Hola, buenas tardes. Eh, buenas tardes,<br>socios y socias que nos sintonizan el<br>día de hoy. Hoy vamos a tratar un<br>webinar en la gerencia de asuntos<br>regulatorios propiamente sobre la<br>protección de datos personales y para<br>eso tenemos una super invitada. Tenemos<br>a Javiera Sepúlveda. Ella es abogada de<br>la Pontificia Universidad Católica y<br>tiene un máster en derecho comercial con<br>especialización en derecho informático<br>de la Universidad de Merburg. También<br>ella es sociaídico<br>BITLW, el cual se especializa en<br>derecho, tecnología, privacidad y<br>protección de datos. Y también, bueno,<br>antes trabajó como asociada senior en<br>estas materias, en el estudio jurídico<br>KIP. Entonces, dado la complejidad de<br>estas materias, nosotros invitamos a<br>Javiera para que Javiera pueda hacernos<br>una presentación al respecto, ver las<br>distintas eh alcances, eh obligaciones y<br>responsabilidades quienes tienen datos<br>personales. Y respecto a eso va a<br>exponer Javiera y luego vamos a pasar a<br>las preguntas. Por lo tanto, hay un<br>WhatsApp disponible. Hagan las preguntas<br>al WhatsApp y yo aquí los voy a ir<br>recibiendo. Y también tengo algunas<br>preguntas que ya ciertos socios no nos<br>han transmitido. Así que Javiera, no te<br>quito más tiempo, por favor, si le das<br>con la presentación.<br>Bueno, muchas gracias, Camila, muchas<br>gracias a la Cámara por la invitación.<br>encantada de compartir en esta en este<br>ratito que tenemos eh aquellos aspectos<br>más importantes de esta nueva regulación<br>eh que ha tenido tanta relevancia eh en<br>el país eh por lo complejo de sus<br>obligaciones, por lo técnico de sus<br>obligaciones y también por el eh<br>catálogo de multas que terminó<br>aprobándose en el Congreso Nacional. Así<br>que hoy día vamos a estar conversando un<br>poquito de eh aquellas obligaciones más<br>relevantes y la idea es también llevarlo<br>a la industria, ¿cierto? Eh eh quiero<br>que que participen y que ojalá nos hagan<br>hartas preguntas eh relacionadas,<br>¿verdad?, con la aplicación de estas<br>obligaciones, específicamente a la<br>industria que nos convoca. Hoy día<br>quiero revisar con ustedes muy<br>brevemente ciertos conceptos básicos de<br>privacidad de esta regulación de<br>protección de datos personales, de qué<br>hablamos cuando hablamos de tratamiento<br>de datos, de qué hablamos cuando<br>hablamos de un dato personal. Hay harto<br>desconocimiento, ¿verdad?, respecto de<br>qué significan en la práctica y cómo<br>bajamos, ¿verdad?, a los impactos<br>operacionales de la compañía eh esta<br>este verbo, ¿verdad?, eh esta actividad<br>regulada que es el tratamiento de los<br>datos personales. Por otra parte, como<br>les dije, les quiero comentar eh de las<br>obligaciones más relevantes para los<br>responsables del dato. Voy a comentarles<br>también quién para esta regulación se<br>entiende como el responsable, como el<br>principal obligado por la ley, que noes<br>son los protagonistas de esta<br>regulación. Quiero comentarles en<br>particular eh porque sé que les interesa<br>la relación que tenemos en el mundo de<br>la protección de datos con nuestros<br>proveedores eh y también con el<br>tratamiento de datos que realizamos<br>respecto de nuestros trabajadores. Sé<br>que los socios, verdad, esta cámara<br>tienen modelos de negocio bien diversos,<br>pero sé que muchos de ustedes, muchas de<br>las empresas de ustedes prestan<br>solamente servicios B2B, ¿cierto? A<br>empresas y por lo tanto existe un cierto<br>mito, ¿verdad?, de yo solamente tengo<br>clientes empresas, a mí esta regulación<br>poco me importa. Vamos a hablar de eso<br>también. Eh, y quiero explicarles en en<br>en ese sentido que también hay ciertos<br>silos de titulares que incluso las<br>empresas B2B van a tener que preocuparse<br>de cumplir con esta regulación. Y<br>finalmente vamos a hablar eh brevemente<br>también de las sanciones eh del catálogo<br>de multas que les dije terminó<br>aprobándose muy muy alto eh y de la<br>nueva autoridad de la Agencia de<br>Protección de Datos Personales, que es<br>una agencia nueva, ¿verdad?, que se crea<br>e que debería estar constituida ya en<br>noviembre del próximo año y que va a<br>comenzar a funcionar una vez que entre<br>en vigencia esta ley, que es el primero<br>de diciembre del 2026. Estamos a casi un<br>año de la entrada en vigencia.<br>¿Cuáles son estos conceptos<br>fundamentales? Primero quiero<br>explicarles cuál es el panorama<br>regulatorio cuando hablamos de<br>privacidad, cuando hablamos de la<br>protección de los datos personales.<br>Tenemos jerárquicamente, ¿verdad?,<br>arriba el derecho constitucional del 19<br>número 4, que consagra, verdad, a la<br>privacidad como un derecho fundamental.<br>Y en el 2018 hubo una reforma a este 19<br>número 4 que reconoció expresamente la<br>protección de los datos personales como<br>una de las derivadas, ¿verdad?, o como<br>una de las ramificaciones de este<br>derecho fundamental a la privacidad. Por<br>lo tanto, cada uno de ustedes, cada uno<br>de nosotros como ciudadanos tenemos<br>derecho a la protección de nuestros<br>datos personales y a que cualquier<br>tratamiento de nuestros datos se haga<br>conforme a la ley. ¿A qué ley?<br>actualmente y todavía me van a escuchar<br>hablar de la ley antigua, de la ley<br>actual, pero lo cierto es que todavía<br>está vigente la ley 19628, que es una<br>ley que data del año 1999, totalmente<br>obsoleta, totalmente desconocida y poco<br>cumplida eh en el país, porque no<br>existía una autoridad a cargo de<br>fiscalizar estas materias, porque la<br>carga de la prueba era para el titular,<br>de ir a un tribunal civil, ¿verdad?,<br>aprobar una infracción a esta ley, pero<br>lo cierto es que en Chile tenemos<br>actualmente una ley de protección de<br>datos y la nueva regulación de<br>protección de datos modifica casi casi<br>esta esta ley 19628. Entonces, vamos a<br>hablar de la nueva ley cuando nos<br>refiriamos a la ley 21719, que es una<br>ley que se aprobó en diciembre del año<br>pasado, que le dio a las empresas y a<br>los órganos públicos, porque esta ley no<br>solo regula a los privados, también<br>regula al mundo público, 2 años de<br>vacancia le llamamos nosotros, ¿verdad?<br>2 años para que eh las entidades que<br>tratan datos personales, es decir, todos<br>adecuemos, ¿verdad?, a nuestras<br>prácticas, nuestros procesos, nuestra<br>normativa interna, nuestros sistemas,<br>nuestra tecnología a las obligaciones de<br>la nueva regulación de protección de<br>datos personales.<br>Esta nueva ley es una ley que sigue<br>bastante de cerca el reglamento general<br>europeo de protección de datos, que es<br>sin ninguna duda la regulación más<br>estricta que hay en el mundo en materia<br>de datos personales. La gran mayoría de<br>los países<br>de Occidente, incluso también ciertos<br>países de de Asia, ¿verdad?, han<br>modernizado sus regulaciones de<br>protección de datos siguiendo, ¿verdad?,<br>o equiparando el estándar local a este<br>estándar GDPR, al famoso GDPR por sus<br>siglas en inglés. Entonces,<br>evidentemente el GDPR en Europa entró en<br>vigencia el 2018, se había aprobado el<br>2016, por lo tanto, en Europa pasó lo<br>mismo que está pasando en Chile, que se<br>otorgó a las empresas 2 años para<br>adecuarse y hay bastante cancha<br>recorrida, ¿verdad? Y vamos a tener que<br>sin ninguna duda estar mirando el cómo<br>se han ido interpretando las<br>obligaciones allí, el cómo han estado<br>actuando las autoridades en Europa,<br>cuáles son, verdad, las instituciones de<br>esta ley que han sido más fiscalizadas y<br>que han generado mayores multas. un<br>gran, etcétera. Lo más probable es que<br>nuestra agencia de Protección de Datos<br>esté mirando bastante de cerca lo que<br>hizo la Agencia Española de Protección<br>de Datos por la cercanía, ¿verdad?, de<br>cultura y de idioma y por la cantidad<br>por por la fuerte relación internacional<br>que existe entre ambos países. Además,<br>eh vamos a tener las futuras<br>instrucciones o las directrices de la<br>nueva Agencia de Protección de Datos,<br>que es bien importante. Hay ciertos<br>reglamentos que e que se van a que se<br>deben emitir a propósito de de la<br>promulgación de esta ley, pero además de<br>los reglamentos,<br>eh la Agencia de Protección de Datos va<br>a tener que enseñarnos a cómo es que se<br>deben cumplir o a cómo es que la agencia<br>va a interpretar ciertas instituciones<br>que son, como les digo, que tienen un<br>alto componente técnico. Por lo tanto,<br>eh es bien importante también estar<br>mirando eh el actuar de la agencia en<br>ese sentido. Y finalmente, normas<br>sectoriales, ¿cierto? Eh, en esta<br>industria en particular tal vez no<br>existan tantas, pero en la industria<br>financiera, en la industria de los<br>seguros, ¿verdad?, Hay un montón de<br>normativa sectorial que se refiere, que<br>cruza de alguna manera, que toca el cómo<br>es que las empresas deben resguardar los<br>datos, almacenar los datos, cuidar los<br>datos, incluso tratar los datos<br>personales, para qué fines, con qué<br>propósitos, etcétera. Entonces, tenemos<br>que estar mirando en el fondo todo este<br>panorama a la hora de e interpretar<br>correctamente y determinar cuáles son<br>las obligaciones que le van a pegar a mi<br>empresa en particular.<br>¿Qué es el tratamiento de datos<br>personales? Esta es la actividad<br>regulada por esta regulación. El dato<br>personal es cualquier información<br>relativa a personas naturales. Por lo<br>tanto, dejamos fuera a todas las<br>empresas, a todas las personas<br>jurídicas, ¿cierto? No están reguladas<br>por esta ley. Identificadas o<br>identificables. Es cualquier pedazo de<br>información, verdadero, falso, objetivo,<br>subjetivo, que se refiere a una persona<br>natural. Mm.<br>Camila Ramos es abogada de la<br>Universidad Católica, Camila Ramos, dato<br>personal,<br>abogada de la Universidad Católica,<br>personal, dato personal y evidentemente<br>todo lo que yo pueda decir de ti porque<br>es información que está dirigida o que<br>está relacionada a una persona natural,<br>¿cierto?