<br>preguntas gestión de riesgo y aquí el<br>proyecto de<br>ley tiene un una norma expresa Ya esto<br>es riesgo en términos generales como yo<br>les decía al principio tenemos riesgo<br>como la contingencia la probabilidad de<br>que algo ocurra el riesgo operacional<br>que algunas industrias lo tienen en el<br>ADN como puede ser por ejemplo eh un<br>prestador de salud eh servicios<br>financieros cierto donde hay un ente<br>regulador que se preocupa las compañías<br>seguro también cierto que se preocupa de<br>este riesgo operacional porque el<br>incumplimiento o este riesgo si ocurre<br>puede llevar a que no se pueda prestar<br>eh el producto o servicio y luego<br>tenemos un riesgo normativo que viene<br>asociado cierto con los perjuicios que<br>puede causar un cumplimiento normativo<br>hay veces que se pueden producir<br>operacional y normativo a la misma vez<br>ya vamos a la siguiente est es un esto<br>es un ecosistema simple de lo que pasa<br>en el día a día con cuando nosotros eh<br>entregamos nuestros datos cuando las<br>organizaciones tratan nuestros datos<br>tenemos un responsable que es aquel<br>cierto que decide que se hace con los<br>datos nos ha pedido el consentimiento o<br>bien invoca otra base de licitud puede o<br>no tener un dpo cierto un Data<br>protection officer o un delegado de<br>protección de datos Existen varios<br>encargados de tratamiento de datos que<br>son aquellos que tratan datos e por<br>cuenta del responsable y además hay<br>empresas relacionadas con las cuales ya<br>sea que el titular entregó la empresa<br>relacionada y luego se da la vuelta<br>hacia la empresa principal que aparece o<br>vi Versa ya esto Generalmente es un les<br>insisto esto es un ecosistema simple de<br>la situación en la que nos encontramos<br>cuando vamos a hacer gestión de riesgo y<br>el riesgo no se acaba en el responsable<br>el encargado de tratamiento de datos<br>Está en nuestra línea de producción y<br>por lo tanto también lo tenemos que<br>considerar en el análisis de<br>riesgo vamos a la siguiente por favor ya<br>Estos son tres personajes que debiesen<br>existir en una organización y que<br>deberían tener roles independientes Y<br>por qué no pueden ser los mismos porque<br>es un conflicto de interés Y eso la ley<br>lo dice usted ipo usted puede tener<br>otras funciones sin embargo que no sean<br>un conflicto de interés estas tres<br>personajes si bien son roles<br>independientes sí actúan coordinadamente<br>y es muy importante que este eh Chief<br>Data officer cierto el de gobierno de<br>dato tenga la asesoría del dpo cierto de<br>manera o de alguien externo de manera<br>que cuando organiza los datos al<br>interior de la compañía que sean datos<br>de calidad que estén disponibles hayan<br>tenido la mirada de protección de datos<br>de lo contrario van a estar muy<br>ordenados pero con un riesgo latente que<br>no consideró la ley de protección de<br>datos siguiente por<br>favor Y esto es lo que les decía el<br>proyecto de ley viene con una mención<br>expresa los responsables de datos deben<br>adoptar acciones destinadas a prevenir<br>la comisión de infracciones a mí me<br>gusta más hablar en positivo deben<br>adoptar acciones para el cumplimiento de<br>la ley Entonces estamos hablando una de<br>una conducta proactiva y preventivas no<br>como ahora que generalmente matamos<br>incendios cierto porque no hemos tenido<br>cultura de protección de datos Y esto<br>significa que ti de haber una debida<br>diligencia Tenemos que tener una cultura<br>de evidencia para poder acreditar ante<br>la agencia de protección de datos cuando<br>nos venga a fiscalizar que algo hemos<br>hecho para poder prevenir acciones o<br>asegurar el cumplimiento de la norma<br>siguiente por<br>favor así tal como lo decía Felipe el<br>proyecto de ley contempla la posibilidad<br>de que una organización tenga un modelo<br>de prevención de infracciones no es<br>obligatorio es facultativo tiene que ser<br>certificado es un atenuante en caso de<br>infracción y tiene que ser un<br>instrumento vivo es decir a qu nos<br>referimos con un con un instrumento vio<br>tiene que ser uno representar la<br>realidad de esa compañía de esa<br>organización no copien el el plan de<br>cumplimiento el modelo de prevención que<br>hizo otra empresa porque no se va a<br>adecuar a sus procesos tiene y además<br>las organizaciones lo hacen suyo cuando<br>reconocen elementos propios y han<br>participado en la generación de este<br>documento ya Entonces tenemos que<br>capacitar tenemos controles tenemos<br>auditorías para ver cómo está<br>funcionando nuestro plan les voy a poner<br>un ejemplo e en el caso de la colusión<br>de los supermercados caso de los pollos<br>fíjense que la la fiscalía nacional<br>económica le dijo a dos de los tres<br>supermercados sus modelos de<br>cumplimiento no son creíbles es decir<br>estaban escritos Pero no eran vivos ya<br>Entonces tenemos que ir generando estas<br>cultura de cumplimiento la vigencia de<br>estos modelos es de 3 años y pueden ser<br>revocados por la agencia e por<br>determinadas causales que no voy a<br>entrar