Hacer Pregunta

Historial de Preguntas

La información mínima para un RAT (Registro de Actividades de Tratamiento) no se encuentra directamente en la transcripción, pero se puede inferir a partir de la discusión sobre qué datos se deben incluir.

  • Nombre del tratamiento: (para identificar la actividad de tratamiento)
  • Departamento responsable: (área dentro de la empresa que gestiona el tratamiento)
  • Fuente del dato: (de dónde proviene la información)
  • Tipos de datos: (categorías de datos personales que se tratan)
  • Base de licitud: (fundamento legal para el tratamiento de datos)
  • Categorías especiales de datos: (si se trata de datos sensibles, información de niños/as/adolescentes, etc.)
  • Tiempo de almacenamiento: (duración del tratamiento y conservación)
  • Información al titular: (cómo se informa al titular sobre el tratamiento)
  • Cumplimiento del principio de transparencia: (cómo se cumplen los requisitos de información)
  • Transferencias internacionales: (si los datos se envían fuera del país, y a quiénes)
  • Terceros: (quiénes son los encargados del tratamiento o cesionarios)
  • Medidas de seguridad: (cómo se protegen los datos)
2026-05-08

El sistema nombrado tiene los siguientes módulos:

  • Registro de actividad de tratamiento (RAT): Permite documentar y gestionar el RAT.
  • Inventario y clasificación de datos: De manera automática.
  • Gestión de derechos ARCO (Acceso, Rectificación, Cancelación, Oposición): Gestionar los derechos de los titulares.
  • Gestión de consentimientos y cookies: Control centralizado de permisos y preferencias de los titulares de datos.
  • Evaluaciones regulatorias o assessment: Realizadas con inteligencia artificial.
  • Módulo de capacitaciones asincrónicas: Para trabajar con todos los colaboradores de la organización.
2026-05-08

El sistema mencionado se describe como un "software o un SAS" diseñado para cumplir de manera automática la Ley de Protección de Datos Personales. Este sistema, ofrecido por la empresa, incluye los siguientes módulos:

  • Registro de Actividad de Tratamiento (RAT): Permite documentar y gestionar el RAT.
  • Inventario y clasificación de datos: De manera automática.
  • Gestión de derechos ARCO (Acceso, Rectificación, Cancelación, Oposición): De los titulares, en un flujo automatizado.
  • Gestión de consentimientos y cookies: Control centralizado de permisos y preferencias de datos.
  • Evaluaciones regulatorias o assessment: Realizadas mediante inteligencia artificial.
  • Módulo de capacitaciones asincrónicas: Para la formación de los colaboradores de la organización.

Adicionalmente, se menciona una alianza con TransUnion, una compañía global que aporta una visión global sobre los datos y la confianza en sus clientes, con el objetivo de habilitar una nueva plataforma operativa para cumplir con la ley.

2026-05-08

Análisis

RESUMEN

Introducción al Webinar

El video presenta un webinar sobre el Registro de Actividades de Tratamiento (RAT) en la práctica, organizado por Ley de Datos. Los panelistas son Paulina Ceevedo (Transunion) y Constanza Pasarín. Se destaca la alianza de Ley de Datos con Transunion y se promocionan las soluciones y capacitaciones ofrecidas.

Agenda y Temas Principales

La agenda del webinar incluye el levantamiento del RAT, cómo construir un RAT útil y accionable, la transversalidad de este trabajo, la gestión y actualización del RAT, y los riesgos y herramientas involucradas. Se enfatiza la importancia de dejar de usar Excel y adoptar soluciones más eficientes.

Levantamiento del RAT

Se discute la importancia del RAT como inventario de datos, hoja de ruta para el cumplimiento de la Ley de Protección de Datos, y herramienta para la gestión de riesgos y toma de decisiones. Se destaca la necesidad de un enfoque transversal que involucre a diversas áreas de la organización. Se enfatiza la necesidad de definir el alcance, establecer un glosario común y asignar owners o líderes responsables.

Profundidad y Detalle del RAT

Se debate sobre el nivel de detalle necesario en el RAT, reconociendo que debe ser suficiente para la toma de decisiones, pero sin sobrecargar. Se mencionan los campos básicos que debe contener un RAT (nombre del tratamiento, departamento responsable, fuente del dato, tipos de datos, base de licitud, etc.) y la necesidad de priorizar los datos sensibles y el mapeo de terceros.

Involucramiento y Compromiso

Se discute cómo involucrar a las distintas áreas para asegurar el compromiso con el RAT. Se enfatiza la importancia de nombrar "owners" o líderes en cada área, hacerles entender la importancia operacional del RAT, y mostrar los beneficios de la herramienta (trazabilidad, control, eficiencia).

¿Cuándo se Considera un RAT Completo?

Se analiza cuándo una empresa puede considerar que tiene su primer documento consolidado de RAT. Se enfatiza que el RAT debe ser "vivo" y estar en constante actualización, y que debe reflejar la realidad de las operaciones de la empresa. Se compara la importancia del RAT con la de los modelos de prevención de delitos.

Presentación de la Plataforma Ley de Datos

Rodrigo presenta la plataforma de Ley de Datos como una solución para el RAT, mostrando sus funcionalidades como: edición de campos, exportación a PDF, versionamiento y aprobaciones, desgloses de categorías de datos, evaluaciones, gestión de riesgos y controles, y un historial de cambios para facilitar auditorías.

Gestión del RAT en la Práctica

Se comparten ejemplos prácticos de cómo el RAT se utiliza en el día a día para gestionar proyectos y tomar decisiones, incluyendo la evaluación de riesgos y la aplicación de medidas de seguridad. Se reconoce la importancia de adecuar las acciones y procedimientos de acuerdo a lo que arroja el RAT.

Actualización del RAT

Se explican los gatilladores que pueden desencadenar la actualización del RAT, como la introducción de nuevos productos o servicios, nuevas tecnologías, cambios en las finalidades del tratamiento, la incorporación de terceros, o el manejo de datos sensibles.

Excel vs. Plataformas Especializadas

Se debate sobre la viabilidad de usar Excel para gestionar el RAT, reconociendo su utilidad inicial, pero limitando su capacidad para la trazabilidad, el control, la integración de flujos, y la gestión de cambios. Se concluye que es mejor tener un RAT básico, aunque sea incompleto, que no tener uno en absoluto.

Preguntas del Público

Se responde a una pregunta sobre quién es el responsable de actualizar el RAT, mencionando la importancia de repartir las responsabilidades entre el DPO y los distintos líderes de las áreas.

Cierre

Se agradece a los participantes y se reitera la invitación a seguir las redes sociales de Ley de Datos, asistir a los próximos webinars, agendar demos, y tomar cursos de capacitación.

Sabiduría

RESUMEN

En el video, Ignacio Gallardo presenta a Paulina Ceevedo y Constanza Pasarín, quienes discuten el Registro de Actividades de Tratamiento (RAT) en la práctica, su utilidad, levantamiento e importancia en el cumplimiento de la Ley de Datos Personales, con énfasis en la alianza con Transunion.

IDEAS

  • El RAT es un inventario operacional que une a las áreas como legal, TI, infraestructura y negocio.
  • Para levantar un RAT útil es importante comenzar de lo más amplio y luego subdividir por áreas y verticales.
  • Al levantar un RAT útil se debe definir un glosario común para que todos hablen el mismo idioma.
  • En la construcción del RAT es necesario asignar owners o dueños por cada vertical o por pedazos de información.
  • El RAT es una herramienta que necesita estar viva y actualizada, no es solo un documento en papel.
  • Es esencial que el RAT sea transversal a toda la organización para tomar decisiones más rápidas.
  • Un RAT detallado aporta visibilidad, pero la sobreabundancia de información puede volverlo insostenible.
  • La información básica que debe contener el RAT incluye el nombre del tratamiento y el departamento responsable.
  • Un RAT maduro lleva a tomar decisiones más rápidas y eficientes, mejorando la gestión de riesgos.
  • Levantar el RAT es el minuto idóneo para cumplir con la ley, ya que después el panorama cambia.
  • Definir los campos necesarios y categorizar los datos personales son buenos ejercicios para el RAT.
  • Un RAT es más fácil de gestionar en una empresa pequeña, pero se dificulta en empresas más grandes por la cantidad de procesos.
  • Incluir a los dueños/líderes de cada área y explicar la importancia del RAT hace que se involucren.
  • Los "quick wins" son tareas pequeñas que ayudan a que la organización se ordene y se comprometa con el cumplimiento.
  • Un RAT es una herramienta viva, es un mapa de la operación que abarca todas las áreas y verticales de la empresa.
  • El RAT inicial debe responder qué datos tienes y qué haces con esos datos, para luego llegar a decisiones mejores.
  • Se debe involucrar a todas las áreas, pero tener un enfoque de lo general a lo particular.
  • El riesgo de no tener un RAT es mayor que tener uno incompleto, pero que refleje la realidad.
  • La agencia buscará trazabilidad y control en el RAT, no la perfección, pero con datos reales.
  • En el RAT es valioso partir con un Excel y actualizarlo a una plataforma profesional como "ley de datos".
  • La idea es tener un inventario, ojalá en una plataforma, pero si no se puede, en Excel sirve.
  • Para el RAT se debe establecer propietarios y hacerles entender el valor que trae esta herramienta.
  • La actualización del RAT puede ser disparada por la creación de un nuevo producto o servicio.
  • Nuevas tecnologías, sistemas, cambios de finalidad o terceros, gatillan también las actualizaciones del RAT.

INSIGHTS

  • El RAT es un inventario esencial para cumplir con la ley de protección de datos personales.
  • El éxito del RAT radica en la transversalidad y la participación de todas las áreas de la empresa.
  • El lenguaje común y la creación de un glosario facilitan la comprensión y el cumplimiento del RAT.
  • La asignación de propietarios o dueños por área garantiza la actualización y la gestión del RAT.
  • Un RAT bien gestionado permite tomar decisiones informadas y responder rápidamente ante incidentes.
  • Un RAT debe evolucionar de un estado inicial a un estado maduro para mejorar la eficiencia.
  • El RAT completo y bien gestionado reduce los riesgos y aumenta la trazabilidad de los datos.
  • La madurez de un RAT proporciona a la organización un mejor control de todos sus datos.
  • El RAT es una herramienta que ayuda a las organizaciones a controlar y minimizar riesgos.
  • El éxito del RAT se basa en una cultura de cumplimiento proactivo y la mejora continua.

CITAS

  • "El RAT o el registro de actividad del tratamiento es este inventario."
  • "Es tu hoja de ruta para poder partir e trabajando en la adecuación y en la implementación de la ley."
  • "Es una herramienta que tiene que ser viva, tiene que estar actualizada, tiene que ser transversal a toda tu organización."
  • "Tienes que irte a la bodega, sacar cajas, limpiar, ordenar, porque esta es un este es un nuevo roadmap."
  • "Nos están entregando un Ferrari y las calles están todavía con tierra, o sea, ¿cómo lo vamos a manejar esta tremenda ley?"
  • "Hay que irse a la bodega y hacer un inventario."
  • "Tuvimos que aplicarlos localmente."
  • "Partir de lo grande y no irte a lo chico."
  • "Ya estos somos nosotros, estos son los datos."
  • "Dimos cuenta que teníamos un tema con el idioma."
  • "El tema de la propiedad del RAT es importante porque muchos creen, ah, es legal."
  • "Es un inventario que estamos hablando es una herramienta que une a las distintas áreas de una empresa."
  • "Estamos hablando de derechos fundamentales y obviamente tienen que ser protegidos."
  • "La idea es que tenga la información suficiente para poder yo eventualmente como empresa tomar decisiones correctas."
  • "Tenemos que gestionar este control con tareas porque si no queda como algo que guardamos en el tintero."
  • "Un RAT maduro que al que uno debiera apuntar que nosotros como organización estamos caminando de la mano a usted."
  • "El RAT tiene que ser una herramienta viva, como les decía yo, es una herramienta, es un mapa."
  • "El desde es qué tengo, para qué lo tengo, cómo lo uso."
  • "La trazabilidad y el control que uno tiene de los datos."
  • "Y todavía no he revisado bien tu bodega."
  • "Apuren, porque de verdad el primero de diciembre está a la vuelta de la esquina y todavía no he revisado bien tu bodega."
  • "En realidad si no no tenéis que hacer owners."
  • "La autoridad va a ir a ver el cumplimiento, va a ir a ver la responsabilidad proactiva."
  • "Créeme, todas hemos sufrido hemos sufrido con el tema."
  • "Todos sufrimos."
  • "La agencia va a buscar eso, la trazabilidad y el control que uno tiene de los datos."