<br>Cuando hablamos de un nombre, ¿verdad?,<br>de un identificador que permite eh<br>identificar directamente, valga la<br>redundancia, de una persona como el<br>root, como un nombre, eh como un<br>teléfono, como un correo electrónico.<br>Este concepto no es tan complejo, parece<br>no ser tan complejo, pero se vuelve<br>complejo cuando nos empezamos a meter en<br>el mundo de la identificabilidad,<br>¿cierto? Cuando un dato hace<br>identificable a una persona. Y lo cierto<br>es que yo puedo no decirte el nombre de<br>una persona o puedo no decirte el root<br>de una persona, ¿verdad? Pero te puedo<br>entregar pedazos de información que<br>combinados a ti te van a permitir<br>inferir de quién estoy hablando.<br>Y en esos casos eh y hoy día,<br>evidentemente con la gran capacidad que<br>tienen las empresas para procesar,<br>¿verdad?, eh grandes volúmenes de<br>información y para acceder además a<br>información de distintas fuentes, esa<br>identificabilidad se vuelve más sensible<br>y más fácil, ¿cierto? Entonces, a la<br>hora de cuando lleguemos a determinar,<br>okay, estoy frente a un dato personal o<br>no, vamos a tener que en el fondo<br>evaluar cuáles son los zapatos en que<br>está, ¿verdad?, vestido esta empresa y<br>si es que efectivamente esa empresa con<br>toda la información que tiene tiene la<br>capacidad de identificar a una persona<br>natural. ¿Ya? Entonces, eso es un dato<br>personal, es un espectro bien amplio y<br>las autoridades en general han ido<br>interpretando de manera cada vez más<br>laxa, ¿verdad?, a lo que cae dentro de<br>este saco de los datos personales y por<br>otro lado, el tratamiento, la actividad<br>regulada. Esa no es la definición legal,<br>pero quisiera que se queden con esa<br>idea, pues la definición legal es<br>tremendamente amplia y es una definición<br>que además se repite en todas las<br>legislaciones modernas, pero básicamente<br>el tratamiento es cualquier forma de uso<br>desde que yo almaceno, ¿verdad?, el dato<br>en mis sistemas para fines de backup o<br>para fines de seguridad, ¿cierto? hasta<br>el tratamiento que puedo hacer a través<br>de analítica, ¿verdad?, que me va a<br>permitir inferir el comportamiento de<br>compra de una determinada persona eh de<br>inmuebles en los próximos 10 años.<br>Pero, por ejemplo, ahora me llega una<br>consulta, o sea, un currículum que me<br>llega, yo lo guardo ya al guardarlo<br>es tratamiento de dato personal.<br>Absolutamente, absolutamente. E incluso<br>un currículum puede tener datos<br>sensibles.<br>Tiene lo que decías tú identificarle,<br>¿sí? No, y además tiene información,<br>¿verdad?,<br>su experiencia<br>profesional, etcétera.<br>Dentro del mundo de los datos<br>personales, y no vamos a alcanzar a<br>profundizar en esto hoy, pero<br>hablamos del género dato personal y hay<br>distintas especies de datos personales<br>que son<br>especialmente protegidas por esta<br>regulación. están los datos sensibles,<br>que en general son los datos personales<br>que se refieren más a la esfera de la<br>intimidad de una persona, eh o a sus<br>aspectos físicos o morales, como eh el<br>que un trabajador pertenezca a un<br>sindicato, por ejemplo, o el que<br>pertenezca a una asociación gremial, por<br>ejemplo, o sus preferencias religiosas,<br>sus preferencias sexuales, eh sus datos<br>de salud, todo ese mundo más de la<br>esfera de la intimidad de una persona<br>son los datos sensibles. Tenemos los<br>datos de salud, que son una subespecie<br>de datos sensibles, los datos de<br>menores, los datos biométricos,<br>¿verdad?, que son los rasgos físicos que<br>hacen eh unívocamente identificable una<br>persona, como nuestro iris, nuestra<br>huella, eh nuestra voz, ¿cierto? incluso<br>nuestro caminar puede ser, eh, etcétera.<br>Hay un y los datos de georreferenciación<br>también son una especie de datos<br>personales particularmente protegidos<br>por la ley, entre otros, pero<br>pero esa tendría una regulación más<br>un poquito más estricta, un poquito más<br>estricta y ciertas bases de licitud que<br>se los voy a explicar en un momento, que<br>es aquello eh que se aplican en el fondo<br>de manera limitada a estos tipos eh<br>particulares de datos personales.<br>Perfecto.<br>¿Quiénes son los protagonistas de esta<br>regulación? El sujeto protegido es el<br>titular, así como en el derecho laboral,<br>¿verdad? El trabajador, en el mundo de<br>la protección de datos, el sujeto<br>protegido es la persona natural titular.<br>Cada uno de ustedes, cada uno de<br>nosotros somos titulares de datos<br>personal,<br>el cliente de una de una compraventa<br>inmobiliaria, el trabajador de una<br>empresa, ese es el titular.<br>Ese es el titular.<br>Por ejemplo, si yo estoy tratando con un<br>proveedor, ¿cierto?, que es una empresa.<br>Igual estoy haciendo un tratamiento de<br>datos personales de el representante<br>legal de esa empresa, del representante<br>comercial, del ejecutivo comercial, de<br>el ser humano, ¿verdad?, con el que me<br>relaciono en representación de esa<br>persona jurídica.<br>Evidentemente es un tratamiento de datos<br>personales eh menos intensivo, ¿verdad?<br>porque lo hago a propósito de mi<br>relación contractual con esa empresa.<br>Eh, pero igualmente es un tratamiento de<br>datos personales y tenemos que<br>preocuparnos de cumplir eh con las<br>obligaciones establecidas en esta ley.<br>El responsable del tratamiento, que es<br>un pésimo nombre porque para aquellos<br>que estén eh presentes y que son<br>abogados saben que cuando hablamos de<br>responsabilidad en derecho nos<br>imaginamos un gran espectro de verdad de<br>cosas, pero lo cierto es que esta ley lo<br>define como el responsable que es la<br>entidad,<br>persona jurídica, organismo público,<br>¿verdad? que toma las decisiones de por<br>qué y cómo voy a tratar un dato<br>personal. Cuando ustedes toman la<br>decisión, ustedes empresa, por ejemplo,<br>que trabajan en el departamento de<br>recursos humanos, toman la decisión de<br>pedir los datos personales de los hijos<br>de sus trabajadores, ¿verdad? Para<br>enviarles un regalo a fin de año. Regalo<br>Navidad.<br>Ya. ¿Quién está tomando la decisión? La<br>están tomando ustedes, personas<br>naturales, ¿cierto? Pero lo están<br>haciendo en representación de su<br>empresa, de la compañía. En ese caso, el<br>responsable de cumplir ante la ley es la<br>compañía, es la empresa. Ese es el<br>responsable ante la ley. ¿Ya? Y<br>finalmente, eh el mandatario es otro de<br>los protagonistas y lo menciono, lo<br>vamos a profundizar en un par de slides<br>más, pero el mandatario es quien actúa<br>en representación del responsable y esta<br>figura se da muy comúnmente en los en<br>nuestros proveedores, en el proveedor<br>del payroll, en el proveedor, ¿verdad?,<br>de alguna solución tecnológica que le<br>permita tener acceso a los datos<br>personales de la empresa.<br>Perfecto.<br>Ya. Todos esos eh tratamientos de datos,<br>esas esos terceros, esos proveedores los<br>realizan. Sí. tratan los datos<br>personales de nuestros trabajadores, de<br>nuestros clientes, de nuestros<br>proveedores incluso, pero no lo realizan<br>determinando un fin de manera<br>independiente, lo realizan bajo las<br>instrucciones que yo le estoy dando,<br>porque yo estoy contratando ese<br>servicio, ¿ya? Entonces, en esos casos,<br>la ley nos exige que en esa relación con<br>nuestros proveedores que puedan acceder<br>a mis datos personales, y acá no hay un<br>derecho de propiedad, pero es para que<br>lo entiendan,<br>eh, la ley nos exige, ¿verdad?, que<br>exista un mandato, un data processing<br>agreement, como se llama en en en<br>legislaciones anglosajona.<br>Voy a profundizar en eso más adelante,<br>¿sí? Porque varias preguntas van en esa<br>línea.<br>Van en esa línea. Perfecto.<br>Algo que quiero desmitificar también es<br>cuál es la verdad, la esfera de todo lo<br>regulado por esta ley. Nos pasa con<br>muchos clientes que nos dicen, "Yo tengo<br>una política de privacidad perfecta, me<br>preocupé, ¿verdad?, con mi equipo de<br>tecnología de tener el checkbox de<br>aceptación de mis clientes, mi página<br>web, mi ecommerce, lo que sea. Entonces,<br>pido el consentimiento, estoy al otro<br>lado.<br>Ese es uno de los momentos que regula<br>esta ley, el cómo recojo el dato o<br>aquello que debo estar cumpliendo cuando<br>recojo el dato. Pero esta ley tiene<br>obligaciones relacionadas con el<br>almacenamiento, cómo debo cuidar el<br>dato, cómo protejo el dato en tanto esté<br>bajo mi custodia, ¿cierto?<br>¿Cuándo o cómo debo ceder el dato? Se lo<br>debo traspasar a otro responsable. La<br>gran mayoría de las entregas que hacemos<br>a una autoridad, por ejemplo, cuando nos<br>requiere de alguna manera información<br>que contenga datos personales, esa es<br>una sesión de datos personales. O cuando<br>en un grupo económico, por ejemplo, una<br>empresa decide, ¿verdad?,<br>transferir o traspasar bases de datos a<br>otra compañía para que los trate para<br>sus propios fines, no como mandatario<br>mío, para sus propios fines. Eso también<br>es una sesión de datos y eso es algo que<br>no está<br>preliminarmente prohibido, pero se tiene<br>que cumplir con ciertas condiciones,<br>¿verdad? Tanto en el fondo como en la<br>forma. Entonces, esta ley también nos<br>enseña a cómo es que tenemos que sacar<br>el dato eh para traspasarlo a un<br>tercero, para transferírselo a un<br>tercero. El tratamiento por tercero se<br>refiere a esta figura del mandato que<br>les comentaba. Esta ley lo que hace es<br>hablar de transferencia o sesión cuando<br>el flujo de datos va de responsable a<br>responsable y habla de comunicación<br>cuando el flujo va de responsable a<br>mandatario. Ya.<br>Perfecto.