en detalle para poder avanzar un<br>poquitito más e en cu al contenido del<br>programa lo vamos a pasar bien rápido<br>Este programa de cumplimiento uno tiene<br>que tener un delegado de protección de<br>datos tiene que tener obviamente definir<br>los medios las facultades con que cuesta<br>el encargado Qué tipo de información<br>trata la compañía el ámbito territorial<br>naturaleza plazos de caducidad<br>características de los titulares de<br>datos Porque no es lo mismo tratar que<br>seamos un colegio y que estamos tratando<br>datos de menores de edad hacer por<br>ejemplo un bar cierto donde son<br>supuestamente tod mayores de edad<br>eh también vamos a identificar los<br>procesos las actividades y esto es lo<br>que generalmente llamamos un registro de<br>actividades de tratamiento de datos eh<br>partimos con una matriz de riesgo un<br>registro de actividades de tratamiento<br>de datos que se va a ir adecuando cierto<br>y complementando en la medida que la<br>compañía va creando nuevos procesos<br>también vamos a considerar el modelos o<br>instrumentos que permiten gestionar el<br>riesgo que son los p privacy Impact<br>assessment o Data privacy Impact<br>assessment vamos a crear reglas<br>protocolos procedimientos destinados a<br>qué a prevenir las infecciones Pero cómo<br>las vamos a prevenir básicamente Es que<br>la compañía la organización tiene que<br>tener un músculo que permita una<br>estructura gestionar el riesgo<br>eh Y obviamente que tienen que haber<br>sanciones si alguien se porta mal cierto<br>yo el otro día le ponía un ejemplo a a<br>un cliente que estábamos viendo el<br>proceso sanon yo le decía Mira si tú le<br>falsificas la firma a tu papá una vez y<br>se daban cuenta y no te hacían nada Qué<br>hacías tú no importa vamos falsificando<br>La Firma para no ir al colegio<br>nuevamente esto es básicamente lo mismo<br>Qué hizo usted cuando se dio cuenta que<br>alguno de sus trabajadores no no estaba<br>incumpliendo las normas internas de la<br>compañía ya siguiente por favor las<br>regulaciones de los modelos cumplimiento<br>deben incorporarse a nivel de<br>obligaciones o prohibiciones en los<br>contratos trabajo y o reglamento interno<br>bien importante esto porque el<br>reglamento interno es el marco de que<br>nos rige cierto en temas laborales Y que<br>además es establecer proceso<br>sancionatorio entonces de aquí yo me voy<br>a colgar para decir Bueno usted no<br>cumplió con esto Estas son las distintas<br>sanciones que contempla el reglamento<br>interno<br>siguiente entonces Este es un flujo bien<br>fácil dictamos normas internas no se<br>trata solamente de publicarlas tenemos<br>que capacitar a las personas y<br>reforzarlas luego vamos a auditar en<br>cuanto a su cumplimiento y luego vamos a<br>ver si con es necesario serc mejoras<br>puede que el procedimiento no fue lo<br>suficientemente idóneo para poder<br>prevenir infracciones o asegurar el<br>cumplimiento de la Norma y bien<br>Tendremos que sancionar aquellas<br>personas que corresponda fíjense que<br>ayer e haciendo una capacitación alguien<br>me decía no te preocupes Rodrigo si<br>quieres darle no más pas y yo me apuro e<br>me decía es que Macarena el jefe me dice<br>que que él lo iba a ver con la persona<br>que no cumplió con la política y yo le<br>dijo Le dije no si el jefe está<br>dispuesto a dejarlo pasar que se haga<br>responsable que firme el papelito en la<br>medida que las responsabilidades son<br>personales va cambiando la orientación y<br>de alguna manera reforzando el<br>cumplimiento a la Norma recomendaciones<br>fáciles capacitar establecer una<br>gobernanza deed<br>levantamiento de proceso lo que decía<br>Felipe Necesitamos saber dónde estamos<br>bien y dónde estamos mal dónde están<br>nuestras brechas Cómo va a cambiar el<br>negocio en estos dos años que nos quedan<br>es decir en el día uno que entra a regir<br>la ley qué voy a hacer con esos datos<br>que quizás tengo que no tienen<br>consentimiento implementar modelos lo<br>que les decía este músculo que permita<br>gestionar los riesgos marco legal<br>reglamento interno contrato trabajo y<br>demás políticas internas y luego<br>sanciones anti incumplimiento<br>yo creo que terminé si hablé muy rápido<br>me perdonan y ahí está mi dato<br>personal para que tengamos tiempo para<br>para preguntas Muchas gracias magarena<br>por la presentación voy a dejar de<br>compartir antes de irnos las preguntas<br>muy rápidamente les vamos a hacer<br>nuestra presentación para contarles en<br>qué estamos s Yo estoy acá buscándola<br>que se me desconfiguró Acá está<br>eh<br>presentar y compartir<br>acá y í estamos entonces bueno Qué es<br>ley de datos ley de datos es un software<br>as a service o un software para el<br>cumplimiento normativo de la ley de<br>protección de datos personales Y por qué<br>nace ley de datos nosotros identificamos<br>tres problemas principales primero el<br>registro manual o sea cuando uno levanta<br>los procesos la primera respuesta<br>probablemente entas responderlos y<br>llenarlos en Excel Pero quién tiene<br>acceso a ese Excel quién lo respondió<br>qué