HÁBITOS

  • Analizar y entender el contexto actual de la Ley de Datos Personales.
  • Es esencial actualizar las actividades de tratamiento de la información de la empresa.
  • Comenzar de lo general a lo particular para priorizar la ejecución de proyectos.
  • Establecer un glosario común para el equipo para asegurar la comprensión.
  • Definir los objetivos principales de la protección de datos personales en tu empresa.
  • Tener un equipo de trabajo dedicado y comprometido con la regulación y su cumplimiento.
  • Mantenerse al día e informado sobre las leyes y regulaciones de protección de datos.
  • Crear comités de datos para la conversación e implementación de la ley de datos.
  • Asignar responsables para cada proceso y área de la empresa.
  • Asegurarse de tener un registro de actividades de tratamiento, aunque sea básico.
  • Priorizar siempre la protección de datos personales en el diseño de nuevos productos.
  • Aprovechar la experiencia de otros para entender cómo aplicar la ley.
  • Crear una cultura de cumplimiento en todos los niveles de la organización.
  • Buscar apoyo externo para la protección de datos personales cuando sea necesario.
  • No tener miedo a empezar, aunque sea con una versión básica del registro.
  • Asegurarse de que el registro de actividades se actualice constantemente.
  • La actualización del RAT tiene que ser parte de los comités de cada empresa.

HECHOS

  • El RAT es una hoja de ruta para implementar la Ley de Protección de Datos.
  • El RAT es una herramienta que permite conocer datos, finalidades y plazos de almacenaje.
  • Levantar el RAT es el primer paso para cumplir con la nueva Ley de Datos Personales.
  • El levantamiento de un RAT es un proceso que involucra a múltiples áreas de la empresa.
  • El RAT debe ser un documento vivo y actualizado para ser efectivo y útil.
  • El RAT ayuda a identificar riesgos y tomar decisiones informadas sobre el manejo de datos.
  • La nueva ley de protección de datos sube los estándares y exige el cumplimiento.
  • El RAT es de utilidad para el negocio y para la operación de una empresa.
  • El RAT sirve para la trazabilidad y el control de la información en una empresa.
  • El RAT debe ser una herramienta parte del día a día del trabajo.
  • El cumplimiento de la ley de datos personales es una responsabilidad proactiva.
  • La agencia buscará trazabilidad y control al fiscalizar el cumplimiento de la ley.
  • El análisis de riesgos y la aplicación de medidas es clave para el cumplimiento.
  • Las empresas necesitan actualizar sus registros de actividades en el tiempo.
  • El 1 de diciembre es un momento clave para evaluar el cumplimiento de la ley.

REFERENCIAS

  • Ley de Protección de Datos Personales
  • GDPR
  • Modelos de prevención de delito
  • Software o SAS de ley de datos
  • LinkedIn de Ley de Datos
  • Leadedatos.com (para agendar demo del SAS)
  • Leydatos.com/capacitaciones (para agendar capacitaciones)
  • Excel
  • Plataforma ley de datos

CONCLUSIÓN EN UNA FRASE

Gestionar un RAT vivo y actualizado es crucial para cumplir la Ley de Datos Personales, tomando decisiones informadas con trazabilidad.

RECOMENDACIONES

  • Priorizar el levantamiento del RAT, considerándolo como un inventario de datos de la empresa.
  • Involucrar a todas las áreas de la empresa en el proceso del RAT.
  • Establecer un glosario común para facilitar la comprensión de términos del RAT.
  • Implementar un equipo de responsables (Owners) para asegurar la actualización y gestión del RAT.
  • Comenzar con un RAT básico que refleje la realidad; luego ir mejorando.
  • Capacitar a tus equipos en protección de datos personales para hacerlos parte.
  • Usar la plataforma de ley de datos para gestionar y optimizar tu RAT.
  • Evaluar los riesgos de cada tratamiento de datos para tomar decisiones informadas.
  • Establecer fechas para la revisión y actualización periódica del RAT.
  • No dejar de aprender y buscar asesoría profesional en protección de datos.
  • Evaluar el impacto de la aplicación de la ley para la gestión de la empresa.
  • Asegurarse de que el RAT actualice constantemente para asegurar el cumplimiento.
  • Utilizar el RAT para tomar decisiones informadas acerca de la seguridad.
  • Implementar el RAT antes de iniciar cualquier nuevo tratamiento de datos.
  • Tener un RAT, aunque sea incompleto, es mejor que no tener ninguno.