<br>Transferencia internacional nos pasaba<br>con con mucha frecuencia que nos<br>llegaban eh consultas, ¿verdad?,<br>estudios extranjeros eh y nos decían<br>cómo se regula la Transferencia<br>Internacional en Chile. Decíamos, la ley<br>actual dice de la transferencia<br>internacional. Esta ley reconoce por<br>primera vez esta nueva institución de la<br>transferencia internacional que se<br>aplica cuando los datos salen desde<br>Chile hacia el extranjero y eso es super<br>importante entenderlo, ¿no? Cuando<br>recibimos datos, cuando recibimos datos<br>desde el extranjero, pues entonces se<br>deberían aplicar las reglas del país de<br>origen.<br>Ah, mira, ya<br>ya eh esta ley nuevamente y esta es una<br>de las instituciones donde la agencia eh<br>va a tener eh mayor eh urgencia,<br>¿verdad?, en en hacer las distintas<br>bajadas de los modelos, porque esta ley<br>regula que la Transferencia<br>Internacional está permitida, ¿verdad?,<br>en tanto concurran algunas de las<br>causales, como por ejemplo que esa<br>transferencia sea parte de e un flujo de<br>datos intercompany, ¿verdad?, con mi<br>matriz en el extranjero o con filiales<br>en el extranjero, siempre que se eh<br>celebren las famosas binding corporate<br>rules, ¿ya? eh que son unos modelos de<br>documentos que va a tener que emitir la<br>agencia y que vamos a tener que<br>suscribir o cuando contemos con el<br>consentimiento del cliente, entre otros<br>entre otras casuísticas, entre otros<br>escenarios donde está permitida la<br>transferencia internacional, pero lo<br>primero que tenemos que hacer como<br>empresa es ir a identificar dónde<br>estamos transfiriendo internacionalmente<br>datos. ¿Ya? Y aunque suene como un poco<br>lejano,<br>sí, me suena.<br>Lo cierto es que cualquier servicio de<br>nube que tengamos contratado, ah, ya,<br>muy probablemente va a significar que<br>estamos haciendo una transferencia<br>internacional de datos. ¿Por qué? Porque<br>los servidores, ¿verdad?, de ese<br>servicio de nube muy probablemente estén<br>fuera de Chile. Por lo tanto, significa<br>que los datos están saliendo al<br>extranjero. Entonces, no es un no es una<br>figura tan distante como pareciera.<br>hiciste esa prevención porque para mí<br>habría sido externalizar datos a otro<br>país para que los analicen y no<br>necesariamente así. No necesariamente es<br>así. No necesariamente es así. La<br>preservación y la eliminación están<br>bastante relacionadas, ¿cierto? Pero lo<br>que quiero transmitirles es que esta ley<br>además nos exige que nos hagamos cargo<br>por cuánto tiempo vamos a tener ese<br>dato. Ya. Eh, en estricto rigor uno<br>debería eliminar el dato en tanto cese,<br>en tanto finalice el propósito de uso<br>para el cual recogí el dato<br>originalmente.<br>Acá está en la instancia donde todos nos<br>empiezan a tirar tomates porque nos<br>dicen, "Es imposible eliminar los datos.<br>¿Cómo sé yo? Si es que no va a venir<br>luego una autoridad, ¿verdad?, a pedirme<br>la información y todo eso es correcto.<br>Tanto así que esta ley equiparó,<br>¿verdad?, la eliminación con la<br>anonimización. Por lo tanto, no es<br>necesario, en estricto rigor, eliminar<br>el dato, porque sabemos que técnicamente<br>eso hoy día es casi imposible de hacer,<br>pero sí podemos aplicar medidas para que<br>se anonimice el dato, para que los datos<br>personales pasen por un procedimiento<br>que sea irreversible y que permita<br>desconectar ese pedazo de información<br>con la persona natural a quien pertenece<br>o a quien se relaciona. Ya, esa es la<br>anonimización.<br>Eh, ¿y por cuánto tiempo voy a retener<br>el dato? Esta para mí es una de las<br>pegas más difíciles que nos toca hacer a<br>a los profesionales de privacidad,<br>porque para yo poder decirles a ustedes<br>tranquilamente, los datos de sus<br>trabajadores pueden guardarlos por 5<br>años luego de que terminó la relación<br>laboral,<br>tengo que ir a identificar todas las<br>categorías de datos que existen dentro<br>de la compañía y tengo que ir a<br>identificar todos los propósitos de uso<br>de esos datos dentro de la compañía<br>para luego poder asociarlos con<br>plazos legales de retención<br>que son distintos porque viven en<br>normativas distintas.<br>Eso estaba pensando lo tributario, por<br>ejemplo,<br>general en general van a coincidir con<br>los plazos de prescripción de las<br>acciones.<br>Ya, en general, pero en materia<br>tributaria hay hay eh plazos<br>establecidos en materia laboral, en<br>materia financiera hay plazos distintos.<br>Entonces, tenemos que salir a pescar en<br>el fondo eh los distintos tipos de datos<br>que tenga una empresa, los distintos<br>propósitos de uso y luego de eso armar<br>una política de retención de datos donde<br>vayamos estableciendo plazos de<br>retención. Ya, pero si nosotros tenemos<br>una obligación legal que cumplir y para<br>eso necesitamos retener el dato,<br>tranquilamente pueden retener el dato.<br>No hay un plazo que te ponga la le<br>exista un plazo. La ley no no especifica<br>un plazo. La ley simplemente dice<br>se debería eliminar tan pronto se es el<br>propósito. Eh, como una regla general y<br>uno tiene que ahí empezar a<br>interpretarla. Si es que también como<br>relacionadas a las otras eh<br>responsabilidades que tú mencionabas, eh<br>yo quisiera en términos muy de<br>conservadores, pero mientras menos tengo<br>el dato, menos opciones tengo de que no<br>sé, pues se filtre eso como que está<br>eso. Pero también lo que decís tú, hay<br>que compatibilizarlo con otros eh<br>exigencias de responsabilidad de otras<br>legislaciones.<br>Exactamente. Exactamente. Y en general<br>en Chile, además, tenemos una tradición<br>histórica de tener guardar todo.<br>Absolutamente, [risas]<br>absolutamente. O sea, el 99%,<br>yo diría, de los casos que que hemos<br>estudiado es así. Hay un almacenamiento<br>histórico de la información, porque así<br>se hace. Yo creo que hay una cosa,<br>sí, es una cuestión cultural también. Y<br>si es que en el fondo no hay un<br>almacenamiento digital, están, ¿verdad?<br>la<br>las los backups de de de almacenamiento<br>físico en las empresas de bodega,<br>etcétera.<br>Sí.<br>¿Qué son las famosas bases de licitud?<br>No quiero ponerme tan jurídica en este<br>webinar, pero sí es muy importante<br>porque esta es la obligación, la primera<br>y la obligación más importante que<br>tenemos que cumplir.<br>Hay una percepción, una equivocada<br>percepción de que esta regulación viene<br>a prohibir el tratamiento de los datos<br>personales y eso no es así. Esta<br>regulación lo que hace es establecer<br>condiciones. La primera condición y la<br>más importante para que podamos tratar<br>un dato personal es contar con un<br>sombrero, le decíamos nosotros. Contar<br>contar con un permiso.<br>Para cada una de las actividades de<br>tratamiento de datos que ustedes<br>realicen, tienen que ir a buscar una<br>base de licitud, un fundamento legal.<br>Ya,<br>ya hasta hoy día en la legislación<br>actual, en la ley actual, teníamos la<br>obligación legal o el consentimiento del<br>titular. No había más que eso. Habían un<br>par de excepciones mal escritas y muy<br>poco probadas en tribunales, pero<br>existían dos. Por lo tanto, o yo<br>necesitaba una autorización legal<br>expresa o una obligación legal que no<br>podía cumplir si no era tratando un dato<br>personal como muchas de las obligaciones<br>laborales, ¿cierto? O bien tenía que<br>necesariamente ir a recoger el<br>consentimiento, ir a pedirle al cliente<br>que aceptara la cajita a la política de<br>privacidad, ir a pedirle al cliente que<br>me firmara el formulario de<br>consentimiento.<br>Y en mi opinión esa es la razón por la<br>que tenemos tan arraigada esta idea de<br>que para todo pedir consentimiento. Ya<br>esta ley abre ese abanico siguiendo<br>también eh eh la la regulación europea,<br>¿verdad? y establece una un catálogo<br>mucho más amplio de bases de licitud.<br>Estas no son todas, pero sí son las más<br>importantes. El cumplimiento de un<br>contrato. Si yo necesito tratar un dato<br>personal para cumplir con mi obligación<br>contractual o para exigir que mi<br>contraparte cumpla con su obligación<br>contractual, como por ejemplo procesar<br>el pago de un cliente que me está<br>comprando un producto a través de un<br>e-commerce, 100% de obligación<br>contractual, no necesito ir a pedirle<br>permiso para tratar su dato personal.<br>Ya, ese es el cumplimiento del contrato<br>y y en esta industria algo que me parece<br>muy interesante comentar es que el<br>cumplimiento del contrato también se<br>extiende a las negociaciones<br>precontractuales.<br>Ah, ya. Eso es interesante.<br>A eh las instancias donde llega un<br>titular a pedirme una cotización, un<br>presupuesto, ¿verdad? Siempre que sea<br>solicitud de el cliente. Ya.<br>En esos casos, evidentemente, necesito<br>tratar su dato personal, ¿cierto?<br>Necesito conocer su nombre, su correo,<br>probablemente su teléfono. Ojo ahí con<br>el principio de proporcionalidad,<br>probablemente no necesito conocer mucho<br>más que esos datos,<br>eh, pero voy a estar tratando esa<br>información y a lo mejor va a ser un<br>cliente que ni siquiera va a terminar<br>siendo un cliente, ¿verdad?, con un<br>contrato firmado. Eh, entonces esta base<br>de licitud también nos va a ayudar para<br>esas instancias precontractuales. Ya. El<br>interés legítimo es una es una base de<br>licitud que ha sido bien cuestionada en<br>Europa, pero que es necesaria, pues es<br>una base de licitud que nos permite un<br>poco hacer un un balance, ¿verdad? Un<br>test entre el legítimo interés que pueda<br>tener una empresa para tratar un dato<br>personal y cómo estoy afectando,<br>¿verdad?, la privacidad de esa persona.<br>Ya,<br>el gran ejemplo para esto, para<br>explicárselo de manera más simple, son<br>las cámaras de seguridad o en general el<br>tratamiento de datos para fines de<br>seguridad, donde<br>yo no puedo ir a poner de previo aviso,<br>¿verdad?, a una persona de<br>lo voy a estar grabando o tengo un<br>guardia, ¿verdad?, en la puerta pidiendo<br>el consentimiento de todas las personas<br>que puedan pasar por debajo de una<br>cámara de seguridad.