no qué dejamos en blanco quizás en<br>ese Excel y luego también vimos que hay<br>unos cambios regulatorios dinámicos o<br>sea está bien se publica la ley pero va<br>a haber un reglamento después van a<br>haber distintos dictámenes o normativas<br>que haya en el camino cambiando este<br>tipo de documento Entonces cuando uno<br>tiene un Excel tendría que actualizar<br>toda la sábana en vez de tenerlo en un<br>software y solamente llenar los datos<br>importantes y finalmente vimos que hay<br>múltiples usuarios o sea esto no va a<br>ser solo el área legal sino también va a<br>estar el área de datos por ejemplo<br>entonces quién tiene acceso a qué quién<br>puede editar quién quién hizo el control<br>o sea Quién hizo el último cambio<br>entonces también es importante<br>identificar ese control de cambios y por<br>ha por eso noce ley de datos con<br>distintas soluciones les presento acá<br>les voy a comentar brevemente las cuatro<br>más importantes una que es el mapeo de<br>datos que es Identificar y documentar<br>todo el flujo de datos en la<br>organización el segundo que es el<br>registro de actividades de tratamiento<br>que nos permite tener un listado<br>detallado de las operaciones de datos<br>que que estamos realizando la evaluación<br>de impacto que finalmente es un análisis<br>de los riesgos que estamos haciendo o o<br>o tocando al sujeto de datos y que<br>tenemos que ver si estamos vulner<br>vulnerando alguno de sus derechos y<br>finalmente el risk insight que nos<br>permite tener un mapa en tiempo real de<br>Qué cosas nos faltan Qué documentos<br>quizás no hemos llenado Y qué cosas<br>quizás deberían estar llenadas y por<br>ejemplo no hemos llenado como la base<br>licitud Entonces si alguien quiere ver<br>la presentación eh les voy a dejar mi<br>correo Rodrigo @at com también nos<br>pueden agendar por el calendi y la<br>invitación también a seguirnos en<br>linkedin en ley de datos para enterarse<br>de todas las novedades respecto a El<br>Avance legislativo y ahora sí los voy a<br>dejar con Macarena Ignacio para que<br>podamos responder algunas<br>preguntas Muchas gracias Rodrigo Muchas<br>gracias Macarena por tu presentación eh<br>También agradecerle a Felipe por su<br>presentación que tenía otro compromiso a<br>continuación así que no se pudo quedar<br>con nosotros para las preguntas eh pero<br>Macarena está disponible para poder<br>responder a todas sus dudas hay muchas<br>preguntas<br>eh agradezco también el interés porque<br>se nota que hoy en días cada vez está la<br>gente más enterada de de estos temas<br>entonces cada vez están un poquito más<br>detalladas las preguntas eh traté<br>agruparlo un poco para por concepto para<br>tratar de agrupar todas eh Hay una<br>pregunta hay varias preguntas referente<br>a datos de fuentes públicas<br>eh Qué pasa Qué establece la ley<br>respecto de cuando se obtiene un dato de<br>una fuente pública Quiénes pueden<br>utilizar esos datos Y también vincular<br>un poquito esto con aquellas empresas<br>que se dedican a vender datos o a ceder<br>datos a terceros como parte de su<br>negocio qué va a pasar con ellas que<br>tienen que tener en cuenta un poquito Si<br>nos puede explicar esos dos aspectos Sí<br>hoy día como lo dije la ley vigente<br>establece como una excepción al<br>consentimiento las fuentes de los datos<br>que obtenemos de F fentes de acceso<br>público Entonces el tratamiento que yo<br>hago de ello eh podríamos decir que la<br>base licitud es la ley cierto que me<br>autoriza a tratarlo y lo puedo destinar<br>para cualquier finalidad pasa a ser una<br>excepción al consentimiento como también<br>al principio de finalidad ya eh y por lo<br>tanto las empresas que es nos proveen de<br>estas bases de datos lo que hacen es de<br>alguna manera agruparlas organizarlas<br>para tener un mejor acceso en vez de que<br>yo esté con Root por Root cierto al<br>registro civil o al código comercio<br>Perdón código al registro comercio lo<br>hacen en forma más automatizada cierto<br>Entonces es un negocio totalmente lícito<br>estamos hablando de datos de fuentes de<br>acceso público e el cambio sustancial es<br>el que les digo deja de ser una<br>excepción al<br>consentimiento en términos simples<br>requiero de una base licitud Entonces<br>algo voy a tener que hacer cierto si yo<br>quiero seguir tratando estos datos eh<br>buscaré un consentimiento o el interés<br>legítimo por ejemplo para efectos de de<br>cumplimiento el tema está en que eh hoy<br>día Yo puedo obtener esos datos y<br>destinarlos absolutamente cualquier<br>tratamiento de datos cualquier finalidad<br>que se me ocurra sin embargo cuando yo<br>obtengo pensemos en el registro<br>civil Por qué nace el registro civil ya<br>eh la el registro civil nace<br>eh Porque eh el control de Quiénes<br>nacían quién se casaba y quienes morían<br>lo tenía la iglesia estoy hablando en<br>1800 ya ni me acuerdo cuá es la ley de<br>matrimonio civil y ahí nace pero no es<br>para que nosotros por ejemplo lo<br>destinos para no sé segmentar estoy<br>estoy inventando voy a mutear Aquí hay<br>una persona que lo tiene