Hoy día vamos a hablar del RAT. Vamos a<br>hablar del RAT en la práctica, si es que<br>sirve o solo existe. Y tenemos a dos<br>grandes invitadas, Paulina Ceevedo, que<br>es gerente legal en Transunion y<br>Constanza Pasarín, que es manager<br>compliance en Chile.<br>La información de siempre o<br>indicaciones, pueden dejar sus consultas<br>en el chat. Haremos una ronda al final<br>de la del de la sesión para poder<br>responder la mayor cantidad de<br>consultas. Obviamente como esta y<br>nuestras otras sesiones estará nuestro<br>canal de YouTube como grabación. Los<br>invitamos, obviamente, si no lo hacen, a<br>seguirnos en el LinkedIn de Ley de<br>datos. Pueden agendar su demo del SAS en<br>leadedatos.com y agendar sus<br>capacitaciones de<br>leyatos.com/capacitaciones.<br>Antes que todo queríamos hablar de<br>nuestra solución. Nosotros tenemos somos<br>un software o un SAS para eh cumplirle<br>de manera automática la ley de<br>protección de datos personales y tenemos<br>seis módulos que uno es el registro de<br>actividad de tratamiento que permite<br>documentar y gestionar el RAT que es lo<br>que vamos a conversar hoy día. Tenemos<br>un módulo de inventario y clasificación<br>de datos de manera automática, gestión<br>de derechos arco arco máopa<br>los derechos de los titulares de manera<br>automática en un flujo. Gestión de<br>consentimientos y cookies, que es un<br>control centralizado de las permisos y<br>preferencias de los titulares de datos,<br>evaluaciones regulatorias o assessment<br>que son realizadas con inteligencia<br>artificial y un módulo de capacitaciones<br>asincrónicas para trabajar con todos los<br>colaboradores de la organización. Dicho<br>eso, ¿cuál es la agenda de hoy? Primero,<br>el levantamiento del RAT, cómo se<br>construye un RAT útil y accionable. Este<br>trabajo transversal, porque obviamente<br>el RAT involucra más de un área. Gestión<br>y actualización, ¿cómo mantenemos el RAT<br>vivo? O sea, el RAT no esperamos que se<br>llene una vez y lo olvidemos y los<br>riesgos y herramientas de, por ejemplo,<br>usar Excel al momento de llenar el R.<br>Pero antes de presentar a las invitadas,<br>queríamos aprovechar esta instancia para<br>hablar de nuestra nueva alianza con<br>Transunion. En este espacio que queremos<br>invitar a Trans Union a ser parte de lo<br>que estamos armando. Transunion es una<br>organización global en presencia de más<br>de 30 países que ayuda a las empresas a<br>identificar mejores clientes,<br>administrar riesgo y tomar decisiones<br>más informados. Y vemos que acá hay un<br>nuevo camino de alianza en el que ellos<br>van a aportar una mirada global sobre<br>los datos, eh la confianza que ya tienen<br>con sus consumidores y sus clientes y<br>este cumplimiento al que están siempre<br>orientados. Nosotros estamos aportando<br>la vertical de protección de datos<br>personales y juntos vamos a habilitar<br>una nueva eh preparación o presentación<br>operativa para cumplir la ley, siempre<br>con el estándar de transunion. Entonces,<br>creemos que pedir el consentimiento es o<br>o fue el primer paso, pero ahora vamos a<br>gestionar la confianza como nuevo<br>estándar.<br>Dicho eso, las invitadas.<br>Paulina Cedo es gerente legal en<br>Transunión, abogada en el derecho de los<br>negocios y diplomada en compliance<br>corporativo. Amplia experiencia en<br>empresas tecnológicas y multinacionales.<br>Especialista en compliance, gobierno<br>corporativo, contratos y datos<br>personales y nos va a aportar una mirada<br>práctica para conectar el cumplimiento<br>con la operación del negocio. Y por otro<br>lado, Constanza Pasari, eh manager<br>manager compliance ciberseguridad y<br>protección de datos enja Chile, que es<br>directora de la AGPD y la REDIAC con<br>experiencia académica en ética de datos,<br>compliance y protección de datos.<br>Abogada especializada en protección de<br>datos personales de derecho tecnológico<br>compleañas y ella ha liderado múltiples<br>proyectos de adecuación regulatoria bajo<br>la ley 19628 y la ley 21719.<br>Dicho eso, los dejo con Ignacio Gallardo<br>para que podamos partir el webinar y que<br>nos vaya super el<br>Hola, Rodrigo. Eh, muchas gracias por la<br>presentación.<br>Eh, quiero agradecerle también a Coni, a<br>Paulina por aceptar nuestra invitación y<br>por estar aquí presente.<br>E<br>quiero confirmar solamente que estoy con<br>un problema con internet. Eh, Coni y<br>Paulina, ¿me escuchan bien?<br>Sí, yo te escuché.<br>Ya, perfecto, que tuve justo un<br>problemita aquí, pero vamos con las<br>preguntas. El el tema de de hoy, como<br>bien decía Rodrigo, es el levantamiento<br>del RAT y la gestión de un registro de<br>actividades de tratamiento. Ese es el<br>tema de hoy. Quiero partir con Constanza<br>y vamos a partir primero con lo que es<br>el levantamiento del RAT. Ese es nuestro<br>el foco de esta primera sección del<br>webinar. Eh, Constanza, te quiero<br>preguntar eh en tu experiencia en la en<br>la práctica desde el mundo de la<br>consultoría,<br>eh, cuéntanos primero eh para qué sirve<br>levantar un registro de actividades y<br>cuál es el foco de un registro de<br>actividades para una organización. ¿Por<br>qué queremos un registro de actividades?<br>Perfecto. Primero que nada, les quiero<br>agradecer por la invitación. Muy<br>contenta de estar aquí junto a Paulina,<br>nuestra primera vez haciendo un webinar<br>juntas.<br>Eh, bueno, Ignacio, efectivamente el RAT<br>o el registro de actividad del<br>tratamiento es este inventario. Eh,<br>nosotros siempre ponemos el ejemplo acá<br>de la oficina como revisar la bodega que<br>tienes y a inventariar lo que tienes. Al<br>final es una herramienta que te permite<br>conocer cuáles son los datos que tratas,<br>para qué los tratas, cuáles son las<br>finalidades, qué datos tienes. Es decir,<br>es tu hoja de ruta para poder partir e<br>trabajando<br>en la adecuación y en la implementación<br>de la ley de protección de datos. Sin<br>esta herramienta es básicamente trabajar<br>a ciegas y es muy difícil hacerlo eh con<br>la realidad de la compañía. O sea, eh en<br>el fondo es la hoja de ruta de todas las<br>empresas que todas las empresas deberían<br>tener para poder saber de dónde<br>provienen sus datos, para qué los usan,<br>eh cuánto tiempo los almacenan, si los<br>mandan afuera del país o no, etcétera,<br>etcétera, etcétera. Esto también nos<br>permite, obviamente, el día de mañana<br>poder eh delimitar riesgo y saber cuáles<br>son nuestras actividades del tratamiento<br>más riesgosas y así, obviamente, pone<br>poner más foco y ojo en controlar<br>aquellas. Y también nos sirve como un un<br>mapa de para reconocer cuáles son las<br>actividades del tratamiento que son<br>necesarias, por ejemplo, de evaluaciones<br>de impacto, que es una obligación<br>fundamental de cumplimiento de la ley.<br>Sin esa obligación en verdad, si no<br>cumplimos con la evaluación de impacto<br>cuando la ley lo requiere, estamos en<br>falta y también para evaluar nuestro<br>interés legítimo cuando lo invoquemos<br>como base de licitud. En el fondo es el<br>inventario y saber cómo vamos a operar<br>de quién más.<br>Gracias, Coni, efectivamente, el RAT es<br>un inventario y es una herramienta para<br>lo que tú bien dijiste, para la gestión<br>de riesgo, para evaluar los riesgos más<br>adelante, las actividades de<br>tratamiento, para tomar decisiones. Al<br>final del día es como nuestra hoja de<br>ruta, por decirlo.<br>Paulina y<br>bueno, agradecerte también por estar acá<br>y desde el punto de vista de, en tu<br>caso, dentro de una organización, una<br>organización que ya<br>lleva un camino avanzado con este el<br>tema de los registros de actividades,<br>también te ha tocado eh trabajarlo para<br>tu organización y me imagino que con los<br>dolores de cabeza que esto significa.<br>Eh, te quiero preguntar desde tu<br>experiencia, ¿qué ha sido lo más difícil<br>en este proceso de levantar un registro<br>de actividades, de tener claridad de<br>todas estas actividades y procesos<br>dentro de una organización? Eh, y cómo<br>al final lo lograron resolver, cómo lo<br>abordaron.<br>Dale, buena pregunta. Esta es una<br>respuesta desde el sufrimiento,<br>básicamente la experiencia que tiene uno<br>eh desde adentro de la organización y<br>también muchas gracias por la invitación<br>y y me encanta poder participar con<br>usted y estar obviamente participando<br>con con Coni, es espectacular. Así que<br>muchísimas gracias por por el espacio.<br>Eh, como bien decía Coni, esto al final<br>es un inventario y es un inventario<br>operacional que une áreas, es<br>transversal, no solamente legal, va a<br>unir a legal, a compañas, ATI,<br>infraestructura, negocio. Entonces, me<br>encanta el ejemplo que dio Coni donde<br>dice, "Hay que irse a la bodega y hacer<br>un inventario." Y literalmente es eso,<br>tenés que irte a la bodega, sacar cajas,<br>limpiar, ordenar, porque<br>esta es un este es un nuevo roadmap que<br>tenemos con la nueva con la nueva ley,<br>donde subimos los estándares a GDPR,<br>donde tenemos ahora vamos a tener un<br>regulador, vamos a tener<br>fiscalizaciones, es un nuevo mundo, ¿no<br>es cierto? Y algunas veces nosotros<br>hemos conversado contigo, Ignacio, que<br>es como y con la Coni también y con<br>otras actores hemos dicho, "Nos están<br>entregando un Ferrari y las calles están<br>todavía con tierra, o sea, ¿cómo lo<br>vamos a manejar esta tremenda ley que se<br>nos viene?" Y [carraspeo] una cosa<br>importante es comenzar a preparar ese<br>camino, ¿no? Y el rat es eso. Al final<br>del día, el RAT [carraspeo] es una<br>herramienta que tiene que ser viva,<br>tiene que estar actualizada, tiene que<br>ser transversal a toda tu organización.<br>Eh,<br>si no te sirve el RAT a tomar decisiones<br>más rápidas y más precisas, es que es de<br>papel. Ya. Entonces, nosotros, ¿qué<br>cuáles fueron las dificultades que<br>vimos? Primero, meternos a la bodega y<br>limpiar, que fue tema obviamente porque<br>tú comprenderás que un buró de crédito<br>es harto el el tratamiento que tiene,<br>pero somos una empresa con unos<br>estándares super altos de compliance.<br>Entonces, ya veníamos con todos los<br>estándares internacionales aplicados,<br>pero tuvimos que aplicarlos localmente.<br>Yo te diría que lo principal ha sido<br>definir primero el scope de dónde<br>partíamos, porque tienes una uno tiene<br>la tendencia a partir como de lo más<br>pequeñito y en realidad tienes que<br>partir de lo más amplio, ¿no es cierto?<br>Ver cuál es el scope, partir de lo más<br>amplio, definir los tratamientos. En el<br>caso de nosotros fue ya estos somos<br>nosotros, estos son los datos y después<br>subdividimos y fuimos como por negocios,<br>por verticales, ya tenemos esta<br>vertical, esta vertical, esta vertical,<br>esta vertical. De ahí también nos dimos<br>cuenta porque te vas dando cuenta en el<br>proceso, es algo tan nuevo para todos<br>nosotros que también había lenguaje que<br>no compartíamos. Por ejemplo, nosotros<br>decíamos un un, no sé, base licitud y ti<br>me hablaba de otros temas de cosas,<br>infraestructura me hablaba de otra cosa,<br>de flujos de sistemas. Entonces también<br>llegamos al punto de un glosario común<br>para que todos entendieran qué<br>significaba baselicitud, qué significaba<br>la finalidad, qué significa el<br>tratamiento, porque como este mapa<br>operacional que es el RAT, ¿no es<br>cierto? desde dónde entra, hasta dónde<br>sale el dato y este este flujo completo<br>y este mapa completo. Entonces, resumo,<br>fue partir de lo grande y no irnos a lo<br>chico. Fuimos dividiendo por áreas, por<br>verticales. Nos dimos cuenta que había<br>que entendernos y hablar el mismo<br>idioma, porque algo super básico, de<br>verdad, nos dimos cuenta que teníamos un<br>tema con el idioma. Eh, y también lo que<br>hicimos fue colocar owners, owners por<br>por vertical, owner por<br>pedazos de información, porque también<br>te das cuenta que si no haces eso, la<br>información te llega parcial, te llega<br>más o menos, no se entendió el<br>significado. Entonces, cuando hay un<br>owner, tú vas y las la contability, oye,<br>necesito esta información en este plazo,<br>en esta forma, en este formato.