<br>Entonces, en esas ocasiones se ha<br>entendido, al menos en Europa ya está<br>más o menos consagrado, que en general<br>para los fines de seguridad se puede<br>usar esta base de licitud. Se ha<br>entendido, ¿verdad?, que en esos casos<br>prima el interés legítimo, pero no es<br>tan simple como yo se los estoy<br>mencionando, pues requiere un poco este<br>análisis jurídico, ¿cierto?, de de a<br>través de una evaluación de interés<br>legítimo, donde pongamos sobre la mesa<br>el legítimo interés del responsable y<br>cómo se e cómo se puede, verdad, afectar<br>el derecho fundamental del del titular.<br>Eh, y además la empresa debería<br>establecer controles también para tratar<br>de mitigar esa afectación dentro de la<br>mayor medida de lo posible. Pero fines<br>de ciberseguridad, fines de seguridad eh<br>de seguridad lógica, de seguridad física<br>en general, van a poder vivir en interés<br>legítimo. Incluso podría ser en algunos<br>casos el marketing.<br>Ahí estoy me estoy me estoy<br>adelantando,<br>me estoy adelantando, pero podría ser<br>incluso en en algunas instancias el<br>marketing que viva como bajo la base de<br>licitud interés legítimo, ejercicio de<br>defensa de un derecho en un litigio,<br>¿cierto?<br>esa hay otes de licitud que recoge esta<br>nueva regulación, pero me interesaba<br>mucho comentarles en particularmente el<br>cumplimiento del contrato y el interés<br>legítimo. Oye, Javiera, si respecto la<br>la anterior, el tema del consentimiento,<br>que ahí me están preguntando harto,<br>ya,<br>¿cómo es necesario registrar este<br>consentimiento? H me ponen una pregunta<br>así como eh si me dan el me mandan un<br>currículum y el currículum puedo<br>almacenarlo para nuevas postulaciones.<br>¿Cómo almaceno así como tú conscientes<br>en que puedo guardarlo? Y<br>yo no soy fan del consentimiento, lo<br>transparento, antes de la respuesta. Eh,<br>es muy difícil cumplir con los<br>requisitos de validez del consentimiento<br>en esta nueva ley.<br>Ya.<br>El consentimiento tiene que ser libre.<br>Ah, ya. Perfecto.<br>Ya. Ese requisito de libertad se puede<br>cuestionar en escenarios donde hay un<br>desequilibrio de poder entre las partes,<br>como el mundo laboral, por ejemplo, como<br>un consentimiento que pueda levantar una<br>autoridad, un órgano público respecto a<br>un ciudadano. Entonces, primer requisito<br>difícil de cumplir. El consentimiento<br>tiene que ser específico.<br>Por lo tanto,<br>de nuevo, acá hay que esperar cómo<br>interpreta esto la agencia. Pero<br>hay directrices en Europa que nos hacen<br>pensar que la especificidad puede llegar<br>a significar<br>que requiramos que requiramos la<br>granularidad en la obtención del<br>consentimiento. ¿Qué quiere decir esto?<br>Que las famosas políticas de privacidad,<br>¿verdad?, que hacíamos aceptar a los<br>clientes,<br>donde los hacíamos aceptar de manera<br>atada,<br>para que se entienda mejor, una gran<br>cantidad de propósito para venderte el<br>producto, para llamarte para fines de<br>marketing, para mandarte información por<br>tu correo postal, para además pasarle<br>los datos, ¿verdad?, a mi empresa<br>filial.<br>Todo eso en bloque, acepto.<br>La especificidad puede verse cuestionada<br>en esos escenarios. Ya. Entonces, de<br>nuevo, el legal design nos lleva un<br>poquito a pensar en que uno debería ir<br>aceptando granularmente los distintos<br>propósitos de uso cuando estemos<br>basándonos en el consentimiento. Y por<br>eso yo les digo que yo no soy fan del<br>consentimiento. El consentimiento,<br>además, tiene que ser informado. Tenemos<br>que entregarle a ese cliente la<br>información al menos respecto de qué<br>datos voy a recoger, para qué propósitos<br>los voy a recoger, a quién se los puedo<br>enviar, ¿verdad?<br>Eh, les voy a hablar de eso un poquito<br>más adelante en en el contenido mínimo<br>de las políticas de privacidad que<br>también están reguladas por esta ley.<br>Eh, y tiene que ser inequívoco, tiene<br>que entregarse de una manera tal que no<br>pueda ponerse en duda, ¿verdad?, esa<br>manifestación de voluntad. Eso cambia un<br>poquito con la ley actual, que era un<br>consentimiento escrito,<br>escrito firma hógrafa o por efecto del<br>de la ley de de firma electrónica<br>también se entendía eh que cumplía ese<br>requisito los los medios electrónicos,<br>pero hoy día eh eso se abre un poquito<br>más, ¿verdad? Y y nos nos abre la puerta<br>a distintas formas de obtener el<br>consentimiento en tanto sea inequívoca.<br>Eh, pero pero aún así eh es harta<br>información la que hay que darle al<br>titular al momento de recoger su<br>consentimiento y son hartos requisitos<br>que tenemos que evaluar a la hora en el<br>minuto en que estamos levantando ese<br>consentimiento. Entonces, en el caso de<br>los currículums, por ejemplo, yo creo<br>super<br>probable evaluar si la entrega de ese<br>currículum puede ser parte tal vez de eh<br>la base de licitud cumplimiento de un<br>contrato en su etapa precontrual.<br>Ya podríamos eh poder justificar ese<br>tratamiento en esa base licitud. Claro,<br>en tanto ustedes no me digan, "No, lo<br>que pasa es que yo además agarro ese<br>currículum, ¿verdad? Y se lo paso,<br>¿verdad?, a mi filiar, por a mi filial,<br>por si hay una vacante en ese puesto de<br>trabajo que pueda eh tener un perfil<br>similar, ¿cierto? Eh, o yo utilizo los<br>currículums o la información que obtengo<br>de los currículums para ser analítica y<br>para entender cuáles son, ¿verdad?, eh,<br>la las las personas, ¿verdad?, que están<br>eh postulando, que se interesan en<br>postular a mi empresa. Esos son otros<br>propósitos de uso para lo cual ya no<br>vamos a eh solamente necesitar el<br>cumplimiento del contrato, vamos a<br>probablemente necesitar el<br>consentimiento. Ya.<br>Perfecto.<br>Sí, quiero que se queden con que el<br>consentimiento siempre se puede usar. E<br>el esta apertura, ¿verdad?, de bases de<br>licitud no nos obliga a elegir la mejor<br>base de licitud. En el fondo puede ser<br>el consentimiento o cualquiera de estas<br>otras. No es que tenga una te proteja<br>más que otra, sino que exa mis valor,<br>evidentemente desde la asesoría uno va a<br>tratar de recomendarle al cliente cuál<br>es la que uno considera más apropiada,<br>pero incluso si hubiera un cliente más<br>conservador que me diga, "No me<br>interesa, quiero igual pedir el<br>consentimiento." Lo pueden hacer y eso<br>va a ser eh totalmente lícito.<br>Oye, Javiera, quiero saber por temas<br>prácticos, ¿cuánto nos queda de<br>presentación? Porque estamos para saber<br>cuánto interrumpirte. No te interrumpo<br>más. Voy a ir, voy a ir más rápido. Voy<br>a ir más rápido.<br>Eh,<br>a mí me gusta harto hacer este ejercicio<br>de, "Okay, esta es la obligación, pero<br>¿cómo me impacta? ¿Cómo me pega en la<br>práctica?" Las bases de licitud nos<br>obligan<br>a ir a clasificar los datos que tenemos,<br>eh, así, a ir a hacer un inventario de<br>los datos personales que tenemos, porque<br>para poder ponerle un sombrero<br>necesitamos saber qué es lo que tengo,<br>¿cierto? Eh, y en general eso se hace a<br>través de un documento, un instrumento<br>que se llama el RAT, el registro de<br>actividades de tratamiento, que no es<br>una obligación tenerlo bajo esta ley si<br>lo es bajo GDPR, pero sí es una práctica<br>recomendada porque un poco te te ordena<br>la casa, ¿cierto? Y te permite tener un<br>mapa de qué es aquello que tengo y por<br>lo tanto eh ir a e conectar esos<br>tratamientos con una base de lícito<br>adecuada. Tengo que además identificar<br>las categorías especiales de datos, lo<br>que hablábamos. Tengo datos de menores,<br>tengo datos sensibles, tengo datos de<br>salud, eh tengo datos biométricos,<br>estoy, por ejemplo, usando eh sistemas<br>de biométrico para el sistemas<br>biométricos para el registro de<br>asistencia.<br>Asistencia<br>muy común hoy día. Eh<br>ahí eh en el fondo la ley solamente nos<br>dice usted va a poder tratar los datos<br>biométricos cuando lo autorice la ley o<br>con el consentimiento del titular.<br>Entonces ahí se nos achican las bases de<br>licitud y por eso les decía que son<br>tipos de datos que tienen una regulación<br>más estricta.<br>Y bueno, lo que estábamos hablando,<br>¿cierto? El consentimiento tiene nuevos<br>requisitos y la dificultad en particular<br>eh de cumplir con el con la libertad del<br>consentimiento que que en mi opinión<br>puede verse cuestionada en muchos<br>escenarios.<br>Quiero pasar esto rápido, pero estas son<br>las obligaciones más importantes que<br>tiene el responsable, su empresa. Ya<br>esta ley le hace un guiño a el<br>compliance y obliga en general a que las<br>empresas más que preocuparse de una<br>manera reactiva, se estén preocupando de<br>una manera preventiva. Estas dos<br>obligaciones en particular están muy<br>relacionadas con eso. Así como existen<br>las evaluaciones de impacto en el medio<br>ambiente, ¿verdad?, con la que ustedes<br>probablemente están muy familiarizados,<br>van a existir las obligaciones de<br>impacto en privacidad para todos<br>aquellos proyectos, soluciones,<br>¿verdad?, ideas que tengan sobre la mesa<br>que impliquen un riesgo eh hacia los<br>titulares de los datos personales cuyos<br>datos se van a tratar en virtud de ese<br>proyecto, ¿verdad? Se va a tener que<br>llevar a cabo una evaluación de impacto<br>en privacidad. Para eso hay eh modelos,<br>¿verdad?, templates y la agencia bien<br>podría tocarnos la puerta y decirnos,<br>"Me parece extraordinaria la solución,<br>¿verdad?, eh, que sacó al mercado.<br>Muéstreme<br>cómo evaluó<br>el impacto a la privacidad de los<br>titulares que podía tener este proyecto.