ahí sí<br>eh Entonces tenemos que pensar en esa<br>finalidad llévenlo al ejemplo burdo que<br>yo les puse de chile autos ya de que yo<br>publico mi auto en Chile autos para que<br>yo lo venda ese dato no lo debiese<br>captar cualquiera sino solamente para<br>que me llamen para la compra del auto es<br>un cambio sumamente importante Ya en<br>compliance Obviamente que podría ir<br>ligado a un interés legítimo nuevamente<br>esto requiere ser fundado y como lo dijo<br>Felipe no tenemos jurisprudencia el<br>interés legítimo no aplica en chile no<br>ha aplicado nunca en Chile por lo tanto<br>también Vamos a esperar un<br>pronunciamiento en la agencia pero lo<br>importante es que a lo menos empecemos a<br>hacer el ejercicio de dos cosas qué<br>datos de fuente de acceso público<br>tenemos para qué los estamos usando si<br>dice o no relación con la finalidad de<br>la base donde yo lo obtengo y de manera<br>de ir etiquetándonos y también<br>determinando su uso y cómo cambia mi<br>negocio y eventualmente ir trabajando en<br>sí puedo hacer un fundamento de eh Para<br>poder llegar a concluir que podría<br>basarse en el interés<br>legítimo Muchas gracias Macarena<br>efectivamente la importancia de<br>documentar y registrar De dónde se<br>obtuvo ese dato no basta con que estaba<br>publicado en internet y la evidencia o<br>nunca en eso que para estos sistemas nos<br>ayudan a eso a poder tener la<br>documentación y no estar buscando cuando<br>nos vengan a<br>fiscalizar exactamente y por eso mismo<br>herramientas que puedan solucionar ese<br>tipo de circunstancias pueden ser muy<br>útil Mira hay una pregunta relacionada<br>con las tarjetas de crédito<br>que me llamó bastante la atención porque<br>uno Generalmente otorga la los datos de<br>la tarjeta de crédito y la tarjeta de<br>crédito tiene tu nombre también y una<br>información también eh que se puede<br>vincular a la persona Pero cuál es la<br>fuente de licitud detrás de las empresas<br>que yo le estoy entregando mi tarjeta de<br>crédito el consentimiento hay un interés<br>legítimo en qué sentido cuando yo lo<br>pago cuando yo pago con mi tarjeta de<br>crédito en ese sentido cuando yo entrego<br>los datos de mi tarjeta de crédito a una<br>empresa o a un medio de pago s eh Y<br>ellos se quedan con esa información a<br>ver en ese caso estamos entrando por<br>ejemplo ya yo voy a entrar a un retail y<br>compro algo y luego cae una plataforma<br>de pago que generalmente no es el mismo<br>proveedor el que me está vendiendo los<br>zapatos que donde yo pago cierto<br>Generalmente cargo caigo en una<br>plataforma de pago esa plataforma de<br>pago en estricto rigor es algo que me<br>pid un consentimiento distinto solamente<br>puedo usar esos datos para el pago del<br>producto y servicio está en ese marco ya<br>que claro nosotros no tenemos contrato<br>como tal como base de licitud por lo<br>tanto es la ley que regula eh el uso de<br>tarjetas como medio de pago cierto<br>porque necesariamente yo le tengo que<br>entregar el número de la tarjeta ya es<br>en en Europa se habla de un<br>consentimiento perdón de un<br>consentimiento necesario eh Y aquí hay<br>un tema porque originalmente nuestro<br>proyecto de ley contemplaba que para el<br>tratamiento de datos personales el<br>consentimiento tenía que ser inequívoco<br>y para datos sensibles tenía que ser<br>Expreso había una diferencia hoy día no<br>se modificó y quedaron Exactamente igual<br>los dos entonces para ambos casos para<br>el tratamiento un dato personal puro y<br>simple con como con un dato personal eh<br>sensible ya entonces yo tengo que<br>acreditar que eh que tengo un<br>consentimiento Expreso Entonces cuando<br>yo paso a la plataforma en algunos casos<br>Incluso el retail establece ese la<br>descripción del uso ese tratamiento de<br>datos en y ni siquiera en la política de<br>privacidad sino los términos y<br>condiciones señalando que es una<br>plataforma distinta y por lo tanto<br>cuando yo salgo del del mundo del<br>ambiente del retail y entro otro<br>ambiente todo lo que ocurre en el otro<br>ambiente es responsabilidad del otro ya<br>y fíjense que hay en algunos casos que<br>dice eh que si uno quiere que ese ese<br>proveedor digamos eh se quede con la<br>tarjeta de crédito se han fijado y viene<br>con un check como adicional cierto expro<br>entonces también es importante eso<br>porque en estricto rigor paga y luego<br>elimina el dato o solo lo guarda como<br>como un respaldo de la transacción no sé<br>cómo en realidad opera<br>bien y siguiendo un poco con el ejemplo<br>de la tarjeta de crédito eh que<br>considero yo que una de las grandes<br>novedades y avances de la del proyecto<br>de ley y de lo que ocurre fuera tema de<br>las brechas de seguridad Qué pasa si se<br>capturan un hacker obtuvo información de<br>esto de la tarjeta de crédito esto se<br>vende después en un mercado negro en en<br>páginas eh negras Y qué tiene que hacer<br>el responsable una vez que ocurre ocurri<br>una brecha de seguridad Cuál es su<br>obligación Buen punto a ver pensemos que<br>debió haber hecho porque Quizás lo hizo<br>Ah