<br>Entonces, el tema de la propiedad, que<br>probablemente no vamos a conversar, el<br>tema de la propiedad del RAT es<br>importante porque muchos creen, ah, es<br>legal,<br>¿no? La realidad que si solamente es<br>deslegal se muere, es de todos. Entonces<br>fue eso, fue partir de lo grande a lo<br>pequeño, ir dividiendo como por ir<br>dividiendo por sectores, por temáticas,<br>por verticales, hacer un tema de de<br>quiénes son, cuál es el glosario para<br>que nos entendiéramos, que fue super<br>básico, yo pensé que nos iba a pasar y<br>nos pasó. Y luego los owners, tener<br>owner por cada uno de de las verticales<br>o de o de los espacios dentro de la<br>empresa que que estábamos haciendo.<br>Entonces, eh dolor, pero la verdad<br>aprendizaje y y sí, básicamente eso fue,<br>no sé si responden, pero eso fue<br>básicamente la la como comenzamos.<br>Gracias, Paulina. Efectivamente, un<br>aprendizaje no exento de dolor.<br>No,<br>no, [risas]<br>pero distinc en algo, o sea, al final el<br>RAT es un eh este inventario que estamos<br>hablando es una herramienta que une a<br>las distintas áreas de una empresa y<br>como bien dijiste, no hay un solo dueño,<br>no es algo legal, no es algo tecnológico<br>y es tan rico que eh al final tuvieron<br>que e compartir sus visiones y entender<br>su propio lenguaje. Tú desde el punto de<br>vista legal. las áreas técnicas desde el<br>punto de vista eh técnico hacia ti,<br>viceversa. Así que al final yo creo que<br>el levantamiento del RAT es una<br>experiencia enriquecedora también para<br>la empresa, para la organización y para<br>que quienes finalmente van a trabajar<br>con datos, que son los principales<br>llamados a gestionar el RAT. Pero ahí me<br>surge una pregunta con eh que tenemos<br>este levantamiento del RAT.<br>Efectivamente, queremos hacerlo lo mejor<br>posible, queremos que todas las áreas se<br>involucren, eh queremos hacer un RAT<br>profundo que contenga toda la<br>información de la empresa y ojal y como<br>bien decía Paulina, viva. Pero, ¿qué tan<br>profundo te puede ser? Porque pasa que<br>desde el mundo de la consultoría, cuando<br>apoyan a la a la empresa en el<br>levantamiento de un RAT, no se puede<br>hacer todo probablemente. Y también hay<br>una hay una sobrecarga o un nivel de<br>detalle de información que quizás no es<br>óptimo, eh, o quizás sí es necesario<br>porque la ley lo exige. Ahí cuéntanos,<br>Coni, por favor, cómo es tu visión al<br>respecto y cómo lo han resuelto también<br>con sus clientes, con las personas que<br>han tenido que asesorar en el<br>levantamiento un rato.<br>Eh, comparto los dolores de Paulina de<br>que es difícil para todos internamente,<br>me imagino, y externamente también,<br>porque el problema del lenguaje<br>es es transversal. O sea, a mí me pasa<br>mucho que los clientes no entienden lo<br>que lo que lo que lo que compraron, no<br>entienden la asesoría que estamos<br>prestando. Y muchas veces ellos creen<br>que con una entrevista donde te dicen,<br>"Sí, tratamos nombre rot, tratamos<br>perfil X y ya están y nosotros vamos a<br>entregar la solución así un día y listo,<br>aquí está tu rap, nunca más lo viste."<br>Eh, eso es un dolor de cabeza también<br>para nosotros como asesor externo. Y<br>justamente cuando nosotros nosotros<br>tenemos super estandarizado nuestro<br>rato, ¿ya? es una lo tenemos bien<br>detallado y viene un poco de la<br>metodología que nosotros tenemos como<br>oficina de España. Entonces está muy<br>parametrizado, los riesgos están<br>parametrizado, etcétera. hicimos una<br>bajada local, evidentemente, pero lo<br>tenemos super eh definido, digámoslo<br>así, con hemos ido haciendo mejoras como<br>definir el tratamiento, eh describirlo<br>para ver un poco el flujo del dato, pero<br>en verdad eh desde la oficina de España<br>se ha simplificado bastante y de hecho<br>vi ahí una pregunta que decía como es<br>necesario poner el root específico por<br>favor no, pero sí pueden poner como de<br>hecho ellos en España, por ejemplo,<br>ponían en vez de poner root, nombre,<br>apellido que Nosotros lo hacemos acá<br>para para efectos de tener más<br>trazabilidad y visibilidad de lo que se<br>está tratando. En España se acordó y se<br>dejó como datos identificativos, todo<br>muy genérico, eh<br>datos de contacto, etcétera, etcétera. O<br>sea, ellos lo tienen de otra manera.<br>Pero si me preguntan a mí, a mí me gusta<br>un poco más el detalle para saber<br>realmente qué es lo que estamos tratando<br>y cuáles son los resguardos en<br>específicos que tenemos que tener<br>respecto a cierta información. Porque<br>efectivamente, por ejemplo, si somos una<br>universidad, nosotros tratamos datos eh<br>de estudiantes que cuando ingresan a la<br>universidad son menores de edad.<br>Entonces, igual hay que hacer ciertas<br>distinciones para poder eh saber dónde<br>están nuestros riesgos. Entonces, el<br>detalle ahí quizás aporta aporta en esta<br>en esta visibilidad de dónde tengo que<br>poner el foco, pero efectivamente la<br>idea del RAT es que nos permita tomar<br>decisiones, ¿cierto? Entonces, la idea<br>es que tenga la información suficiente<br>para poder yo eventualmente como empresa<br>tomar decisiones correctas y que no<br>sobreabunde tampoco porque cuando<br>tenemos un RAT mutante con mucha<br>información ya se vuelve insostenible y<br>no se ejecuta de la manera correcta.<br>Entonces, hay cosas básicas que debe<br>tener, como dijimos, ¿cuál es el nombre<br>del tratamiento? ¿Cuál es el<br>departamento responsable de ese<br>tratamiento? eh por d la fuente del<br>dato, por dónde entró, eh los tipos de<br>dato, eh cuál es mi base de licitud, por<br>supuesto, si hay categorías especiales,<br>niño, niña, adolescente, etcétera, cuál<br>es mi mi base de ilicitud para ese<br>tratamiento si hay datos sensibles, eh<br>cuánto tiempo los almaceno y los<br>conservos, cómo informo al titular, cuál<br>del del tratamiento, cuál cómo cumple el<br>principio de transparencia e<br>transferencias internacionales y también<br>los terceros, que son muy importantes,<br>tener mapeados los terceros, es decir,<br>decir, ¿a quién le paso datos como<br>encargado de tratamiento o como o como<br>sesionarios? Al final, la idea es poder<br>tener todo eso que es lo básico dentro<br>de esta gran herramienta llamada RAT y<br>bueno, por supuesto, las medidas de<br>seguridad que son claves para saber cómo<br>estamos protegiendo la información y con<br>eso ya es más o menos gestionable para<br>una empresa, obviamente con una empresa<br>pequeña es más fácil, pero como estamos<br>hablando de una entidad grande eh igual<br>es es complejo y y<br>requiere apoyo de todos. O sea, si bien<br>va quizás va a haber un encargado que va<br>a ser el delegado de protección de<br>datos, como decía Pauli, al final hay<br>que tener estos eh, no sé cómo le<br>dijiste tú, pero yo le digo líderes,<br>owners. Yo digo líderes,<br>empresa gringa, empresa gringa.<br>Tú eres el embajador de recursos<br>humanos. O sea, es que si no, ¿cómo? O<br>sea, me fuera la DPO de una empresa<br>y lo fui en un momento y me acuerdo que<br>yo en España les decía a la gente como,<br>"¿Ya me puedes comentar qué estás<br>haciendo?" Es que nadie, si no nadie me<br>pescaba, o sea, en el fondo tenía que<br>dirigirme una persona en particular y<br>decirle, "¿Qué estamos haciendo con los<br>datos?" y ahí me respondían y uno se<br>hacía cargo, pero si no tenemos a ese<br>owner que que no que entienda bien lo<br>que estamos haciendo, es ingestionable<br>al final. Y la idea es que nosotros<br>podamos usar esta herramienta antes del<br>tratamiento, no cuando ya está<br>ocurriendo y tenemos ahí todos los<br>riesgos ahí visibles, sino que antes de<br>que ocurra, antes de mapearlo, decir,<br>"Ya, evaluemos lo que vamos a hacer,<br>cómo lo vamos a hacer, etcétera,<br>etcétera, etcétera."<br>Bueno, es eso último es clave también<br>porque es lo típico que es primero el<br>huevo de la gallina,<br>o sea, primero primero el registro de<br>actividades o o el tratamiento.<br>Sí, claro. Por eso también ahí pasamos<br>el mensaje de que este es el minuto<br>idóneo para hacer levantamiento registro<br>de actividades porque después a partir<br>del de el del primero de diciembre ya<br>cambia un poco el panorama.<br>Eh, quiero tomar un poco lo que lo que<br>señalabas como para empezar como y<br>también a nuestro público que<br>probablemente está en este en este<br>proceso de levantamiento un RAT de del<br>mensaje general que tú señalas que ir un<br>poco de lo general, ir un poco de los<br>requisitos de estos campos que sí o sí<br>tiene que contener un RAT. Sí.<br>Eh, también desde la de los datos<br>personales que se tratan, las<br>categorías, categorizarlo<br>es una un buen ejercicio, o sea,<br>categoricemos primero qué datos<br>personales estamos tratando y después<br>vamos a ver en nivel de detalle. En<br>nivel de detalle también involucra<br>riesgo. Disten esclavo, por ejemplo, en<br>el dato de los menores de edad, que que<br>la que la nueva ley lo trata de forma<br>específica.<br>Eh, pero pero claro, quizás y de lo<br>general a lo particular<br>llenando los campos que son necesarios<br>para para una gestión mínima de un<br>registro de actividades y quizás para<br>alimentar el camino para lo que viene<br>después, porque hay cosas que no se<br>pueden escapar, la medida de seguridad,<br>no pueden quedar fuera.<br>Pero también dijiste<br>que esto es fácil en una empresa más<br>pequeña o no fácil, pero quizás más<br>gestionable<br>y en una empresa grande esto se complica<br>y sabemos que mientras el tamaño de la<br>empresa es más grande quiere decir que<br>tiene más gente, más personas a cargo de<br>distintos procesos y esos distintos<br>procesos se traducen en una o más<br>actividades.<br>hablaban de los owner, hablaban de estos<br>líderes de los procesos, los líderes que<br>que van a ser finalmente los que van a<br>gestionar sus propias actividades.<br>Eh, ahí, Paulina nos comentaste un poco<br>antes esta relación entre las distintas<br>áreas. Eh, Coni también nos habló de del<br>rol de un DPO, que cuando a veces no lo<br>pescan mucho. Em, desde tu perspectiva,<br>¿cómo logramos involucrar a la gente<br>para a las distintas áreas? ¿Cómo<br>logramos que ellos se comprometan con<br>este registro de actividades?<br>El sombrerito de owner que le pusimos<br>realmente lo lleve puesto, eh, y que<br>quizás estos líderes también pasen el<br>mensaje a sus equipos, que al final son<br>los que van a trabajar con esos datos.<br>¿Cómo cómo hacemos este trabajo<br>internamente?<br>¿Cómo hacemos la evangelización?<br>Básicamente, eh, mira, nosotros lo que<br>nos dimos cuenta de nuevo, esta es una<br>empresa obviamente super grande, tan<br>millones de países y todo, pero una una<br>experiencia que yo saqué de otros<br>procesos que hemos tenido es eso de los<br>owners, o sea, literalmente. Y tomo una<br>pregunta que hicieron, les pido<br>disculpas si no me expresé bien. Cuando<br>hablo de verticales me refería como a<br>las áreas dentro de la empresa.<br>Entonces, si es producto, si es<br>soluciones, si es ti, si es<br>infraestructura, si es recursos humanos,<br>si es negocio, en fin, ¿no? Entonces, tú<br>tomas todas las áreas que tienes dentro<br>de tu empresa, por muy grande que sea o<br>muy pequeña que sea, si tiene tres<br>áreas, dos áreas, cuatro áreas. Y a cada<br>área se define un owner. Entonces, en el<br>minuto que tú pones a un dueño de<br>recursos humanos para este tema, ¿no es<br>cierto? O a un dueño frente a ti o un<br>dueño en inrainfraestructura o un dueño<br>en data, eh, esa persona ya tiene esa<br>responsabilidad. Entonces, nosotros lo<br>que hicimos fue uno nos dimos cuenta,<br>como te decía antes, les decía antes,<br>que el idioma es increíble como el<br>glosario, el idioma y que habláramos lo<br>mismo fue super importante porque en<br>realidad algo super básico, yo me di<br>cuenta que estábamos topándonos porque<br>no estábamos hablando lo mismo o se<br>entendían cosas distintas con la misma<br>palabra, en fin. Entonces, la<br>explicación básica de un glosario y de<br>unas sesiones supercortas, super<br>rápidas, precisas, donde se explicaba<br>esto y mostrarles lo que uno gana con<br>esta herramienta, en el tema de la<br>trazabilidad, el tema del control, el<br>tema de tomar decisiones más rápidas,<br>¿no es cierto? la eficiencia, eh cómo se<br>controlan los riesgos, la operación<br>misma. Una vez que entienden tus equipos<br>internos y las distintas verticales o<br>áreas, la importancia que tiene para el<br>negocio y para la operación, eh se mueve<br>mucho más rápido. Entonces, para mí fue<br>un tema del idioma, cómo hablábamos, que<br>entendiéramos lo mismo y luego hacerlos<br>entender la importancia de esta<br>herramienta desde el punto de vista<br>operacional, eh, y mostrarles como quick<br>wins también, ¿no? Si mira, esto ya<br>estaba listo, entonces este flujo no<br>está duplicado, eh este tercero tenía X<br>y entonces se requería un DPA o no. O<br>sea, esos quick wins también sirvió<br>mucho, pero yo creo que principalmente<br>fue tener los owners, los dueños por<br>cada por cada área y hacerlos entender<br>eh la importancia operacional para el<br>negocio y la eficiencia que significaba<br>en la toma de decisiones tener esta<br>herramienta.