<br>La privacidad por diseño y las<br>evaluaciones de impacto son un poco la<br>madre, ¿verdad?, de de las evaluaciones,<br>perdón, la privacidad por diseño y por<br>defecto, que es la la validación que<br>está arriba, es un poco la madre de las<br>evaluaciones de impacto, porque en<br>estricto rigor es una obligación que nos<br>obliga a pensar en la privacidad desde<br>el diseño, desde la arquitectura, desde<br>la generación de una idea, nos obliga a<br>hacer el check de cumplimiento<br>regulatorio. Nos pasa con mucha<br>frecuencia que clientes nos dicen, las<br>fiscalías, ¿cierto? las gerencias<br>legales nos dicen, el equipo de<br>tecnología llegó a preguntarme si esto<br>era legal cuando ya estaba contratado,<br>cuando ya estaba aprobado el<br>presupuesto, cuando estaba contratado el<br>proveedor, ¿verdad? Cuando ya tenían eh<br>el equipo casi<br>subiéndose las mangas para ponerse a<br>trabajar. Eh, y lo cierto es que este<br>proyecto implica muchos riesgos en el<br>tratamiento de datos personales.<br>Eso es lo que obliga o o o<br>trata de resguardar, ¿verdad?, La<br>privacidad por diseño y por defecto<br>deberían ser directrices dentro de la<br>empresa que nos obliguen a pensar en el<br>cumplimiento de la regulación de<br>privacidad desde el principio, ¿ya? Y<br>por defecto es tratando de recolectar la<br>menor cantidad de datos personales que<br>sean posibles.<br>Lo que decía<br>para evitar problemas, que ahora yo no<br>pediría nada, pues para evitar cualquier<br>problema.<br>Exactamente. Exactamente. Entonces,<br>enfoque proactivo, no un enfoque<br>reactivo, no las cajas prechequeadas.<br>Este es un ejemplo, pero es un ejemplo<br>de Privacy by design. las típicas cajas<br>prechequeadas, los checkbox que a veces<br>vienen con la flechita marcada,<br>ese sería una forma de implementar el<br>consentimiento que no cumple con la<br>obligación de privacidad por diseño,<br>porque ahí tú estás predisponiendo,<br>¿verdad?, al titular a que tásitamente<br>eh haya aceptado, ¿verdad?, el<br>tratamiento de sus datos personales. La<br>privacidad por diseño me obliga a que el<br>titular lea y a que yo lo implemente de<br>una manera tal, ¿verdad?, que obligue a<br>la manifestación del consentimiento de<br>manera inequívoca. Perfecto. No a pedir<br>más datos de los que necesito.<br>Privacidad por defecto. Política de<br>privacidad por diseño es la forma en que<br>las empresas en a través de la normativa<br>interna, ¿cierto?, deberían ser capaces<br>de cumplir. Y el PIA es son las siglas<br>en inglés de la evaluación de impacto en<br>privacy impact assessment. Necesitamos<br>tener un modelo de privacy impact<br>assessment porque además el no haber<br>hecho un privacy impact assessment<br>cuando deberíamos haberlo hecho va a<br>gatillar una infracción gravísima a esta<br>ley.<br>Gravísima con multas de hasta 20000 UTM.<br>deber de seguridad.<br>Otra confusión que hay muy seguidamente<br>en esta regulación es<br>nosotros, yo creo que estamos super bien<br>en la empresa porque tenemos un equipo<br>de seguridad la información<br>extraordinario. ISO 27,000 e todas las<br>medidas de seguridad nos asesoramos,<br>¿verdad?, con los expertos eh en<br>ciberseguridad eh de Israel, etcétera.<br>Estándares elevadísimos de seguridad.<br>Esta regulación tiene obligaciones<br>asociadas a el cómo debo cuidar los<br>datos personales. Evidentemente el mundo<br>de seguridad es más amplio que es más<br>amplio que es<br>eh y evidentemente deberíamos<br>preocuparnos de que sean coherentes,<br>¿cierto? Esta obligación nos eh esta<br>regulación nos obliga a implementar<br>medidas de seguridad técnicas y<br>organizativas, ¿verdad? Y la ley da<br>ciertos parámetros, ciertos criterios de<br>cómo es que me debo comportar cuidando<br>los datos personales dependiendo de la<br>naturaleza de los datos que tengo. No es<br>lo mismo una clínica, ¿verdad?, que un<br>negocio de la esquina que puede tener<br>alguna suerte de datos personales,<br>¿verdad? Pero no de la sensibilidad ni<br>con el volumen de los que tiene una<br>clínica.<br>eh la naturaleza de los propósitos de<br>uso, los el volumen de datos que tengo,<br>etcétera. Entonces, da ciertos<br>parámetros para que la empresa tome<br>decisiones de, okay, estas son las<br>medidas de seguridad adecuadas.<br>Perfecto.<br>En el mundo de la seguridad y la<br>ciberseguridad no estamos obligados a<br>ser infranqueabbles, estamos obligados a<br>tener la casa debidamente resguardada,<br>¿cierto? Nadie está libre de ser víctima<br>de un ciberataque e o de un incidente de<br>seguridad. Incluso lo importante es que<br>podamos demostrar a la autoridad es que<br>a pesar de yo haber sufrido un incidente<br>de seguridad, ¿verdad?, yo tenía mi casa<br>bien resguardada.<br>Ya,<br>perfecto.<br>Nadie está obligado a lo imposible,<br>decimos en derecho. Eh, y otra de las<br>obligaciones bien importantes es la<br>nueva obligación de reporte de<br>vulneraciones de seguridad de incidentes<br>de seguridad a la Agencia de Protección<br>de Datos. Vamos a tener que acusarnos.<br>Cuando suframos un incidente de<br>seguridad que afecte datos personales,<br>tenemos que ir a notificar ese incidente<br>a la agencia. Sufrimos un incidente de<br>seguridad. Incluso en algunas<br>circunstancias, cuando los datos<br>afectados sean datos de menores, datos<br>sensibles o datos financieros,<br>tenemos que ir a avisarle a todos los<br>titulares afectados.<br>Parecido a lo que pasa hoy día en la<br>industria financiera, ¿cierto? Eh,<br>tenemos que ir a a a acusarnos en el<br>fondo eh de que sufrimos un un incidente<br>de seguridad a cada uno de los<br>titulares. ¿Y qué se entiende por<br>incidente de seguridad? Porque, por<br>ejemplo, si yo tengo un trabajador que a<br>pesar de haber hecho todos los las<br>charlas y toda la cuestión, pasa la base<br>de datos o intencionalmente o<br>ya sin ninguna duda, un incidente<br>seguridad, pero en general<br>porque suena como ciberataque, pero no<br>necesariamente,<br>no necesariamente. Sí, al final es<br>cualquier incidente, cualquier<br>vulnerabilidad que pueda afectar la<br>confidencialidad, la integridad,<br>¿verdad?, de los datos e eh y y en ese<br>sentido una filtración de datos, por<br>ejemplo, es un incidente de seguridad,<br>sin ninguna duda, pero que tenga la<br>potencialidad de afectar datos<br>personales. Eso es lo importante bajo<br>esta regulación, ¿no? Bajo la regulación<br>de de ciberseguridad propiamente tal,<br>¿cierto?<br>Eh, ¿y cómo debo reportar? Bueno, la ley<br>también nos enseña eso, ¿cierto? Hay<br>ciertas contenido mínimo que vamos a<br>tener que informar a la futura agencia<br>de protección de datos.<br>Pero, ¿a quién debe reportar? Bueno, a<br>los titulares<br>en algunas circunstancias y a la Agencia<br>de Protección de Datos. Sí.<br>Agencia.<br>Eh, y además hay que ir actualizando ese<br>reporte aquí.<br>Ah, ¿cómo va avanzando este?<br>¿Cómo va avanzando? ¿Cómo lo voy a cómo<br>lo voy solucionando? ¿Verdad?<br>Evidentemente en estas materias la<br>empresa va a tener va a ir obteniendo<br>información a medida que avance la<br>investigación. Yo al principio y<br>probablemente eh puedan pasar días sin<br>que se la empresa se entere de que sufre<br>un incidente de seguridad. Sí. Eh, y en<br>ese sentido esta ley es muy buena porque<br>habla de sin dilaciones indebidas. Yo<br>tengo que notificar tan pronto tome<br>conocimiento.<br>Ya. Eh, y desde allí y una vez que<br>empieza la investigación, ¿verdad?,<br>tengo que ir actualizando a la autoridad<br>eh en cuanto a e cómo eh voy<br>entendiendo, ¿verdad?, qué datos se<br>afectaron, qué titular se afectaron, con<br>qué magnitud, ¿verdad?, y cómo lo<br>soluciona.<br>Entonces, acá muy importante de que la<br>prueba es de cargo del responsable. Esto<br>pasa en todas las obligaciones de esta<br>ley. Es deber de ustedes, de las<br>empresas, el ir a acreditar que estaban<br>en cumplimiento, no al revés, como<br>ocurría con la ley anterior, con la ley<br>actual. ¿Ya? Entonces, eh es muy<br>importante que busquemos en el fondo la<br>forma de acreditar, de documentar, de<br>tener una normativa interna, porque va a<br>ser la forma en que podamos demostrar,<br>¿verdad?, el cumplimiento. Trabajo<br>coordinado con con TI, con seguridad,<br>sin ninguna duda. Es más o menos obvio,<br>¿verdad? tener un protocolo de<br>notificación de brechas eh y y de<br>documentación de seguimiento de la<br>investigación, obligaciones de<br>notificación múltiples. Algunos de<br>ustedes eh probablemente se van a<br>enfrentar o o han sido, verdad,<br>catalogados como servicios esenciales o<br>como operadores de importancia vital<br>bajo la ley. Marco de ciberseguridad,<br>que gatilla la obligación de notificar a<br>la ANSI, a la Agencia Nacional de<br>Ciberseguridad. Pero por otro lado tengo<br>la ley de protección de datos, ¿verdad?,<br>que me obligaron a notificar a la<br>Agencia de Protección de Datos.<br>Entonces, al igual que en otras<br>industrias como la industria financiera,<br>donde incluso puedo tener un tercer eh<br>una una tercera autoridad a quien debo<br>notificar,<br>vamos a tener que hacer coherentes,<br>¿verdad?, los protocolos y las políticas<br>internas para que me permitan cumplir<br>con todas las regulaciones aplicables.<br>Derechos arco son los derechos del<br>titular, eh, que en realidad bajo la ley<br>actual se llaman derechos ARSOP, porque<br>la cancelación se cambió por la<br>supresión. Eh, básicamente acá quiero<br>que se queden con la idea de que un<br>titular nos puede tocar la puerta para<br>pedirnos una infinidad de cosas. nos<br>puede pedir eh cuál es la información<br>que tenemos respecto de él, nos puede<br>pedir una copia de esa información, nos<br>puede pedir que nos que dejemos de<br>realizar ciertas actividades de<br>tratamiento de datos en ciertas<br>circunstancias, nos puede pedir que<br>modifiquemos sus datos si es que están<br>desactualizados, incompletos, etcétera.<br>Y tenemos 30 días curridos para cumplir.