quizás empleó toda la debida<br>diligencia que tuvo en sus manos<br>atendido la naturaleza de datos que que<br>trataba cierto e porque es la naturaleza<br>los datos eh el estado la técnica es<br>decir en si yo tengo un un uso un<br>software y que va como la versión 20 y<br>yo tengo La 3.0 Obviamente que no voy a<br>tener todos los parches de seguridad y<br>eso es una negligencia ya Entonces<br>primero debió haber empleado la debida<br>diligencia para prevenir ya eh Y luego<br>cuando Ocurre algo cierto e dependiendo<br>de la industria no solamente quizás va a<br>tener que ir a notificar a la agencia de<br>protección de datos sino también eh<br>acabo ver que salió el pronunciamiento<br>del del tribunal constitucional de la<br>ley marco ciberseguridad la agencia<br>ciberseguridad si fuésemos un servicio<br>financiero la cmf Si fuéramos una caja<br>compensación Uf ya qué es lo que quiero<br>explicar con esto que y hasta Alguien<br>podría pensar que yo le debía saizar al<br>sennac que no está la obligación pero Eh<br>entonces hay distintos órganos eh de<br>control que podrían estar supervisando<br>no Respecto a los cuales yo debiera dar<br>un aviso ahora eh el proyecto de ley no<br>es un aviso en términos generales ya<br>sino es un aviso eh En qué caso se debo<br>avisar a la agencia y a los titulares de<br>datos ya estamos hablando de datos<br>sensibles de menores de<br>edad Pero además de eso hay que contener<br>el daño cierto eh pensemos que esto es<br>como un incendio yo tengo que evitar que<br>esto se propague al resto de la<br>organización y tratar de salvar la<br>información de protegerla ya entonces<br>ahí hablamos muchas veces de eh de<br>comités de crisis de cómo operar cierto<br>vamos a tener que tener un Un<br>responsable no responsable de datos sino<br>una persona encargada de hacer el<br>contacto con la agencia si no tenemos un<br>tpo Bueno quién va a ser esta persona<br>que va a tener que dar aviso a a la a la<br>agencia correcto siempre tiene que haber<br>una persona responsable y tener muy<br>clara la la organización eh quiénes son<br>son suente reguladores como señalaste no<br>puede ser que no solo sea la agencia<br>exacto y no solamente eso Quién es el<br>responsable adentro de la compañía pasó<br>algo no nos podemos estar mirando la<br>cara entre todos nosotros diciendo Bueno<br>qué hacemos para dónde partimos ya eh<br>Por eso es importante tener estas<br>estructuras e y que ojalá nunca nos<br>ocurra pero tener estas estructuras que<br>permitan prevenir Y también cómo vamos a<br>operar si llega la<br>crisis Exacto veo que se conectó<br>Felipe Muchas gracias Felipe estás<br>disponible para una<br>pregunta Sí claro logré safar de la<br>reunión que tenía Así que no hay<br>problema Ah Excelente Muchas gracias e<br>creo que esta pregunta puede ir bien<br>dirigida para ti<br>respecto del uso de datos que realizan<br>universidades<br>e y no solo universidades colegios<br>jardines eh ahí distinguiendo un poquito<br>datos de menores datos de otras personas<br>eh qué contempla la ley la ley respecto<br>a estos temas Y qué tiene que<br>preocuparse también estas instituciones<br>educacionales yo distinguiría en primer<br>lugar entre más allá de de las<br>instituciones distinguiría en función de<br>nuevamente la criticidad del dato y la<br>ley Establece que los datos de niños<br>niñas y adolescentes que generalmente<br>llegan a los 18 años digamos a a a los<br>colegios pero podría ocurrir que haya un<br>niño niña adolescente de la universidad<br>perfectamente con 16 17 años La La La<br>regulación especial va a regir<br>persiguiendo a la persona no a la<br>institución a la cual pertenece primero<br>ya o sea cuando una universidad Me dice<br>Mire yo no necesito tener normas<br>especiales porque no son datos de niños<br>eh niñas y adolescentes yo le digo<br>cuidado porque probablemente puede tener<br>más de alguno digamos en su en su<br>establecimiento ahora respecto de eh<br>niños niñas y adolescentes la ley<br>establece una oría especial de<br>protección y por tanto<br>exige un estándar mayor en todos los<br>niveles de responsabilidad para<br>redundancia del<br>responsable<br>desde la captura el almacenamiento y<br>todo el flujograma de trabajo<br>tramitación de los datos al interior del<br>establecimiento y exige también un<br>conjunto de<br>condiciones para el tratamiento de estos<br>datos de mayor seguridad y mayor<br>confidencialidad dado que se entiende<br>que al no tener la capacidad de defensa<br>personal de los niños niñas adolescentes<br>y adicionalmente al entender que una<br>eventual filtración o mal uso de esos<br>datos puede generar un daño aún mayor se<br>establecen grados mayores de<br>responsabilidad nosotros tenemos una<br>unidad especializada solo en educación<br>de hecho adecuamos colegios porque les<br>voy a contar un par de Par de<br>experiencias eh hemos estudiado colegi<br>y nos hemos encontrado con 178<br>contratos desde el contrato de<br>matrícula Perdón partiendo por la<br>postulación contrato de matrícula<br>asociación de padres cámara de<br>televigilancia sistema