<br>Yo creo que esa fue la bajada para<br>nosotros que que hizo como el el cambio.<br>Muchas gracias, Paulina. Efectivamente,<br>estos pequeños wins son los que al final<br>estas pequeñas tareas son las que al<br>final van dejando y después uno va<br>viendo como cómo la organización se va<br>ordenando, eh se va comprometiendo<br>también con lo que es el tratamiento de<br>los datos personales y y lo hace parte<br>de su de su proceso, de su día a día.<br>Eh, ya no hay que entender la ley, si no<br>implementamos la ley y sabemos por qué<br>lo estamos haciendo de esta manera.<br>Eh, quiero hacer una pregunta ahora para<br>ambas.<br>Eh, no sé quién va a tomar el la batuta<br>acá, [risas]<br>pero estamos estábamos hablando del<br>levantamiento, un registro de<br>actividades. Efectivamente, el proceso<br>más más complejo desde un inicio e el<br>punto partida, por decirlo, la primera<br>piedra, pero llega un punto en que<br>tenemos que decir, tenemos nuestro<br>registro de actividades, o sea, dijimos<br>que no puede tener un nivel de detalle,<br>probablemente no puede abarcar todo,<br>probablemente van a quedar cosas en el<br>camino.<br>Pero, ¿qué tiene que pasar entonces para<br>que una empresa diga que tiene su<br>primera versión o su primer documento<br>consolidado de registro de actividades?<br>¿Qué es lo que tiene que pasar para que<br>ustedes digan, "Este es nuestro rato."<br>No sé quién quiere partir.<br>Vamos a bajar a la consultora, a la<br>señora hija que parta [risas]<br>con la respuesta. Oy, está difícil esa<br>pregunta porque claro, encuentro que es<br>tricky tu pregunta porque una cosa es<br>tener mi documento ya ponerle un Excel,<br>Word o herramienta porque se puede tener<br>en los tres formatos, digamos. Eh, y<br>otra cosa es que ese RAT realmente esté<br>vivo, que funcione, que alguien lo<br>revise, que alguien lo actualice,<br>etcétera, porque cuando queda en el<br>papel, pucha, para mí no diría, yo no<br>diría que tenemos un RAT, si es que la<br>cuestión está por ahí. De repente le<br>decía al consultor, "Oye, esto lo<br>podemos actualizar después de 10 meses<br>cuando hicieron 80,000 nuevos<br>tratamientos."<br>Entonces, eh para que realmente podamos<br>decir, sí tenemos un rap que alguien<br>tiene que hacerse cargo de actualizarlo.<br>Alguien tiene que estar constantemente<br>revisándolo, eh actualizándolo,<br>gestionándolo<br>y en el fondo haciendo que viva. Si no,<br>para mí es simplemente papel y no sirve<br>mucho. O sea, haciendo el símil<br>e que tienen esto quizás más fresco, que<br>es el tema del modelo de aprensión del<br>delito. cuando hablamos del modelo<br>prevensión del delito y es mi modelo,<br>aquí lo saco de repente aquí,<br>no tengo idea qué dice, pero aquí está<br>ya no no tenemos que trabajar la<br>herramienta. Todo eso está para que uno<br>lo trabaje, lo gestione, lo utilice, sea<br>parte del ADN de el negocio y en el<br>fondo que se sepa que, por ejemplo,<br>vamos a hacer una campaña eh X con<br>menores de edad, ya, oye, son menores de<br>edad, ojo, ya, ¿qué vamos a hacer? ¿Cómo<br>vamos a proteger esta información?<br>¿Cuáles son los contratos que firmamos?<br>¿Cuáles tenemos en el caso de datos<br>sensibles la autorización de los papás<br>para x cosas? Estos son estos son más<br>grandes. ¿Pueden autorizar? No sé. En el<br>fondo hay que gestionar esta herramienta<br>llamada RAT para que podamos decir,<br>"¿Sabes que tenemos un RAT?" Si no, para<br>mí es papel. Así que no pasa la prueba.<br>Genial.<br>Paulina, ¿qué nos puedes decir al<br>respecto?<br>Eh, estaba pensando en la experiencia e<br>y de hecho en algún momento me han<br>preguntado<br>qué es mejor<br>tener un y me encantó la comparación que<br>hiciste porque el tema de los modelos de<br>prevención del delito se ha dado mucho y<br>bueno, y se ha dado a nivel ya de<br>tribunales y de juicios que tener un<br>modelo de prevención de papel no sirve<br>absolutamente de nada y es lo mismo con<br>el RAT. El sí que hiciste está<br>espectacular. Eh, el RAT tiene que ser<br>una herramienta viva, como les decía yo,<br>es una herramienta, es un mapa eh de la<br>operación misma que abarca todas las<br>áreas, todos los todas las verticales,<br>todas las áreas, todos los negocios que<br>uno tiene en la empresa.<br>Y al final, ¿qué? A ver,<br>lo estoy pensando en voz alta, hay que<br>pensar entre un R inicio a uno maduro,<br>¿no es cierto? el inicio, el desde te va<br>a decir qué haces con los datos.<br>Básicamente, qué datos tengo y qué hago<br>con los datos. B, creo yo que esas son<br>las respuestas que uno básicamente tiene<br>que responder. ¿Qué datos tengo y qué<br>hago con los datos? Uno maduro, ya bien<br>trabajado, te va a a probablemente<br>llevar a tomar mejores decisiones, que<br>es lo que yo hablaba al inicio, ¿no?<br>Pero yo creo que el inicio, lo básico y<br>el desde es qué datos tengo, eh, y qué<br>hago con esos datos, ¿no es cierto?<br>¿Dónde están los datos? ¿Quién los usa?<br>¿Hay terceros involucrados? Ese es como<br>el mínimo minimóum. Y luego a lo que uno<br>quiere llegar, obviamente, es que esta<br>herramienta<br>eh te lleve a tomar decisiones más<br>rápidas, decisiones más eficientes. Pero<br>lo que decía Coni, me encantó el similit<br>con el modelo de operación del delito,<br>superreal. Pasó en Chile que todo el<br>mundo sacaba los modelos y era un copy<br>paste y te das cuenta que no tiene que<br>ser una camisa a la medida para cada<br>uno, porque incluso tú hablab de<br>empresas muy grandes, pero puede ser una<br>empresa super chica, pero que tenga<br>mucho tratamiento de datos, puede ser<br>una fintech que tenga mucho tratamiento<br>de datos. Entonces, la verdad que el RAT<br>tiene que ser a la operación. Por eso<br>que yo les digo que es un mapa, pero eh<br>a nivel operacional que abarca todas las<br>áreas, ¿no es cierto? porque tiene que<br>ir a la realidad del negocio mismo. Eh,<br>de nuevo, puede ser una empresa que<br>tenga puede ser una un call center que<br>no tenga mucha gente quizás, pero trata<br>muchos datos. Puede ser una fintech que<br>puede ser pequeñita, pero trata muchos<br>datos. Entonces, el desde es qué tengo,<br>para qué lo tengo, cómo lo uso y un un<br>RAT maduro que al que uno debiera<br>apuntar que nosotros como organización<br>estamos caminando de la mano a usted,<br>¿no es cierto? ley de datos a eso es la<br>eficiencia, la rapidez, la la decisión<br>más rápida, la decisión eh con con mayor<br>trazabilidad, con mayor conocimiento,<br>con mayor información, creo yo. Va por<br>ahí.<br>Muchas gracias, Paulina Coni.<br>Efectivamente,<br>eh, en le<br>aquí nuestra asistente nos declaramos<br>enemigos de los de los rat de papel,<br>¿sí? de estos Excel que después terminan<br>en un correo electrónico, en una carpeta<br>o se replica por todas partes y nadie<br>sabe cuál es la versión que definitiva,<br>si la 1.1 o la la versión 1000. Claro.<br>E y por eso mismo quiero dar antes de<br>pasar a la siguiente sección, quiero dar<br>el pase a Rodrigo, eh, que nos va a<br>presentar ciertas<br>funcionalidades de nuestra herramienta<br>que tenemos en ley de datos del registro<br>de actividades para que este RAT no<br>termine en un Excel, no termine muerto<br>si no sea una herramienta viva. y<br>tomando el Sil que hizo Coni Coni con el<br>con los modelos de prevención de delito,<br>que sea efectivamente implementado.<br>Así que Rodrigo, te doy el pase.<br>Muchas gracias Ignacio. Y vamos a<br>aprovechar que hay una pregunta de Doris<br>que dice, "Por favor, ¿pueden presentar<br>de manera ejemplo el diseño del RAT?"<br>Vamos a hacer eso mismo en este momento.<br>Entonces, lo que pueden ver acá es un RP<br>propiamente tal de una actividad. En<br>este caso es comunicación con comercial<br>con perfilado externo. Y podemos ver los<br>distintos campos que en nosotros el<br>datatos proponemos. Sí, decirle a<br>nuestros clientes y prospectos que<br>efectivamente el RAT nosotros lo<br>ajustamos a cada uno de ellos, no es que<br>necesitamos como obligarlo a usar<br>nuestro RAT. Y ustedes acá pueden entrar<br>rápidamente a editar los distintos<br>campos que ya fueron levantados, por<br>ejemplo, las bases de institut, todas<br>referenciadas con la ley. Y la gracia es<br>que este RAT es un RAT que eh es<br>estándar internacional, obviamente se<br>pueden hacer ajustes, pero les puede dar<br>una primera mirada a la organización de<br>qué cosas debeñar en el RA cuando no<br>tienen siempre la suerte de contar con<br>un asesor experto y les pueda ayudar.<br>Este RAP, además, lo pueden exportar a<br>PDF, entonces la gracia es que se lo<br>podemos entregar a distintos actores que<br>quizás no necesitan entrar a la<br>plataforma a revisar. Entonces, ya<br>tenemos acá el RAT y por ahí también<br>escuchábamos conversar respecto a los<br>versionados. Efectivamente, nosotros<br>tenemos aprobaciones de RAT, entonces<br>cada uno RAT van a quedar guardados.<br>¿Qué más podemos ver acá? Alguien<br>preguntaba, "¿Qué desglose puedo poner<br>en la categoría de datos?" Acá nosotros<br>tenemos una tipología propuesta<br>bien granular y también podemos ajustar<br>a otras categorías que tengan nuestros<br>eh clientes. Tenemos una sección de<br>evaluaciones que es el siguiente paso<br>después del RAT. Ver si por ejemplo<br>tenemos que hacer una evaluación de<br>interegítimo siamos usamos esa base<br>deitud. Una prevaluación de impacto<br>haberse y riesgo para los titulares de<br>datos. una IPD. Todo esto obviamente<br>asistido con inteligencia artificial, eh<br>material de otro capítulo. Tenemos la<br>parte de gestión de riesgos y controles.<br>Podemos ir agregando riesgos y controles<br>a al RAT. Y de hecho, en los controles,<br>que también creemos que es muy<br>importante, eh si vamos a gestionar<br>controles, vamos a poder agregar tareas<br>al control. Sí, vale decir que<br>entendemos que nosotros tenemos que<br>gestionar este control con tareas porque<br>si no queda como algo que guardamos en<br>el tintero y no volvemos a revisar hasta<br>que el consultor o nosotros decidimos<br>dar una segunda vuelta. Y para ir<br>cerrando, eh tenemos también un<br>historial que nos permite ver qué<br>cambios se fueron realizando en el RAT,<br>¿sí? O sea, en un Excel es muy difícil<br>saber quién cambió qué, per acá tenemos<br>trazabilidad en caso de auditoría o en<br>caso de fiscalización. Y también si<br>vamos a a la versión a la parte final<br>tenemos un versionamiento, o sea,<br>podemos ver cómo fue evolucionando el<br>RAT para que no nos pase esto del RAT<br>1.1, 1.2 final, ahora sí que sí final,<br>versión final, lo podemos ver acá. Y<br>también tenemos la aprobación del RAT,<br>que es para algunas organizaciones que<br>necesiten que estos RAT se vayan<br>aprobando. Y dicho eso, para cerrar<br>también tenemos un DCHF que permite a la<br>organización gestionar el RAT ver<br>cuántas actividades tiene en total,<br>cuáles son de alto riesgo, eh cuántas<br>tiene aprobadas, cuáles son las bases<br>que está usando, qué departamento está<br>respondiendo con mayor detalle las<br>actividades de tratamiento y así poder<br>hacer seguimiento cuando nos pasa esto<br>que decía Coni de que mira, sabes que<br>como de peor, de repente uno va a tocar<br>la puerta, no te pescan con esto un<br>poquito más fácil también poder<br>gestionarlo. Les vuelvo a dar el pase.