<br>Entonces, si no tenemos ordenada la<br>casa, es bien poco probable que podamos<br>cumplir en ese plazo, ¿cierto? Eh, el<br>derecho a la portabilidad es un derecho<br>que también se se importa de Europa y<br>que busca precisamente o que buscaba,<br>¿verdad?, el el controlar un poquito la<br>información, la gran cantidad de<br>información que le estábamos dando a las<br>redes sociales, eh, y y un poco las eh<br>dificultades en la competencia también<br>que eso generaba. Eh, y por lo tanto hoy<br>día deberíamos poder ser capaces como<br>empresa de si llega un cliente a<br>decirnos,<br>quiero que me pase toda mi información<br>porque me voy a ir a o quiero pedirle<br>una cotización a la inmobiliaria B,<br>¿verdad? Deberíamos ser capaces de<br>hacerlo y entregárselo en un formato<br>interoperable.<br>Y ahí está obligado la empresa a hacer<br>lo que yo le diga como titular. Sí, hay<br>ciertas excepciones, evidentemente,<br>pero por reg<br>por regla general sí, estos son derechos<br>irrenunciables, son derechos<br>intransferibles, no se pueden limitar de<br>ninguna forma.<br>Ya,<br>eso es importante.<br>Sí.<br>Entonces, importante tener un protocolo<br>de respuesta a derechos arco de<br>clientes, de trabajadores, de<br>proveedores, de todos los silos de<br>titulares cuyos datos estamos tratando,<br>¿cierto? Conocer, clasificar y<br>administrar eficazmente nuestras bases<br>de datos, herramientas de autogestión de<br>datos. No sé si han visto las eh estas<br>famosas como paneles de autogestión de<br>datos que a veces se están ocupando<br>principalmente con las cookies en<br>páginas web donde uno puede ir,<br>¿verdad?, eh ejerciendo ciertas acciones<br>o clasificando en el fondo cuáles<br>cookies permite, cuáles cookies no. Esos<br>paneles también se están utilizando<br>harto en en la gestión de derechos arco.<br>Eh, y bueno, es una herramienta más<br>sofisticada, pero es es un es una<br>alternativa. Y mecanismos de<br>autenticación, super importante. Cuando<br>llega un cliente a pedir información,<br>tenemos que asegurarnos de que ese<br>cliente es quien dice ser, ¿verdad? Y<br>que no es<br>su ex eh marido, ¿verdad? que quiere<br>saber cuántos eh de cuánto está ganando<br>exactamente o cuántos departamentos<br>compró en el proyecto inmobiliario su<br>marido.<br>Eh, entonces super importante eh en los<br>mecanismos de autenticación<br>y esos 30 días corridos que tenía Javi.<br>Sí, ahí me pasé ahí<br>en la anterior.<br>30 días corridos para responder.<br>Ah, ya.<br>A cualquier solicitud de derechos arco.<br>Ya. Y eso se puede prorrogar por otros<br>30 días, pero no más de una vez. Esto<br>como una ley de transparencia, pero ya<br>para las empresas.<br>Sesión comunicación y transferencia<br>internacional. Ya les adelanté más o<br>menos de qué va, ¿cierto? Eh, la ley nos<br>obliga a firmar un data, un data<br>transfer agreement o una sesión de datos<br>personales cuando le entreguemos datos<br>personales a otros responsable. nos<br>obliga a firmar un mandato para el<br>tratamiento de datos cuando le<br>entreguemos los datos personales a un<br>mandatario. Y les voy a explicar un<br>poquito más de eso a propósito de los<br>proveedores. Y cuando enviemos datos<br>fuera de Chile, primero identificarlo,<br>evidentemente, y luego eh saber cuál es<br>el fundamento legal que podemos utilizar<br>en esos casos. Identificación,<br>data transfer agreement, gestión de<br>proveedores, los data processing<br>agreement, que se los voy a comentar,<br>identificación de las transferencias<br>internacionales y las normas<br>corporativas vinculantes son estos<br>documentos que les digo va a tener que<br>emitir la Agencia de Protección de Datos<br>para que podamos justificar esa<br>transferencia cuando se cuando ocurra eh<br>dentro de empresas de un mismo grupo<br>económico.<br>obligación de de información y<br>transparencia se las quise comentar<br>porque son las famosas políticas de<br>privacidad, que en realidad más que<br>políticas de privacidad son avisos de<br>privacidad. La ley me obliga a tener<br>permanentemente publicados ya<br>eh los avisos de privacidad con un<br>contenido<br>bien exhaustivo. ¿Qué datos trato? ¿Para<br>qué los trato? ¿A quién se los estoy<br>comunicando? ¿A quién se los estoy<br>transfiriendo? ¿Cómo los estoy cuidando?<br>si es que estoy haciendo tratamiento<br>automatizado de datos, si es que estoy<br>haciendo tratamiento de datos sensibles<br>y lo más importante y más difícil, ¿cuál<br>es la base de licitud que estoy<br>utilizando para todos esos tratamientos?<br>¿Ya? Eh, entonces al final es como un un<br>este instrumento busca recolectar,<br>muéstrame cómo estás cumpliendo con<br>todas las obligaciones de la ley. Y eso<br>lo tengo que tener permanentemente<br>publicado, ¿verdad? en mi página web en<br>el caso de clientes o en mi intranet en<br>el caso de trabajadores o incluso en el<br>caso de proveedores, ¿verdad? Dentro de<br>este set de documentos que enviemos a<br>los proveedores al momento de eh<br>evaluarlos, por ejemplo,<br>disponibilizar los textos actualizados,<br>modificar las políticas actuales. En<br>Chile va a pasar lo mismo que pasó en<br>Europa, que hubo una ola de<br>actualizaciones el 30 de noviembre,<br>¿verdad? eh del del 2000 del 2026 va a<br>pasar, nos va a llegar un montón de<br>requerimientos de actualización de<br>acepte, ¿verdad?, nuestra nueva política<br>de privacidad, nuestro nuevo aviso de<br>privacidad, porque sin ninguna duda hay<br>harta más información que entregar que<br>aquella que nos exigía la ley actual y<br>registros de las versiones aceptadas. Si<br>nos estamos basando en el<br>consentimiento,<br>necesitamos saber cuál es la versión de<br>esa política de privacidad que el<br>cliente me aceptó para poder saber cuál<br>es mi juego de piernas,<br>cuáles son los propósitos que me aceptó.<br>cuáles son las condiciones. Entonces, el<br>registro de las versiones es s super<br>importante cuando estamos hablando del<br>consentimiento.<br>Respecto al consentimiento, que ya estoy<br>un poco pegada con eso, pero si eh o<br>sea, se va a dar que si yo tengo el<br>consentimiento de cliente, etcétera,<br>antes de la ley, eh, y la ley me me<br>exige ciertas cosas, voy a tener que<br>actualizar esos consentimientos.<br>Sin ninguna duda.<br>Ya. Sí.<br>Harta pega.<br>Es harta [risas] pega. nuestra relación<br>con los proveedores. Bueno, les decía,<br>primero tenemos que ir a identificar<br>todos nuestros proveedores que tengan<br>acceso a datos personales de la empresa.<br>Ya. La primera y obligación más<br>importante es tener un mandato para el<br>tratamiento de datos, que puede ser una<br>cláusula cuando estemos hablando de<br>proveedores no críticos, ya,<br>pero en general y ojalá sea un anexo al<br>contrato de prestación de servicios<br>cuando estemos hablando de proveedores<br>críticos que tengan acceso a grandes<br>volúmenes de datos de la compañía,<br>¿verdad?, o a datos sensibles de la<br>compañía como un proveedor, por ejemplo,<br>de un la solución de tecnología para<br>recursos humanos. Ya. Eh, ese sin<br>ninguna duda es un proveedor crítico. Y<br>en ese data processing agreement o<br>mandato para el tratamiento de datos, lo<br>mínimo que tenemos que establecer son<br>las instrucciones del tratamiento de<br>datos. Ese proveedor no puede usar los<br>datos para<br>una cosa distinta que aquella que yo le<br>instruí y le permití. Ya, las medidas de<br>seguridad, cómo ese proveedor debe<br>cuidar mis datos personales o los datos<br>personales respecto de los cuales yo<br>tengo control, las obligaciones de<br>notificación de brecha. Si ese proveedor<br>sufre un incidente de seguridad, yo voy<br>a estar obligado a ir a notificar a la<br>agencia porque yo soy el responsable de<br>esos datos. ¿Ya? Entonces,<br>contractualmente tengo que establecer la<br>obligación de que ese proveedor me avise<br>tan pronto como pueda que sufrió un<br>incidente de seguridad. las obligaciones<br>de de eliminación al finalizar la<br>relación contractual. Pasa mucho y<br>también tradición histórica criolla,<br>¿verdad? Eh, que en general los<br>proveedores se quedaban con los datos de<br>sus clientes y que luego los utilizaban<br>para fines distintos. Debe establecerse<br>en el mandato que ese proveedor tiene<br>que eliminar los datos por si el<br>contrato termina por cualquier motivo.<br>Entonces, bueno, aquí voy a abarcar una<br>de las preguntas que que teníamos para<br>el final, pero está adoc. Ahora me<br>preguntaban qué requisitos de<br>consentimiento y documentación aplican<br>cuando se transfieren bases de datos a<br>tercero. Y ahí me ponen como ejemplo<br>los broker, las empresas de estudio de<br>crédito, las eh encuestas que se hacen<br>muchas encuestas de satisfacción a<br>cliente o marketing general. Todas estas<br>tú cuando está todo lo que señalaste es<br>aplicable a este tipo de servicios<br>100%. Pero ahí hay que ir a identificar<br>ya<br>cuándo estoy transfiriendo en calidad de<br>mandatario,<br>cuando estoy comunicando el dato a otro<br>en calidad de mandatario, como podría<br>ser el de la encuesta de satisfacción,<br>por ejemplo, ¿cierto? Que tratan el dato<br>porque me están prestando un servicio a<br>mí, no deberían quedarse con esos datos<br>ellos.<br>Eh, ¿y cuándo estoy entregando ese dato<br>a un tercero en calidad de responsable?<br>Porque de allí nacen obligaciones<br>distintas, como podría ser un broker,<br>por ejemplo. Estoy estoy pensando en voz<br>alta, pero pero en el fondo hay que ir a<br>identificar cuál es la naturaleza<br>jurídica de ese flujo de datos. Ya. Ya.<br>Si es una sesión, tengo que firmar una<br>sesión de datos personales,<br>para lo cual tengo que preocuparme<br>primero de tener yo una base de licitud<br>suficiente para poder ceder ese dato. O<br>el consentimiento o la autorización<br>legal o incluso el cumplimiento de un<br>contrato. Me habilitan a ceder.<br>Perfecto.<br>Esa ese esa sesión de datos personales,<br>ese contrato de sesión o esa data<br>transfer agreement, además tiene que<br>establecer los propósitos de uso eh que<br>están autorizados en esa sesión, ¿ya?