alimentación<br>transporte escolar eh el anuario el<br>derecho a la imagen los cobros O sea hay<br>un conjunto obviamente la comunidad<br>escolar desde el punto de vista de<br>padres apoderados pero también eh<br>docentes rgic docentes régimen de<br>responsabilidad etcétera Y la verdad es<br>que adecuar un<br>colegio es un proceso largo y complejo<br>por las particularidades que tiene y mi<br>percepción es que en general en chile no<br>hay mucha conciencia de ello todavía y<br>eso es un tremendo problema porque están<br>trabajando con datos altamente altamente<br>riesgosos debido como digo a su especial<br>naturaleza de<br>protección caso<br>colegio del sector Oriente de<br>Santiago una niña aparece en una red de<br>pederastas en Londres la foto que usan<br>es la foto del anuario de su<br>colegio quién<br>responde hay consentimiento<br>eh respecto del uso de la imagen primero<br>el consentimiento es válido si es de la<br>menor o es de los padres segundo Ese<br>consentimiento fue para la difusión un<br>determinado eh ejemplar eh o digamos<br>finalidad eh resulta que El fotógrafo<br>era una persona externa al colegio pero<br>la imprenta donde se mandó la empresa la<br>empresa de diseño era una una tercera<br>empresa y la empresa de diseño<br>subcontratado a su vez a una imprenta y<br>resultó que en la investigación penal el<br>imprentero apareció o uno de los<br>imprenteros apareció vinculado a esta<br>red de<br>pedofilia pero finalmente la relación<br>entre la niña y el es con el colegio<br>ella no conoce ni al fotógrafo<br>probablemente nunca vio la empresa de<br>diseño y menos aún el imprentero<br>entonces La pregunta es cómo se<br>establece<br>eh algún tipo de cláusula que por lo<br>menos permita disminuir los niveles de<br>responsabilidad en Casos como esto u<br>otros no entonces eh En este caso como<br>digo yo para para no no seguir ándome eh<br>la adecuación de colegios supone<br>eh No solo la adopción de estándar es<br>más elevado sino también observar las<br>particularidades propias de las normas<br>internas que el Ministerio de Educación<br>ha ido dictando la superintendencia de<br>Educación en esta materia Felipe<br>complementando lo que cuentas el año<br>pasado me llamó una apoderada de un<br>colegio de vitacura y eh Me dice<br>Macarena mira lo que pasó el colegio<br>tiene un proveedor para el casino para<br>el almuerzo de los niños y enroló a<br>todos los niños reconocimiento facial<br>UPS a todos a todos y me dice para peor<br>mi hija lleva almuerzo o sea ni siquiera<br>almuerza en el<br>casino nadie y claro el colegio estaba<br>pidiendo autorización para poner la foto<br>en el anuario cierto porque esas cosas<br>como que son hoy día más comunes pero se<br>le olvidó que estamos hablando de<br>reconocimiento facial y no solamente<br>reconocimiento facial sino de menores de<br>edad ya entonces<br>no gravísimo<br>gravísimo otro otro caso típico<br>eh llevas a postular un niño en estos<br>procesos que son angustiosos para los<br>padres y para los niños y resulta que el<br>niño no<br>queda destru<br>información qué pas<br>información Hay también una relación<br>precontractual Cuál es la fuente de<br>legitimidad El niño ya no es alumno<br>nunca fue alumno por tendría que existir<br>esa información Eso es la información<br>que se llama información tóxica es<br>inform ación que estando en poder de una<br>empresa no le genera mayor valor en sus<br>procesos productivos pero que en el<br>evento de una fiscalización o de un<br>incidente de inseguridad van a ser un<br>problema porque van a obtener una<br>sanción y lo importante de revisar esos<br>procesos en esos casos es entender<br>también el<br>negocio por qué lo digo porque quizás<br>ese colegio si quiere saber por ejemplo<br>cuántos hombres mujeres eh postularon Y<br>por qué razones esos niños no quedaron<br>sin saber que era magrana Gatica cierto<br>sino un nn ya entonces también entender<br>esas posibilidades porque a ver nosotros<br>cuando cualquiera de nosotros eliminamos<br>vamos a eliminar un archivo al<br>computador nos Baja un terror cierto cu<br>dice chuta lo voy a necesitar imagínense<br>cuando el negocio tiene que eliminar<br>estos datos entonces bien importante que<br>que los que asesoren organizaciones<br>también tengan esta mirada de negocio<br>decir mira no te voy a dejar ciego te<br>voy a dar cierto vamos a adoptar medidas<br>técnicas y organizativas que te van a<br>permitir Tener información válida para<br>el negocio y que no necesariamente son<br>datos personales por para evitar este<br>riesgo de Fuga Los anonimizado pero de<br>verdad anonimizado porque me dicen no es<br>que yo ahora sí lo puedo determinar<br>Quiénes son no no no anonimizado ya<br>quizás exactamente en forma definitiva<br>Irreversible y quizás alguien diga no<br>pero que sabes que Macarena de repente<br>esos niños vuelven a postular más grande<br>bueno revisemos revisemos si es válido<br>tener esa información Qué porcentaje<br>vuelve a postular y cuando uno les hace<br>estas preguntas hay veces que nos<br>encontramos con información que dicen<br>pucha nunca más