<br>Muchas gracias, Rodrigo.<br>Eh, ahora queremos pasar a la siguiente<br>sección de este webinar. Ya hablamos de<br>lo que es el levantamiento de un RAT.<br>Dimos algunas pistas también de lo que<br>es la gestión de un RAT y obviamente con<br>lo que pudimos ver de la plataforma. Eh,<br>lo que estamos viendo es el RAT vivo, un<br>RAT cuando ya está ya está levantado y<br>la la organización lo está gestionando<br>derechamente.<br>Eh, Coni, te quiero hacer una consulta<br>al respecto.<br>en tu en tu como cómo te ha pasado a ti,<br>cómo lo has visto tú quizás también como<br>el rol de DPO que que te tocó tener e te<br>tocó verlo más, pero si nos puedes<br>comentar alguna situación, yo creo que<br>alguna situación puede ser fácil para<br>entender para nuestro público, eh, en<br>que tuvieron que gestionar un RAT y al<br>mismo tiempo algún proyecto, alguna<br>actividad de de la organización y que el<br>R fue la herramienta que ustedes<br>tuvieron que consultar y que les sirvió<br>de base para poder realizar eh proyecto,<br>campaña, negocio, lo que sea de que haga<br>una organización. Eh, ¿cómo fue? ¿Cómo<br>opera este RAT en el día a día? ¿Cómo ha<br>sido útil en el rol de un DPO, en el rol<br>de la empresa internamente? ¿Cómo le ha<br>sido útil y si nos pudieses dar quizás<br>algún ejemplo de alguna situación que te<br>haya tocado ver? Es difícil hoy en día<br>desde el rol del consultor y como está<br>la madurez de este tema en las<br>organizaciones como dar ejemplos<br>prácticos de este tema, porque<br>solamente, por ejemplo, nosotros tenemos<br>un cliente que está hace muchos años<br>desde 2022 haciendo este este esta<br>asesoría de datos. Entonces está con una<br>maduración importante en el tema, o sea,<br>de repente levanta, oye, cambiamos el<br>registro, no sé, estoy metando, pero el<br>registro de de los trabajadores para la<br>asistencia en vez de firmar ahora va a<br>ser eh huella, ¿ya? Entonces ahí se<br>revisa lo que estaba en el RAT en su<br>momento y se genera un nuevo tratamiento<br>que sería eh marcar con biometría y ahí<br>se en el fondo se evalúa lo que tenga<br>que evaluarse, se hace todo en el fondo<br>la gestión del riesgo eh para poder en<br>fondo justificar el uso de este dato.<br>Pero lo que si podría, porque digo, ese<br>ejemplo es muy particular porque al<br>final solamente con este cliente ha<br>pasado los demás están sobreviviendo,<br>digamos, a reconocer sus tratamientos. Y<br>lo que a nosotros nos pasa mucho como<br>asesor externo es que, obvio, cuando tú<br>estás en una entrevista y levantas<br>información, levantas, no sé, dos<br>tercios, un tercio de lo que hacen. De<br>repente te dicen como, "Oye, pero<br>nosotros hacemos esto, hacemos esto,<br>hacemos esto." Y tú como asesores,<br>empezo, "Pero nunca lo conversamos,<br>nunca levantamos la mano." Entonces al<br>final ahí como que uno trata de poder<br>abarcar lo que más puede respecto a lo<br>que hacen hoy. Pero volviendo a la otra<br>pregunta de cómo empezar a usarlo como<br>herramienta<br>para poder el fondo gestionar nuevos<br>tratamientos o ver cómo operar. Me<br>acuerdo un caso en España<br>que yo como como encargada es que no era<br>DPO oficial, pero era la DPO no<br>extraoficial. Entonces yo me dedicaba a<br>contactar a mis líderes que básicamente<br>no estaban nombrados. Yo los designaba<br>así como ya todas a ser mi líder y y los<br>molestaba por correo. Ya, ¿qué estamos<br>haciendo?<br>firmamos esto, no sé qué, no sé cuánto.<br>Y me acuerdo que una vez eh la directora<br>de marketing iba a hacer un tratamiento<br>así terrible, terrible, porque era una<br>empresa que trataba mucho dato sensible,<br>entonces ella iba a tratar eh mucha<br>información para una campaña y mucha<br>información sensible de nuestro en ese<br>momento nuestros clientes. Y yo me<br>acuerdo que le pregunté por qué lo iba a<br>hacer, si había otra medida menos<br>intrusiva,<br>etcétera, porque en el fondo estaba ahí<br>el tratamiento red flag por todas<br>partes. Y eh me acuerdo que en ese<br>momento ella me respondió que cuánto era<br>la multa y yo le respondí y me dijo,<br>"Ah, bueno, estoy dispuesta a pagarla."<br>Eso también es una realidad que hay que<br>considerar, que obviamente esta ley no<br>es opcional del cumplimiento porque<br>estamos hablando de derechos<br>fundamentales y obviamente tienen que<br>ser protegidos, etcétera, etcétera, y no<br>es algo que podamos eh como el fondo<br>obviar. Es verdad también que las<br>empresas tienen realidades y a veces<br>quieren asumir riesgos, ¿ya? Y en el<br>fondo, uno como como asesor externo o<br>como DPO interno tiene que levantar esos<br>riesgos y decir, "Bueno, esto puede<br>suceder si hacemos esto. Ya la decisión<br>del negocio es ser es que del negocio y<br>se pueden tomar decisiones más o menos<br>riesgosas, que eso también es importante<br>tenerlo presente. Uno como asesor al<br>final siempre puede decir, esto lo<br>podemos hacer así, asá. Pero pero hay<br>cosas que a veces superan<br>en el fondo el funcionamiento de de la<br>operación, digámoslo así. Es más<br>importante quizás para la empresa la<br>operación y a veces prefieren en el<br>fondo asumir riesgos. Entonces, la<br>herramienta, como tú bien decías, sirve<br>para eh tener eh visibilidad de de<br>agarrar el tratamiento en su caso,<br>evaluarlo, eh gestionarlo, minimizar el<br>impacto, eh poner más medidas para<br>proteger la información o mitigar el<br>riesgo.<br>Pero eso básicamente, sinceramente, en<br>la práctica hoy en día en Chile cuesta<br>mucho que los clientes<br>se hagan cargo porque no hay una Paulina<br>interna en todas las oficinas que hace<br>esta pega y al final le llega a<br>cualquier persona que no sabe lo que<br>está haciendo y y se agobia también y yo<br>lo entiendo porque no tiene por qué ser<br>un experto en el tema. Entonces, como no<br>hay entendimiento para todas las<br>organizaciones de la importancia, y<br>hablo de organizaciones que son bastante<br>grandes y que tienen riesgos<br>importantes, eh, generalmente la por<br>ahora es un sobrevivir, es gestionar el<br>RAT, es poner todo lo que se nos ocurra<br>poner y ya eventualmente el día mañana<br>ojalá poder revisarlo, gestionarlo, ir<br>actualizando,<br>etcétera, etcétera. Pero hoy día te digo<br>la realidad que a mí me toca ver.<br>Efectivamente,<br>eh estoy totalmente de acuerdo contigo,<br>hay un proceso de maduración. Estamos<br>acá en Chile, estamos recién entrando a<br>una etapa que ni siquiera tenemos una la<br>nueva ley vigente.<br>Estamos todos en esto que se llama<br>proceso de adecuación, pero creo que eh<br>diste clavo con la con la importancia<br>del registro de actividades que incluso<br>te sirve para tomar decisiones<br>riesgosas. O sea, en el fondo, eh, el<br>registro de actividades te ayuda a tener<br>todas las cartas sobre la mesa. Eso es<br>tener todas las casas sobre la mesa,<br>entender bien cuáles son tus riesgos,<br>entender bien cuál es tu margen de<br>acción y bueno, cada organización<br>entenderá también cuáles son su cuál es<br>su tolerancia al riesgo respecto a estos<br>temas,<br>pero eso es es tener la información<br>sobre la mesa, es tomar una decisión y<br>después que no nos sorprendamos cuando<br>nos llegue la mult. y tomar decisiones<br>inteligentes al final porque el negocio<br>tiene que seguir y hay cosas que van a<br>hacerse igual, pero como dices tú que<br>después digamos, oye, pero a mí nadie<br>cómo nadie vio este<br>como cómo nadie me dijo la multa o nadie<br>me dijo que esto era un riesgo y ahí<br>después la Bonnie y Paulina van a<br>levantar la mano y yo te lo dije de<br>todas esta forma [risas]<br>y aquí está la información. pasa.<br>Oye, Paulina, siguiendo también con lo<br>que es la gestión del RAT, yo entiendo<br>que hay un proceso de maduración y hay<br>un proceso de que estamos recién pasando<br>a la siguiente etapa, a la etapa de<br>gestión. Ya hubo un levantamiento en el<br>caso de ustedes. Eh, pero ¿cómo ha sido<br>la gestión en para ti eh ahora que ya<br>tienes un registro de actividades? ¿Te<br>ha tocado actualizarlo? ¿Te ha tocado<br>volver a revisar? te ha tocado eh<br>quizás borrar, no sé, te ha tocado eh<br>gestionarlo o o ya empezar a a dividirse<br>las tareas con las distintas áreas, a<br>repartirse un poco lo que es el trabajo<br>del registro de actividades, o el<br>tratamiento propiamente tal. ¿Cómo<br>cuéntanos primero si te ha tocado y y<br>cómo ha sido esa experiencia,<br>cómo lo vivimos? Eh, sí, la verdad que<br>eh y también tomando lo que están<br>diciendo ustedes, eh hay que ponerse las<br>pilas. O sea, nosotros somos somos<br>servicios esenciales, somos operador de<br>importancia vital, somos asesores<br>crediticios por fintech, tenemos alto<br>sombrero, eh, Transunion y como tal<br>nuestros clientes son bancas, telc,<br>seguro, retail financiero, cooperativa,<br>o sea, hay más, ¿no es cierto? Y nos<br>damos cuenta que a la fecha, en todas<br>las reuniones que tengo, les digo,<br>vamos, apurémonos,<br>apurémonos, porque de verdad el primero<br>de diciembre está la vuelta de la<br>esquina y todavía no he revisado bien tu<br>bodega, como bien decía Cony, eh, y este<br>es el minuto, tomando lo que tú dijiste,<br>este es el minuto para que<br>ojalá, porque a mí me encanta la<br>experiencia con ustedes, los busquen a<br>ustedes y si no, pero pero hagan su RAT<br>desde el más básico que tengo ¿Y qué<br>hago con eso? Hasta la madurez, que es<br>lo que tú me estás tocando tocando<br>ahora, ¿no es cierto? Porque la gracia<br>del rar que además puedes tomar<br>decisiones más rápidas, pero con<br>control. ¿Por qué con control? Porque tú<br>ya sabes qué es lo que tienes, ¿no es<br>cierto? Tienes la trazabilidad, incluso<br>lo hemos visto en el tema de de los<br>riesgos, en los temas de los incidentes.<br>Hay un incidente, por eso contaba<br>quiénes son nuestros clientes. Si<br>tenemos un incidente, lo manejamos<br>muchísimo más rápido la gestión porque<br>ya sabemos rápidamente qué datos, qué<br>sistema o qué terceros están<br>involucrados.<br>Eh,<br>creo que la actualización es importante.<br>Alguien había preguntado ahí, si no me<br>equivoco, nosotros lo que estamos<br>haciendo ahora, porque tampoco estamos<br>tan increíbles, eh creo que estamos<br>super bien, pero estamos en camino, ¿no?<br>Es eh meterlos en comité el tema del<br>RAT, que sea parte de tu agenda. Eh,<br>como es una herramienta viva y es un<br>mapa, ya dije, que afecta la operación<br>completa y que tiene que ser transversar<br>a todas las área de la empresa que tiene<br>sus owners, que tiene sus líderes, lo<br>que nosotros estamos viendo ahora es<br>hacerlo como parte de los comités, por<br>ejemplo, los comités, nosotros tenemos<br>comité de datos eh por país eh que son<br>mensuales y lo que yo estoy viendo que<br>ya parte de ese comité de datos en la<br>agenda aparezca rat, ¿no? y que lo<br>podamos conversar, lo podamos discutir.<br>Yo creo que honestamente ahora todavía<br>es una herramienta super viva y está<br>como en constante<br>reformulación o actualización porque<br>nosotros partimos de un desde que era el<br>Excel porque hay que partir de algo y<br>ahora estamos pasando a lo que mostró<br>Rodrigo que es espectacular que es la la<br>plataforma, el módulo que tienen ustedes<br>que obviamente soluciona la vida. Eh, yo<br>creo que sí tiene que ser parte tan<br>integral de la vida diaria del vow, del<br>business as usual de la empresa, que<br>tiene que para mí, que yo lo estoy<br>postulando así, que sea parte de estos<br>comités de datos donde sea un punto, un<br>punto en el que uno para hablar del RAT,<br>eh, porque de nuevo, si nosotros<br>queremos llegar a un RAT maduro que no<br>solamente te dice qué es lo que tienes y<br>qué es lo que haces con la data, sino<br>que te lleva a tomar estas decisiones<br>más rápidas, pero con control, creo que<br>ese este RAT tiene tiene que ser parte<br>de tus comités, tiene que ser parte de<br>tu día a día, eh, para mí, por lo menos<br>así, así lo así lo estoy apuntando yo,<br>así estoy vendiendo la la pescada, como<br>decimos [risas]<br>Bueno, hacerlo parte también de la<br>conversación.