<br>Eh, y una serie de cosas más, pero eso<br>al final es un contrato, ¿ya? Es un<br>documento que la ley nos obliga a<br>celebrar entre el cedente y el<br>sesionario. Ya. Cuando hablamos de mi<br>proveedor o de un tercero que actúa como<br>mi mandatario,<br>lo que hay que firmar es lo que acabo de<br>decir,<br>el mandato para el tratamiento de dato,<br>que puede ser una cláusula del contrato<br>o un anexo al contrato de trabajo o<br>incluso un instrumento separado, eh, que<br>establezca en el fondo cuáles son las<br>condiciones, cuál es el rayado de cancha<br>que tiene ese proveedor para tratar mis<br>datos personales. Ya. Los ejemplos que<br>me diste, eh, Cami, eran el broker,<br>broker, eh, empresa de estudios de<br>crédito, encuestas o marketing.<br>Ya los tres últimos, yo diría que muy<br>probablemente van a actuar como<br>mandatarios. Va a depender, esto es<br>principio de la realidad, va a depender<br>de las circunstancias, pero pero muy<br>probablemente los tres últimos actúen<br>como mandatario y yo creo que el broker<br>actúa como como responsable<br>independiente y por lo tanto ahí hay una<br>sesión.<br>Perfecto, gracias.<br>Algo muy bien importante que me interesa<br>comentarles, eh, y y en el fondo para<br>que nos tomemos en serio esta obligación<br>de tener un mandato para el tratamiento<br>de datos, ¿cuál es el régimen de<br>responsabilidad? Ya, el cómo responde<br>ese proveedor,<br>si<br>el fondo se se se<br>escapa, ¿verdad?,<br>de las instrucciones que le dimos para<br>tratar esos datos y trata los datos para<br>un propósito que no fue autorizado.<br>Si actúa fuera de los límites de ese<br>mandato, aplicando también las reglas<br>generales del mandato, ese proveedor va<br>a ser responsable directo, responsable<br>personalmente por las infracciones a la<br>ley. Ya.<br>Ya. Y para esos tratamientos que haga<br>fuera del rayado cancha actúa como un<br>responsable para todos los efectos. Ya,<br>pero respecto de los daños que esa<br>infracción pueda generarle a los<br>titulares, vamos a responder<br>solidariamente,<br>¿ya?<br>Ya. Proveedor y empresa que contrata<br>frente a ese titular. Entonces, es super<br>importante que nos preocupemos de tener<br>mandatos para el tratamiento de datos<br>que establezcan, verdad, obligaciones de<br>compensación o de repetición en el<br>evento de que yo tenga que<br>responsablemente, ¿verdad?, asumir un<br>daño frente a un titular por la culpa de<br>mi proveedor. Ese proveedor tiene que<br>estar obligado de alguna manera a<br>responderme contractualmente.<br>Eh, y eso es s super importante que que<br>lo tengan en consideración, sobre todo<br>los abogados.<br>Eso está bueno. Es que eso, ojo, para<br>todos mis colegas de fiscalías cuando<br>hagan los contratos con los proveedores.<br>Ese es un muy buen tip.<br>Exactamente. Exactamente. Protección de<br>datos en el ambiente laboral. Bueno,<br>también se los quise comentar porque<br>porque sé que hay muchas empresas<br>business to business. Entonces, con los<br>trabajadores pasa algo bien curioso, que<br>por un lado son titulares de datos,<br>¿ya? Eh, pero por otro lado también son<br>representantes de la empresa, entonces<br>tienen<br>eh un poco este este<br>esta dualidad, ¿verdad? esta relación<br>ambivalente. Por un lado, yo tengo que<br>preocuparme de cumplir con la ley para<br>el tratamiento de datos que hago<br>respecto de mis trabajadores en tanto<br>titulares y por otro lado, tengo que<br>enseñarle a mis trabajadores en tanto<br>subordinados o representantes de la<br>empresa a tratar los datos personales de<br>la forma legal o con las directrices que<br>establezca la empresa. ¿Se entiende?<br>Que me ayuden a cumplir en el fondo. Eh,<br>entonces son dos estatutos protectores,<br>además acá aplica también el derecho<br>laboral y la protección de datos. el<br>trabajador como titular de datos, cuáles<br>son eh eh cuál es la base de licitud<br>y ahí va a depender de el propósito del<br>uso. Si ustedes me dicen, "Yo trato los<br>datos personales para pagarle el sueldo<br>todos los meses a mis trabajadores."<br>Cumplimiento de un contrato. Si ustedes<br>me dicen para enviar, ¿verdad?, sus<br>cotizaciones eh previsionales o de salud<br>todos los meses, cumplimiento de una<br>obligación legal. Si ustedes me dicen,<br>"Porque los quiero invitar a un evento<br>corporativo, ¿verdad?, a fin de año,<br>yo creo que no nos queda otra que el<br>consentimiento. Ya. Entonces, va a<br>depender del propósito de uso la eh eh<br>de nuevo el fundamento legal o la base<br>de licitud que tengamos, pero sí o sí<br>para nuestros trabajadores tenemos que<br>tener un aviso de privacidad que esté<br>permanentemente publicado en la<br>intranet. Y acá aumenta también la<br>importancia del reglamento interno de<br>orden higiene y seguridad porque es el<br>instrumento al cual a través del cual<br>deberíamos enseñarle a nuestros<br>trabajadores a cómo se deben comportar<br>en representación de la empresa. Ya eh<br>el otro rol, digamos. Y además el Ríos<br>tiene que recoger la obligación de<br>cumplir con el programa de cumplimiento<br>o la o el modelo de prevención de<br>infracciones si es que la empresa decide<br>tenerlo. Ya es uno de los requisitos<br>para que se certifique ese programa ante<br>la agencia. trabajador como subordinado,<br>obligaciones de seguridad, las políticas<br>y los procedimientos, ¿verdad? Sobre<br>todo en seguridad la información,<br>capacitaciones, tenemos el deber de<br>capacitar a nuestros trabajadores en<br>esta regulación,<br>las obligaciones en los contratos de<br>trabajo y en el Ríos. Ya, eso es la son<br>los controles usuales a través de los<br>cuales yo tengo que enseñarle a mis<br>trabajadores a compórtese como la<br>empresa decidió que se iba a comportar<br>en el tratamiento de los datos<br>personales de clientes, de otros<br>trabajadores o de proveedores incluso.<br>Y aquí es son ejemplos, ¿cierto?, de de<br>bases de licitud y de distintos eh tipos<br>de tratamiento de datos en el mundo<br>laboral que son los más comunes.<br>Obligación legal, tramitación de<br>licencias, eh autoridades impositivas,<br>¿verdad? a los beneficios por las cargas<br>familiares e el contrato<br>Europa la mayoría, porque la mayoría del<br>en Europa ya está bien zanjado que la<br>mayoría del tratamiento de datos de<br>trabajadores puede vivir bajo el<br>contrato. Los datos de geolocalización<br>pueden ser parte del cumplimiento de una<br>validación contractual, ¿verdad? Eh, o<br>incluso el la transferencia de datos<br>dentro de un grupo empresarial. Las las<br>evaluaciones de desempeño también pueden<br>ser parte de el cumplimiento del<br>contrato<br>en consentimiento. Las pruebas<br>psicológicas, los datos biométricos,<br>¿verdad? Porque son datos sensibles.<br>Eh, los eh los los datos del del<br>artículo 10, que eran los que era el<br>artículo anterior que regulaba los datos<br>sensibles, los síntomas del COVID,<br>ejemplos, ¿cierto? eh los sistemas de<br>ingreso en general, en tanto sean datos<br>sensibles, muy probablemente vamos a<br>tener que ir a recoger el consentimiento<br>y el interés legítimo, la prevención de<br>fraude, la ciberseguridad, las cámaras<br>de de los circuitos cerrados de<br>televisión.<br>Y por último, con esto termino, eh la<br>autoridad de control. Hasta hoy día no<br>teníamos una autoridad especializada,<br>fiscalizadora, ¿verdad?, de estas<br>materias. nace, se crea la Agencia de<br>Protección de Datos Personales, que como<br>les digo, debería estar constituida en<br>noviembre del próximo año, que va a<br>tener facultades bien amplias, eh va a<br>poder impartir instrucciones generales,<br>evidentemente interpretar la regulación,<br>fiscalizar el cumplimiento y va a tener<br>facultades sancionatorias, por lo tanto,<br>puede, verdad, eh determinar y ejecutar<br>infracciones y cursar multas. Ya,<br>evidentemente ahí se abre todo un<br>procedimiento, ¿verdad?, de apelación<br>frente a la misma agencia en una primera<br>instancia y luego hay instancias<br>posteriores, pero va a ser una autoridad<br>que puede multar.<br>Quiero que se queden con eso.<br>Y estas son las sanciones. La ley<br>establece un catálogo de infracciones<br>leves, graves y gravísimas, ¿verdad? Las<br>gravísimas pueden llegar hasta cerca de<br>,illón y medio de dólar. Si cometemos la<br>misma infracción en un periodo de eh 30<br>meses, esa multa puede triplicarse o<br>incluso puede llegar a ser hasta el 4%<br>de los ingresos anuales de una empresa.<br>Ingresos, no utilidades, ingresos por<br>venta de eh productos o prestación de<br>servicio. Es tremendamente estricta este<br>catálogo de sanciones. Por supuesto que<br>a mí me gusta bien poner la pelota en el<br>piso. La industria en la que nos estamos<br>a la que nos estamos dirigiendo hoy día<br>no debería ser<br>las de las industrias en la primera<br>línea de fiscalización, ¿verdad? E la<br>industria de la salud está mucho más<br>expuesta a la industria financiera,<br>¿verdad? La industria del retail. Eh,<br>sin embargo, con estas multas bien vale<br>la pena el hacerse cargo, ¿verdad?, con<br>un periodo de anticipación adecuado y al<br>menos tener un baseline de controles<br>mínimos, ¿verdad? de cumplimiento que<br>nos permitan enfrentar la entrada en<br>vigencia a la ley<br>con cierta tranquilidad de de un nivel<br>de cumplimiento adecuado.<br>Perfecto.<br>Y este Registro Nacional de Sanes y<br>Cumplimiento va a ser público. Sí,<br>es como la deuda de los gastos comunes,<br>como que<br>no no no sabemos aún cuál va a ser el<br>contenido específico, eh, pero sí es un<br>registro público, por lo tanto, los<br>sancionados deberían vivir allí en ese<br>registro e y por lo tanto también hay<br>altos temas reputacionales en juego.<br>Perfecto. Oye, eh, estamos en tiempo,<br>pero no puedo terminar sin hacerte estas<br>preguntas,<br>por supuesto. Mira, eh, ¿qué pasa con,<br>pongamos el caso de un socio que le<br>dijeron, "Oye, escucha este webinar y<br>dice, ¿qué es esto? ¿Qué hago ahora?"<br>Como no tenía conocimiento de que se<br>viene esta ley, que ya está publicada en<br>el diario oficial, etcétera, pero que<br>falta entrada en vigencia. ¿Cómo se<br>puede eh afrontar a desarrollar un<br>compliance en relación a esta materia?