volvieron o fue el 0,01<br>por Entonces vamos a guardar vamos a<br>correr este riesgo gigante por un 0,01<br>por le pongo el caso final del colegio<br>el otro los egresados del colegio la<br>base de datos del colegio de los<br>egresados se<br>justifica hay un interés legítimo del<br>colegio para poder tener una base de<br>datos de egresados del colegio eh qué lo<br>habilita Cuál es la fuente de<br>legitimidad la base licitud ha se hay<br>consentimiento no hay problema pero si<br>no lo hay<br>eh resultaría lícito por ejemplo que<br>llegara un correo invitando alguna<br>actividad al<br>colegio te fijas Entonces porque esto<br>ocurre que puede ser inocuo pero un<br>ejemplo como es en un colegio puede<br>replicarse en otra institución y por<br>tanto también uno tiene que mirar con<br>mucho detalle por ejemplo Yo ponía el<br>caso de la compañía de seguros la razón<br>precontractual porque alguien podía<br>decir Oye sabes qué Ya vamos a sugerir<br>que eliminemos a todos aquellos respecto<br>de los cuales no ha no no se ha firmado<br>un contrato finalmente No hemos tenido<br>un contrato de seguro cotizaron pero<br>tienen contrato seguro ya vamos a<br>eliminar esto eh va a llegar el<br>comercial dec no sab pasa para nosotros<br>muy importante porque permite<br>perfilar por ejemplo el tipo de<br>enfermedades que tienen los hombres<br>entre 35 y 55 eh que viven en las<br>comunas de tal o cual esa perfilación es<br>correcta es adecuada habrá que hacerla<br>anonimizada eventualmente para que pueda<br>hacerla Bueno pero esa anonimización<br>como decía tiene que ser Irreversible si<br>no no vale Qué pasa si yo tengo una<br>decisión automatizada sobre eso el el<br>artículo que se resolvió el otro día da<br>el derecho de oposición pero el derecho<br>a la inferencia que es el derecho que va<br>a tener toda persona natural para exigir<br>no para que cuando se sienta afectada<br>por una decisión algorítmica pueda<br>exigir a una persona física natural la<br>exhibición de los patrones de<br>programación para decirlo en fácil si a<br>mí me afecta una decisión tomada por<br>algoritmos voy a poder exigir que me<br>exhiban los patrones de<br>programación Por qué Porque el algoritmo<br>no es ni Bueno ni<br>malo a mí mira yo ahí tengo mi tengo mi<br>postura distinta ese es un lo estoy<br>planteando Pero es verdad es hay un<br>derecho y que de hecho hoy día existe<br>cierto en en el consumo respecto de<br>servicios financieros que me tienen que<br>decir en base a qui me van a analizar mi<br>riesgo y por qué Por ejemplo me negaron<br>un producto el tema es que este artículo<br>que es textual del reglamento europeo es<br>del uno de los que se está revisando<br>porque más allá qué qué es lo que busca<br>no no lo que busca es que efectivamente<br>no no hayan cesgo discriminaciones se<br>nieguen productos arbitrariamente cierto<br>tiene una mirada muy de consumo y se<br>confunde mucho muchas veces lo que es la<br>transparencia algorítmica eh en<br>Alexandria hemos participado en las<br>mesas de trabajo de de la la cmf por la<br>ley fintec y también Hemos llegado a<br>este punto ya si yo<br>eh si me pentas transparencia<br>algorítmica que básicamente mal<br>entendida es entregar una sábana de<br>número que es el código fuente la<br>autoridad no sirve de nada cierto<br>Entonces si aplicamos<br>autorregulación lo que yo tengo que<br>acreditar a esa autoridad Es que este<br>software esta Inteligencia artificial<br>este sistema Este modelo que yo<br>tengo por ejemplo eh selecciona los<br>niños ya selecciona los niños para que<br>queden en el colegio y que eh lo reviso<br>constantemente y de alguna manera<br>acreditar que no se produzcan sesgos ya<br>sin embargo cuando yo voy a preguntar<br>esto en la ley dice que el derecho es<br>que que lo revise cierto y como fue<br>automatizado ojo que hoy día un chatbot<br>que me pregunte si yo voy a ir al<br>dermatólogo o ir al traumatólogo es una<br>decisión automatizada ya para que<br>entendamos la magnitud de este artículo<br>Entonces cuando yo voy y pregunto tengo<br>la opción de que alguien pregunte un<br>humano revise esto hasta qué punto me<br>puede entregar información relacionado<br>con el modelo propiamente tal<br>porque aquí entramos que vamos a tener<br>una colusión de otros derechos Como<br>puede ser propiedad intelectual Claro<br>pero veamos el caso Sí pero pero hay un<br>punto porque<br>cuando hay una colión de derecho en este<br>caso prop intelectual con el legítimo<br>derecho digamos a exigir el patrón de<br>programación mi percepción es que la<br>agencia de protección de datos va a ser<br>la que va a regular que es un poco lo<br>que ha ocurrido en Europa que se haid<br>regulando sobre la base de la<br>jurisprudencia administrativa o judicial<br>por qué lo digo porque acá esto puede<br>parecer como teórico o un un Más bien<br>una especie como de problema para<br>desarrollo de negocios pero caso<br>práctico pandemia el estado de eh New<br>Orleans vacunación se se hacía a través<br>de un orden eh algorítmico Y se<br>descubrió que se habían programado los<br>algoritmos para que los