<br>Exacto.<br>Eh, muchas gracias, Paulina. Eh, Coni,<br>también en este mismo sentido hablando<br>de lo que es la actualización de un RAT,<br>de esta herramienta viva de que al final<br>vamos a estar siempre volviéndolo a<br>revisar, volviéndolo a mirar, es un<br>proceso, como dicen, de mejora continua,<br>pero también para para comentar a<br>nuestro público y quiénes están en este<br>proceso, que que son los que nos más<br>interesa, que poder ayudarlo. Eh, ¿qué<br>gatilla? ¿Qué puede gatillar la<br>actualización de un rato? ¿Qué que al<br>final qué son los hitos? ¿Qué tiene que<br>pasar para que yo diga, hm, voy a ir a<br>mirar registro de actividades, voy a ver<br>si está contemplado, no está<br>contemplado.<br>Eh, ¿qué qué cosas pasan que uno dice<br>tiene que haber un una actualización? Es<br>una buena pregunta porque pueden ser<br>varias varios factores. Quizás el más<br>sencillo sería un, por ejemplo, una<br>nueva empresa, un nuevo producto, un<br>nuevo servicio que estemos diseñando.<br>Eh, ya desde ahí se debería evaluar<br>desde el comienzo todo el privacy by<br>design, que es el que está este deber<br>principio que tiene se debe cumplir, que<br>también es super poco entendido porque<br>no se entiende muy bien al principio de<br>qué se trata, pero justamente es poner<br>en el centro de la mesa, como dijimos<br>antes, la privacidad desde el diseño de<br>todos nuestros procesos, productos,<br>servicios, lo que sea que estemos<br>haciendo, eh que requiera, obviamente<br>tratamiento de datos personales.<br>Entonces, eso sería como un punto de<br>partida. También podría ser una nueva<br>tecnología, un nuevo sistema que estemos<br>contratando, que obviamente requiera<br>evaluarse, requiera requiere eh<br>mapearse, requiere en el fondo saber qué<br>información estamos poniendo ahí, para<br>qué, cuál es mi tercero, etcétera,<br>etcétera, etcétera. Eh, un cambio en una<br>finalidad, un tratamiento. Recordemos<br>que nosotros recogemos datos para<br>finalidad en específico y podemos<br>tolerar, digámoslo así, hasta<br>finalidades compatibles. Pero cuando son<br>finalidades que se extralimitan a lo que<br>para lo que nosotros en el fondo<br>recogimos el dato o lo o avisamos de ese<br>tratamiento, vamos a tener que<br>gestionarlo como nuevo tratamiento y<br>buscar una base de ilicitud nueva y<br>informar, etcétera, etcétera, etcétera.<br>Todo se debe mapear de nuevo en este<br>inventario, registro de actividades. Eh,<br>incorporación o terceros también o tener<br>eh nuevos eh proveedores o también<br>terceros a los cuales les cedamos datos.<br>Obviamente también son relevantes las<br>transferencias internacionales, que es<br>un temazo también que todavía está medio<br>ahí cogeando, que ahí también para mí<br>visión técnica, si nos vamos a lo<br>estricto, una transferencia<br>internacional, yo creo que todo aplica<br>como transferencia internacional hoy en<br>día si los servidores están en todas<br>partes. Entonces ahí va a ser como super<br>importante que qué defina la autoridad<br>como transferencia internacional, porque<br>para mí hoy hoy es todo básicamente y<br>obviamente el uso de datos que quizás<br>son más sensibles, que requieren eh<br>medidas de seguridad específica o los<br>datos de categoría especial, o sea, al<br>final eh rayos para la suma, cada vez<br>que estemos frente a una nueva actividad<br>de la empresa que requiera tratamiento<br>de datos personales, deberíamos levantar<br>la mano y poder actualizar eh y revisar<br>el RAT. O sea, al final por eso es tan<br>importante los líderes o los o los<br>owners por áreas sin esas personas que<br>estén tocando la puerta a la persona<br>encargada de gestionar esto, que puede<br>ser o no el DPO, dependiendo si la<br>organización tiene uno o no, recordemos<br>que no obligatorio, eh es imposible de<br>gestionar, o sea, no no se puede, o sea,<br>no se puede. Entonces, tienen que estos<br>líderes tienen que comprometerse mucho<br>con eh o bien actualizarlo dependiendo<br>de lo que hagan o levantar la mano a la<br>persona encargada que lo hace, pero es<br>la única forma de mantener la<br>traceabilidad y mantener en el fondo la<br>herramienta viva y funcional, porque si<br>no llegamos tarde, llegamos después, que<br>es lo que generalmente ocurre, que<br>cuando ya está el tratamiento, la<br>herramienta, el producto ya levantado,<br>digámoslo así, eh se levanta la mano y<br>hay casos bien emblemáticos de este<br>tema. Por ejemplo, en una empresa que<br>una vez se se había gestionado como un<br>escáner para ver si los trabajadores se<br>robaban o no cosa. Así, imagínate, te<br>escanean entera el cuerpo, entrada y<br>salida. Obviamente tú pagas por una<br>herramienta de CC jurando que es lo más<br>legal del mundo y después, oye, pero<br>parece que estamos vulnerando derechos<br>fundamentales de los trabajadores, vamos<br>a tener que volver atrás. Entonces igual<br>es un tema, yo siempre digo a los<br>clientes, no lo vean como una carga<br>regulatoria, vean como una forma de<br>ahorrar dinero, ya que todos lo vemos en<br>en plata a veces. Eh, bueno, si uno<br>tiene una herramienta, un RAT bien<br>gestionado, va a haber riesgos que van a<br>evitar desembolsar plata en productos y<br>servicios que después van a ser eh<br>imposible gestionar. Así que eso.<br>Oye, qué qué buen ejemplo ese que diste,<br>porque aquí también quiero pasar un<br>mensaje quizás eh no es que e la<br>protección de datos te prohíba hacer<br>estas cosas, o sea, quizás en esa<br>empresa se justificaba,<br>no no creo, pero se justificaba revisar<br>a a los trabajadores. Bueno, si si<br>probablemente era una bóveda de un<br>banco,<br>¿no? Pero pongamos un ejemplo, pongamos<br>un ejemplo, pero espérate, pongamos un<br>ejemplo donde sí se justifica, o sea, no<br>eso, pero don, por ejemplo, el tema del<br>somnolencia para las mineras que está<br>ahora muy de moda.<br>Lo que pasa ahora que está de moda,<br>exactamente, la cámara dentro de los<br>camiones.<br>Es necesario por ley eso es necesario<br>por ley, pero hay formas de mitigar el<br>riesgo, o sea, es decir que no apunta la<br>cara a la cámara, que se que no esté<br>todo el rato grabando, que solamente<br>grabe cuando la persona pestañea y así<br>un montón de cosas. O sea, en el fondo<br>no es ilegal, pero hay que gestionar el<br>riesgo. Y en este caso el otro era<br>bastante ilegal porque era como habían<br>robado no algo, pero va a depender el<br>caso.<br>Claro, hay que hacer ese análisis. Eso<br>es lo que invita a la ley a hacer el<br>análisis y que la organización pueda<br>justificar por qué fue la mejor medida.<br>O sea, al final también la seguridad<br>puede ser un tema eh lo vemos<br>constantemente y y existe la tecnología<br>para esto, pero las organizaciones<br>tienen que hacer el trabajo de<br>eh de evaluar los riesgos, de ver si es<br>que hay una medida menos invasiva, si es<br>que efectivamente esa es la medida<br>proporcional a lo que estamos queriendo<br>proteger, que en este caso es la<br>seguridad o la vida de las personas<br>también puede ocurrir.<br>Y todo esta esa conversación parte en el<br>registro de actividades porque detrás de<br>eso, de esa medida, hay una actividad.<br>Estamos escaneando a las personas porque<br>algo queremos algo hay una actividad que<br>realiza la organización que queremos<br>saber, o sea, que tenemos que conocer<br>antes para poder tomar esa decisión.<br>Eh, quiero terminar antes de pasar con<br>las preguntas del público, con una<br>pregunta para ambas.<br>Eh, que creo que bueno, ya lo hemos<br>respondido, pero pero como para mensaje<br>final antes de pasar a las preguntas, si<br>es eh si en su opinión es viable<br>gestionar un RAT en Excel y también<br>eh junto con eso, ¿qué tan riesgoso es<br>hoy no tener un RAT versus quizás tener<br>un RAT eh incompleto que quizás no<br>refleja la realidad, pero que existe?<br>Si pueden contestar ambas preguntas<br>desde esto ya es como una opinión, pero<br>si nos pueden comentar que qué piensan<br>al respecto. Paulino,<br>parto parto yo ahora porque lancé la<br>coni antes [risas] y me lo va a cobrar.<br>Eh, hay que partir de algo y la realidad<br>que nosotros<br>yo yo amo el Excel porque ayuda. Lo que<br>pasa es que se hace poco, eh, se hace<br>insuficiente, ¿no es cierto? porque eh<br>llega un minuto en que eh hay pueden<br>haber muchos terceros o muchos sistemas<br>eh la la necesidad de trazabilidad y lo<br>que más se da, lo que más se da es que<br>la versión uno, versión dos, versión 3,<br>versión cuatro, la versión cinco, la<br>versión seis, ¿quién quién movió esta<br>columna? ¿Quién no movió esta columna?<br>¿Quién tiene acceso? ¿Quién no tiene<br>permiso, la integración con los flujos?<br>No, no, no se lo cuando uno comienza a<br>encontrarse con la realidad de que<br>tienes que integrar flujo e el tema de<br>la información e puede estar sujeto a<br>auditoría, algunos no quizás, pero<br>puedes estar sujeto eh a auditoría.<br>habían preguntado por los cambios, vas a<br>tener cambios frecuentes. Los los los<br>temas que sacó<br>Coni son superreales. O sea, nosotros<br>ahora para cada producto, literalmente<br>para cada movimiento que hacemos<br>RAT, cada reunión con clientes, que ya<br>les mencioné nuestros grandes clientes,<br>así cuáles son las industrias, yo antes<br>de pido el RAT. Oye, dame el R de este<br>cliente, quiero verlo. Y y ah, estos son<br>los datos, son las bases, estas son las<br>bases, estas son la estamiento, esta es<br>la trazabilidad, este y uno ya se<br>prepara de nuevo las situaciones más<br>rápidas. Entonces ahí te das cuenta que<br>el Excel para iniciar, para el<br>levantamiento<br>sirve, porque de alguna parte tenes que<br>comenzar. Nosotros partimos así,<br>partimos con un Excel hasta que les<br>tocamos las puertas a ustedes porque<br>claramente nos dimos cuenta que era<br>mucho lo que estábamos abarcando.<br>Teníamos 1000 1000 versiones, los flujos<br>se nos estaban cruzando por todos lados.<br>Eh nosotros además sujetos a auditoría,<br>terceros por aquí, por allá, eh<br>el tema los in. Entonces nos dimos<br>cuenta que necesitábamos algo más más<br>profesional y que además nos hiciera el<br>trabajo más fácil, ¿no? Que tú tomaras<br>el módulo, te metieras y encontraras<br>rápido la información, actualizarlo<br>fuera fácil. Lo que les contaba ahora,<br>eh, alguien preguntaba cada cuánto<br>tiempo había que actualizar, cada 6, 5,<br>6 meses. Nosotros lo estamos haciendo<br>como business usual, ¿no? El bow es<br>parte nuestra y en un comité se conversa<br>porque es el desde y es la base.<br>Entonces para nosotros, nuestra<br>experiencia por lo menos fue que claro,<br>cuando lleamos como la versión 10 nos<br>[carraspeo] queríamos matar y dijimos,<br>"Aquí necesitamos algo un poquito más<br>pro" y pasamos del Excel a la a la<br>herramienta que que mostró que mostró<br>Rodrigo y mi y la segunda pregunta, mi<br>opinión personal, más vale no tener<br>a tener,<br>obvio, hay que tener algo. El punto está<br>que, ¿qué es lo que tienes? Lo que<br>tienes es papel, lo que decía la CONI<br>con los modelos prevención del delito,<br>estos que al final un copy paste que no<br>que no sirve de nada. Yo creo lo que va<br>a buscar, creo yo, aquí la Coni puede<br>hablar mucho mejor que yo al respecto,<br>pero lo que va a buscar el regulador es<br>que haya trazabilidad y que haya<br>control, ¿no? Me imagino que va a<br>apuntar a eso. Entonces, yo prefiero<br>tener un ra inmaduro que está<br>comenzando, pero que es real a la<br>operación y que me muestra lo que yo<br>tengo, a tener algo que es papel y que<br>no refleja la realidad y que va en<br>camino de crecer, porque si no, de<br>nuevo, tomando el ejemplo que yo la<br>Coni, va a generar una falsa sensación<br>de de cumplimiento que no existe.