<br>¿Cuáles son los elementos esenciales que<br>se tiene que que fijar?<br>Hay hartas capas eh de la forma en que<br>podemos enfrentar el desafío de<br>adecuación, de implementación, ¿verdad?<br>Hay empresas que les interesa tener un<br>levantamiento de información bien<br>exhaustivo y conocer como su estado de<br>salud de manera bien detallada y en<br>general<br>para poder armar un plan de acción super<br>ajustado y super adecuado a la realidad,<br>¿verdad? Y en esos casos hacemos<br>proyectos de diagnóstico, ¿verdad? Donde<br>levantamos toda la información, hablamos<br>con todos los stakeholders, ¿verdad? eh<br>identificado en las distintas áreas de<br>la compañía, hacemos un informe de<br>brechas, ¿verdad? Un un ejemplo, un un<br>ejercicio que probablemente muchos de<br>ustedes están familiarizados, plan de<br>acción, implementación del plan de<br>acción. Pero hay muchas empresas y asumo<br>que muchos de los asistentes a este<br>webinar están en esa situación que<br>dicen, "Mira, ¿sabes qué? No sé si me<br>interesa tomarme 6 meses levantando<br>información porque sé que no tengo nada,<br>sé que estoy en incumplimiento. Y en<br>esos casos, sobre todo en la industria<br>B2B, con la experiencia que tenemos,<br>sabemos cuáles son los controles<br>esenciales y en esos casos a nosotros,<br>por lo menos, nos gusta como empecemos a<br>implementar los controles esenciales,<br>tomemos cierto conocimiento, ¿verdad?,<br>de las prácticas de los procesos de la<br>compañía y luego de tener un baseline<br>mínimo, tal vez podemos hacernos cargo,<br>¿verdad?, de una bajada un poquito más<br>profunda e del cumplimiento, pero pero<br>mi recomendación es<br>abordar el el mundo laboral. Hay<br>controles que conocemos, tiene que haber<br>una política apreciada, tenemos que<br>modificar el contrato de trabajo,<br>tenemos que modificar el Ríos, ¿cierto?<br>Eh, tenemos que identificar los<br>escenarios donde estamos tratando datos<br>sensibles, datos biométricos, eh datos<br>de menor y datos de georreferenciación.<br>Mundo laboral, mundo de clientes. Si es<br>que tenemos personas naturales, tenemos<br>que identificar los puntos de<br>recolección del consentimiento y los<br>propósitos de uso. Ponerles el sombrero<br>a bases de licitud, armar una política<br>de privacidad adecuada. Ojalá lo más<br>global o que trate de englobar,<br>¿verdad?, a la mayor cantidad de<br>clientes posible.<br>Mundo de seguridad, política de<br>seguridad de la información la tenemos<br>que adecuar a esta nueva regulación,<br>procedimiento o protocolo de<br>notificación de incidentes de seguridad.<br>Tenemos que eh eh adecuarlo, ¿verdad?, a<br>esta regulación. Mundo de proveedores,<br>los DPA, ¿cierto? La gestión de<br>proveedores, el ayudarlos a pensar cómo<br>identifico un proveedor crítico de un<br>proveedor no crítico. Todas esas cosas<br>las podemos hacer desde ya. No<br>necesitamos tener un un conocimiento tan<br>exhaustivo de la compañía.<br>Eh, entonces, en mi opinión, dependiendo<br>de la empresa y el caso, nos gusta como<br>enfrentarlo por fases, por estos silos o<br>por estos, verdad, tipos de eh titulares<br>dependiendo del riesgo al que se<br>expongan. Eh, y desde allí empezar a<br>trabajar también en un set como de<br>normativa interna que nos deje<br>tranquilos una política corporativa de<br>protección de datos, ¿verdad? Y y cómo<br>puedo linquear este tema del compliance,<br>que tengo que hacer con todos estos<br>temas que tú me estás diciendo, con a<br>quién asigno en mi compañía. ¿Quién debe<br>hacer eso? Porque no, yo vi la ley así<br>muy superficialmente, pero me parece que<br>hay ciertas personas clave en la<br>compañía para desarrollar estas<br>funciones.<br>Sí, sí, es una excelente pregunta, Cami,<br>porque es un desafío multidisciplinario.<br>De todas maneras, esta es una regulación<br>que tiene una parte legal bien<br>importante, pero tiene aspectos técnicos<br>muy importantes y tiene<br>aspectos eh cierto procedimentales,<br>organizacionales también muy<br>importantes. Entonces, lo ideal, el<br>sueño del abogado de privacidad es que<br>la contraparte sea una mesa, ¿verdad?,<br>que involucre a los distintos actores de<br>seguridad, fiscalía, cumplimiento,<br>¿verdad? Eh, gobierno de datos, si es<br>que es una empresa que ya tiene<br>implementado gobierno de datos, eh<br>recursos humanos, marketing, etcétera, y<br>conversar con todos y armar los los<br>controles con todos involucrados. Eh,<br>pero si no es así, en general las<br>solicitudes están proviniendo de o los<br>equipos de compliance que tienen la idea<br>de armar al final del día un programa de<br>cumplimiento en privacidad para poder<br>registrarlo ante la agencia, porque eso<br>va a servir como una atenuante<br>responsabilidad<br>de eh los equipos o las gerencias<br>legales, ¿verdad?, o las fiscalías, que<br>son generalmente a los que les llegan<br>los requerimientos del día a día<br>o de los equipos de tecnología y<br>seguridad de la información. Eso estamos<br>viendo que son como los las áreas<br>protagonistas, ¿verdad? Pero ojalá<br>existieran los esfuerzos y y y<br>pudiéramos, ¿verdad?, llegar a conversar<br>con esta mesa multidisciplinaria.<br>Perfecto. Y ahora voy a pasar a dos<br>preguntas que son bien específicas, eh,<br>y son propiamente de de empresas eh<br>inmobiliarias que tienen mucho cliente<br>de venta de de inmueble.<br>Persona natural.<br>Sí, persona natural. ¿En qué momento se<br>obtiene el consentimiento válido del<br>cliente? ¿En qué sentido? te lo estoy<br>preguntando porque estos tienen<br>distintas interacciones con el cliente.<br>Parte primero una persona interesada que<br>va a pedir una cotización, obviamente<br>que le piden datos para poder mandarle<br>más información al respecto. Eh, o<br>cuando se vuelve y después puede pasar<br>que firme una promesa de compraventa,<br>después la escritura de compraventa. Eh,<br>¿cuándo tengo yo que preocuparme de los<br>datos personales de ese sujeto con el<br>cual estado interactuando? Porque es<br>cliente, ¿cuándo? es un cliente que va<br>que va mutando,<br>estamos jugando con el cliente y después<br>firma.<br>Sí,<br>en todo momento. Pero mi mi<br>recomendación específica a esa pregunta<br>o mi respuesta específica a esa pregunta<br>sería, primero preocupémonos de tener<br>una política de privacidad publicada en<br>la página web<br>que le informe a sus clientes en todo el<br>ciclo de vida del cliente cómo tratamos<br>sus datos. Ya, luego, habiéndonos hecho<br>cargo de ese primer control, que para mí<br>es el más importante, porque si tenemos<br>un cliente que quiera hacer un caso de<br>laboratorio, lo primero que hay hacer es<br>ir a mirar la página web de la<br>inmobiliaria,<br>¿ya? Y si no tenemos una una política<br>apreciada ahí publicada, e es mucho más<br>complejo eh salir jugando.<br>Luego vamos identificando todos los<br>momentos de recolección del dato,<br>¿cierto? Tú me dices, "Llega un cliente,<br>¿verdad?, a tocarme la puerta al piloto,<br>por ejemplo, y a pedirme un presupuesto<br>o a pedirme información respecto al<br>proyecto inmobiliario.<br>Salvo que ustedes utilicen los datos<br>para un fin distinto<br>de generar esa cotización y generar esa<br>relación precontractual, yo diría que no<br>necesitamos levantarle el consentimiento<br>siguiente porque podríamos fundamentar<br>ese tratamiento en el cumplimiento de un<br>contrato, medidas precontractuales<br>solicitadas por el titular porque fue el<br>señor que llegó a tocar en la puerta.<br>Lo mismo en las páginas web, ¿cierto? si<br>es una solicitud que hace a través de<br>una página web y solo vamos a utilizar<br>el dato para enviarle la cotización<br>pertinente a su correo electrónico y no<br>estamos pidiéndole datos financieros ni<br>que acredite su renta ni mucho menos,<br>solamente le pedimos el correo<br>electrónico su nombre, por ejemplo.<br>Yo también pensaría que no necesitamos<br>el consentimiento, pero si salimos de<br>esa esfera y van a utilizar los datos<br>para otros fines, probablemente si<br>tengamos que poner una glosa de<br>consentimiento en el formulario,<br>¿verdad? entrega de los datos o un texto<br>de autorización de uso de datos en el<br>formulario web, ¿verdad? A través del<br>cual ese cliente nos eh pida la<br>información o nos solicite la<br>cotización.<br>Un<br>poco un poco bien abogada mi respuesta,<br>pero pero de verdad que depende del<br>propósito de uso. Eso es lo que manda al<br>final.<br>Ya. Oye, y la última pregunta que es muy<br>propia de eh laboral. Eh, puedo seguir<br>pidiendo referencias laborales, así como<br>eh tu exjefe. Quiero saber cómo te<br>portaste con tu exfe.<br>Es una muy buena pregunta y yo creo que<br>es más laboral que de protección de<br>datos.<br>Ah, perfecto.<br>Porque desde la perspectiva de<br>protección de datos, claro, en tanto ese<br>postulante, ¿verdad?, me autorice a<br>llamar a un tercero para solicitar la<br>información respecto de su<br>antecedentes o de su desempeño,<br>¿verdad?, en en en una en una eh trabajo<br>anterior. Yo diría que en tanto hay una<br>autorización por parte de ese titular,<br>no le veo muchos riesgos desde el punto<br>de vista de protección de datos, más no<br>me atrevo a decir lo mismo desde el<br>punto de vista laboral porque lo<br>desconozco.<br>Ya, perfecto, gracias, Javiera. Bueno,<br>con esto terminamos este webinar. Te<br>agradezco, Javiera, toda la presentación<br>y tu buena disposición para todas estas<br>consultas que tenía. Y eh bueno, me<br>estaban preguntando por WhatsApp si esto<br>va a quedar grabado. Sí, efectivamente<br>va a quedar grabado en YouTube, así que<br>pueden eh acceder a esta a esta<br>grabación y la presentación la vamos a<br>disponer a quienes lo necesiten. Así que<br>muchas gracias por mantenerse<br>sintonizados y gracias nuevamente<br>Javiera por toda tu buena disposición.<br>A ustedes. Muchas gracias.