últimos en<br>vacunarse fuera la población<br>afroamericana y latina ejemplo práctico<br>como eso Nosotros hemos conocido ya<br>cerca de 12 casos eh respecto de<br>programación algorítmica sesgada para<br>tomar determinado tipo de decisiones<br>imaginémonos por ejemplo que un gobierno<br>con el objetivo de simpatizar con la<br>ciudadanía cualquiera sea el gobierno<br>tome la decisión de decir mire sabe que<br>ahora las licaciones públicas las vamos<br>a hacer con decisión algorítmica muy<br>transparente y resulta que se dice por<br>ejemplo en la la legislación que<br>eh se lapresión del servicio de asesoría<br>jurídica y postula Macarena y postulo yo<br>y resulta que quien programa El<br>algoritmo de manera muy sabia pondría<br>que tiene que ser un estudio jurídico<br>que teng más de 100 años más de 100<br>años creo que hay uno o dos en Chile no<br>sé bueno evidentemente Más allá de las<br>capacidades Más allá de las propuestas<br>Más allá de los valores incluso eh la<br>decisión está predeterminar entonces por<br>eso que es tan importante que este<br>derecho se mantenga con los cuidados<br>adecuados tiene que mantenerse porque si<br>no cuando alguien quiera tomar una<br>decisión algorítmica sin necesidad de<br>ningún tipo de contrapeso para poder<br>chequear la podría producirse el uso<br>algorítmico abusivo como una tentación<br>de resolución de muchos términos les voy<br>a contar un caso que va en línea con la<br>gobernanza y con la gobernanza de la<br>Inteligencia artificial que que ha sido<br>como el Boom cierto eh Ya está la ley en<br>en Europa y nosotros tenemos un proyecto<br>de ley y que está ahí pendiente Entonces<br>qué hacemos para de alguna manera<br>gobernarnos eh en la en las<br>organizaciones que estén utilizando<br>Inteligencia artificial eh Y me contaban<br>en una empresa que usaron un crearon un<br>modelo de Inteligencia artificial para<br>el reclutamiento y selección de personal<br>ya y empezó a elegir más hombres y yo<br>dije Se repitió el caso de Amazon del no<br>sé cuándo cierto del 2015 que le daba<br>más puntaje a los hombres que las<br>mujeres y fíjense que es peor todavía o<br>sea es peor en el sentido de porque Y<br>por qué se dieron cuenta porque ellos<br>tienen una gobernanza de ir revisando<br>todos estos procesos que tienen basado<br>en Inteligencia artificial<br>periódicamente para ver que<br>efectivamente No se estén produciendo<br>sejos y miren lo que ocurría eh con chat<br>ypt el chat ypt leía Los los currículum<br>ya y eh aquí hay un tema cultural social<br>que los hombres son más de poner logros<br>yo lideré yo logré esta meta yo aument<br>las ventas en cambio la mujer Eh somos<br>más de poner yo participé en un grupo<br>que sí mucho más bajo perfil Si tú<br>hubieses entrevistado esas dos personas<br>imaginemos que tenían los mismos logros<br>te habrías dado cuenta pero el chat gpt<br>al leer la forma como estaba escrito<br>hablemos algo objetivo lo otorgaba más<br>puntos al currículum del hombre porque<br>Aparentemente tenía más logro ya y esto<br>hace ir arreglando esto que estábamos<br>hablando de tener una gobernanza y de<br>revisar los sistemas para evitar sesgo<br>ya eh o o cualquier otra vulneración de<br>derechos que pueda<br>ocurrir muy de acuerdo muy de acuerdo Eh<br>bueno Macarena Felipe ya estamos en el<br>tiempo está muy buena la conversación de<br>hecho se me acaba de ocurrir que un<br>próximo webinar podríamos hacerlo en<br>Inteligencia artificial y algoritmo es<br>un tema que está muy entretenido Sí muy<br>entretenido y como lo podemos vincular<br>también con la protección de datos Así<br>que dejo la invitación y lo pongo sobre<br>la mesa eh Y bueno cerramos<br>oa se dedica mucho más esto que yo<br>digamos el tema de propiedad intelectual<br>pero la relación Inteligencia artificial<br>generativa y propiedad intelectual es<br>una relación explosiva en los próximos<br>sí es uno de los grandes riesgos cierto<br>uno podría decir que es dato<br>Intel garantías constitucionales cierto<br>todo lo que es discriminación Pero es<br>verdad Bueno hay por ahí algunas<br>demandas tanto en<br>Chile<br>dech Muchas gracias por la invitación un<br>gusto<br>Gracias gente que ahí soport había<br>muchas preguntas bastante buenas haba<br>una del censo que vamos dejar otra<br>ocasión lean miren hay una columna de la<br>Daniel sarot lanla salió en El mercurio<br>legal es muy buena en relación al censo<br>es superca eh para que la lean Oye si<br>alguien le gusta el fúbol hay otra<br>columna muy interesante sobre el<br>Registro Nacional de hinchas y<br>protección de datos ot<br>tema que escribió ahí el abogado José<br>Miguel catepillan también está muy buena<br>ya<br>bueno ponemos término el webinar Muchas<br>gracias por su asistencia a todos los<br>participantes que se quedaron también<br>hasta el final y lo dejamos también<br>invitado para visitar nuestra página de<br>ley de datos nuestros canales de Youtube<br>de<br>linkedin y también estén atentos para<br>los próximos eventos que estaremos<br>organizando Muchas gracias muchas<br>gracias Que est bien<br>chao<br>al<br>al