<br>Entonces<br>puedes tener algo pequeñito, pero que<br>muestre la realidad y que y que no sea<br>de papel y que vaya creciendo frente a<br>una auditoría, porque creo pensar que la<br>agencia va a buscar eso, la trazabilidad<br>y el control que uno tiene de los datos,<br>¿no es cierto? Esa sería la segunda y la<br>primera es lo que les decía, o sea, yo<br>definitivamente e<br>les pido mil disculpas porque todavía<br>estoy con el Teams del trabajo y me<br>acaba de aparecer un tema de de un<br>cliente y me desconcentró cualquier<br>cantidad, pero eh vuelvo a lo que<br>habíamos hablado antes, eh yo creo que<br>tiene que sí o sí reflejar la la<br>realidad, aunque sea poco lo que tengas.<br>Nosotros y y volviendo a la primera,<br>nosotros sí partimos de Excel y una vez<br>que ya íbamos en la versión 1000 y<br>teníamos mucho flujo y mucha información<br>y tercero y se transformó en algo que<br>nos estaba ahogando, fue cuando ya nos<br>acercamos a ustedes y vimos la opción de<br>los módulos que obviamente soluciona la<br>vida claramente y la decisión que ya<br>cuando te vas a un rat maduro donde<br>agregas valor y ahí ahora cierro donde<br>le demuestras a la organización donde<br>agregas valor es que las decisiones son<br>más rápidas.<br>y con control y eso se dan cuenta, esos<br>quick wins, ¿no? Y ahí te dicen, "Ah,<br>esto esta herramienta en realidad nos<br>agrega valor." Eso sería lo mi aporte.<br>Muchas gracias, Flina. Coni, que nos<br>puedes comentar.<br>Sí, primero yo como asesora externa<br>ojalá todos tuvieran una buena<br>herramienta tan pro de ustedes. Sería no<br>haría todo la vida más fácil, la verdad,<br>de verdad. Pero la realidad también es<br>que eh como decía Pauli, las empresas<br>parten con un Excel y de si es<br>cuestionable o no lo es. mientras en el<br>fondo no estemos hablando de mil<br>millones de tratamientos, que cuando ya<br>se vuelve así en una institución grande<br>o en una empresa que trata mucho dato,<br>eh, se vuelve un poco insostenible y la<br>parte de la versión uno, versión dos,<br>versión 3, o sea, me pasa todo el rato<br>porque el cliente habla un nuevo<br>tratamiento, hay que modificar el<br>documento y así en verdad no sabemos<br>quién tiene la versión, qué versión<br>internamente está circulando. Es una de<br>las preguntas que yo me hago<br>constantemente porque yo le mando a una<br>persona en la versión 7000 y<br>probablemente están trabajando ellos en<br>la en la 5000. Entonces es super poco<br>eficiente en ese sentido, sin perjuicio<br>de que igual se puede y si aquí hay como<br>para todos los bolsillos, todos los<br>gustos, o sea, en el fondo para hacer la<br>pega de alguna forma se puede. De hecho,<br>incluso he visto yo Rats Words que son<br>hacia abajo, que les gusta así como que<br>yo a mí no soy tan fan de como 1000<br>millones de páginas, pero también se<br>puede en el fondo. La idea es tener el<br>inventario, ojalá en una plataforma tan<br>linda como la la de ley de datos, pero<br>si no tienes la posibilidad de<br>contratarlo, se puede hacer en un Excel.<br>Es más duro. Es más duro, sí, pero se<br>puede. Y eh lo otro respecto a lo lo que<br>mencionabas tú de de que era lo de que<br>es mejor tener un rato mal gestionado o<br>no tener un rat. Yo ahí estoy de acuerdo<br>con con la que es mejor siempre tener<br>algo, o sea, de hecho, la autoridad va a<br>ir a ver el cumplimiento, va a ir a ver<br>la responsabilidad proactiva y si yo le<br>digo, "Bueno, tengo un RAT<br>desactualizado de no estoyando 5 meses o<br>no tengo nada, creo que siempre va a ser<br>mejor tener algo." Sin perjuicio de que<br>la idea es que tiene que estar vivo, si<br>no es letra muerta y de nuevo lo mismo.<br>O sea, el fondo, si nosotros estamos<br>haciendo tratamientos que no están<br>reflejados en el RAT, no va a servir de<br>nada haber hecho un RAT en una asesoría<br>con un estudio jurídico hace 5 años. Que<br>clientes por favor, [risas] la pega. Eh,<br>alguien tiene que ver lo interno,<br>alguien tiene que tomar la pega,<br>molestar, insistir, porque yo sufro<br>todos los días cuando lo que mandamos<br>queda en el correo, de verdad se los<br>digo así es triste, pero no todos tienen<br>una Paulina, cachá. No, todos tienen una<br>bulina y y clientes no quieren agarrar<br>la papa caliente. Si, ese es el tema.<br>es que ese punto.<br>Lo consideran como algo terrible y en<br>verdad no lo es, pero hay mucho, es<br>verdad que hay mucho desconocimiento y<br>también lo entiendo porque es algo super<br>técnico. Entonces, bueno, si la persona<br>no está internamente, búsquenla<br>externamente, asesórense constantemente,<br>pero por favor no armen su no se decúen<br>y después lo dejen ahí porque no va a<br>servir. Y y aquí es distinto al modelo<br>de prevensión de delito en el sentido de<br>que aquí vamos a tener una autoridad<br>fiscalizando activamente versus la ley<br>de delitos económicos que bueno, en el<br>fondo si llegamos a un juicio ahí nos<br>sirve el modelo como cumplimiento, pero<br>acá es mucho más vivo, es mucho más eh y<br>puede ser apito de oye, ¿qué datos míos<br>tienes, no te respondí en tiempo, listo,<br>te van a fiscalizar? Entonces es mucho<br>más posible estar en una situación de<br>riesgo frente a la autoridad y por eso,<br>por favor háganse cargo de sus ratos,<br>por favor.<br>Sí. Y de hecho yo quería agregar una<br>cosa ahí que es de nuevo, yo sé que se<br>estresa a uno. Estaba escuchando una<br>persona que dice que se siente<br>superidentificada con lo que estamos<br>diciendo. Créeme, todas hemos sufrido<br>hemos sufrido con el tema.<br>Todos sufrimos. Sí,<br>todos hemos sufrido cierto sufrimiento.<br>Pero<br>yo creo que lo mejor es no ahogarse y<br>partir de lo mínimo. Un rat básico. ¿Qué<br>tengo? lo que dijo la Coni era la<br>bodega, qué tengo y qué hago con eso y<br>luego a mí me ayudó mucho definir las<br>áreas de la empresa y decir, "Tú eres<br>responsable de tu área, tú eres<br>responsable de tu área, tú eres<br>responsable". Porque en realidad si no<br>no tenéis que hacer owners. tú te<br>encargas de recursos humanos y tú te<br>Entonces y eso llevó a un seguimiento<br>mucho más real y a tener la información<br>porque claro, la persona se hace<br>responsable, entonces esto es lo que yo<br>tengo y tú los guías, los apoyas, mira,<br>me falta esto, mejor aquí, mejor allá y<br>vas mejorando la herramienta. Pero de<br>nuevo, tengan algo aunque sea poquito,<br>el básico y de ahí van avanzando, ¿eh? Y<br>yo sí tengo que hacer el me da lo mismo.<br>Lo he dicho como tres veces, pero si<br>pueden tocarle la puerta a ley de datos,<br>háganlo porque la verdad que ese ese rat<br>eh a mí me salen corazones por los ojos<br>cada vez que lo veo.<br>Sí, creo. [risas]<br>Es verdad,<br>pero partimos con un Excel, esa es la<br>realidad y con el mínimo, o sea, ¿qué<br>tengo? ¿Qué hago? ¿Qué áreas son? Estos<br>son los owners y vamos. Así fue, pero<br>había que partir. Si no se partía esta<br>cuestión se nos venía así,<br>¿no? Lo lo importante es partir. O sea,<br>yo creo que ese es el mensaje,<br>pero después cuando, como decía Coni,<br>cuando ya no sabemos qué versión es la<br>que está circulando,<br>tenemos un problema. Tenemos un problema<br>grave.<br>Oye, este, eh, les quiero agradecer por<br>su tiempo. Coni nos tiene que dejar<br>porque tiene a continuación una reunión,<br>así que que te liberamos y te damos las<br>gracias por participar. no habías<br>participado antes. Estamos muy contentos<br>que estés acá.<br>Muchas gracias.<br>Muchas gracias, Paul. Muchas gracias a<br>todos.<br>A todos. Muchísimas gracias. Algo yo.<br>Y Paulina, ¿tienes tiempo para una<br>pregunta del público para<br>Sí, estoy te puedo regalar 10 minutitos,<br>5 minutitos?<br>No,<br>solo por el R. Solo por el RAT. Solo<br>porque el R me gusta, el R que que tengo<br>con ustedes,<br>pero [risas]<br>ya hemos respondido varias, o sea,<br>transversalmente. Dale,<br>pero<br>a ver, acá hay una eh bueno, hay varias.<br>Eh, bueno, hay una pregunta de Guillermo<br>Videla que habla de sobre quién cae la<br>obligación de actualizar el RAT. Tú lo<br>mencionaste transversalmente,<br>sí,<br>pero pone ciertos conceptos que quizás<br>son buenos. como repartir a quién le<br>corresponde qué. Eso yo creo que es esta<br>tarea<br>porque habla del delegado protección de<br>datos del DPO que lo hemos mencionado,<br>que no es obligatorio para la ley, sí,<br>cuando el riesgo es alto en en nuestra<br>opinión. Eh, pero también habla de<br>responsabilidades compartidas, por<br>ejemplo, habla de comisiones, unidades<br>operativas. tú mencionaste también el<br>trabajo interno de ustedes de comités,<br>eh, ¿cómo repartimos un poco la torta?<br>Si nos puedes contar ahí<br>a raíz de esta pregunta.<br>Yo creo que es super básico. La verdad<br>que esto se fue dando con el tiempo y te<br>dais cuenta que que la torta es<br>demasiado grande para uno solo.<br>Entonces, eh una vez que que yo dividí y<br>dije, ya identifiqué las áreas y cada<br>uno tiene que ver qué áreas tiene dentro<br>de su de su organización y haces el<br>Owners. Eh, lo que yo hice, que era lo<br>básico al principio, era literalmente<br>cuando estábamos armando mensualmente<br>reunirnos en qué estamos update y quiero<br>ver qué ha cambiado, qué qué lo que<br>tomando también lo que decía Coni, qué<br>productos nuevos hay, qué servicios<br>nuevos hay y ahí comenzamos a trabajarlo<br>y lo que estamos trabajando, pero lo<br>principal es eso, es dividir la torta en<br>las áreas que tú tienes dentro de tu<br>organización y elegir una persona que<br>sea loer, entonces tenga la<br>responsabilidad de los datos de su área.<br>Yo creo que eso es super importante<br>porque cuando haces alguien responsable<br>del área de los datos es otra actitud ha<br>que el DPO o el legal y después uno como<br>legal o como DPO una vez al mes puede ir<br>eh pidiendo actualizaciones o a lo que<br>estamos moviéndonos nosotros que nos<br>estamos moviendo estos comités donde<br>tienen que llevar<br>su su vertical, su su área, ¿no? si está<br>recursos humanos, así está TI, as está<br>infraestructura, si está producto, si<br>está solución, así está, en fin. Eh, yo<br>creo que eso es lo mejor. El tema de los<br>owners es super importante y<br>transformar, como les decía yo, el el el<br>mensaje de hacerles entender el valor<br>que trae la herramienta y se transforma<br>en un de día a día, un un de día a día,<br>una es una cosa que tú ya haces un<br>poquito de eso.<br>Muchas gracias, Paulina. Cerramos<br>entonces con ese mensaje porque<br>probablemente acá hay varios owners que<br>que si están conectado en este webinar<br>probablemente es porque necesitan<br>interiorizarse un poco más de lo que es<br>la gestión la gestión del de un RAT.<br>Eh, y necesitan también llevar el<br>mensaje, como decía al principio del<br>webinar, dijiste evangelizar.<br>Evangelizar, sí.<br>Así que bueno, esperamos que haya sido<br>de utilidad. Eh, quiero cerrar también<br>porque no había tenido la oportunidad de<br>decirlo, pero estamos muy contentos con<br>esta alianza con Trans Union y también<br>de que nos estén utilizando. Así que eh<br>la invitación eh ahora ya al final del<br>webinar es obviamente a seguir<br>conectados a nuestras redes. Vamos a<br>seguir con estos webinar con distintos<br>invitados, con distintos temas, todos<br>relacionados con el mundo de la<br>protección de datos. También invitarlos<br>a todos a agendar una demo, a conocer en<br>nuestro curso de capacitaciones, que es<br>una buena puerta de entrada<br>introductoria a lo que es todo la<br>protección de datos y y también puede<br>permitir a la organización acreditar<br>cumplimiento, que es algo que también la<br>agencia nos va a pedir como cómo estamos<br>eh cumpliendo con la ley, estamos<br>capacitando a nuestro personal. Así que<br>esa es la invitación y el video de este<br>webinar va a quedar en nuestro canal de<br>YouTube disponible para todos. Así que<br>eso, muchas gracias Paulina, gracias.<br>Sí, muy entretenida la la oportunidad y<br>también nosotros estamos muy contentos<br>con la alianza con con ustedes. Transion<br>de verdad está super contento de estar<br>con ustedes como pro tecnológico. Así<br>que nada, espero que les haya servido y<br>si no busquen por LinkedIn si les puedo<br>dar alguna respuesta, alguna pregunta.<br>Yo feliz de responder.<br>Sí, quedaron mucho ahí pendiente.<br>Por eso, ningún problema.<br>Así bueno, hasta luego. Muchas gracias<br>por