Webinar LeyDeDatos.com - Transparencia y Consentimiento: Dos caras de una misma moneda

que es Javier a púlveda<br>e bueno señalar que esto también está va<br>a ser grabado y va a ser puesto en<br>nuestras redes sociales y en nuestra<br>página web javiera es abogada de la<br>Universidad Católica es máster en<br>derecho comercial con especialización en<br>derecho informático de la Universidad de<br>melbour Australia eh fue coacher de la<br>International association for privacy<br>professionals Y tiene más de 12 años de<br>experiencia en tecnología y protección<br>de datos así así que bueno sin más rodeo<br>dejo con ustedes a<br>Javier Buenos<br>días Gracias Ignacio gracias a le deos<br>por la<br>invitación y por convocarnos a conversar<br>un tema<br>que que suele ser tal vez de los más<br>familiares en este mundo que que es poco<br>intuitivo que es el de la protección de<br>datos en general el consentimiento es un<br>concepto que conocen bastante bien todos<br>porque tenemos<br>una una experiencia o una tradición de<br>de de basarnos bastante en el<br>consentimiento de los titulares para el<br>tratamiento de datos precisamente porque<br>tenemos una regulación<br>eh bastante antigua cierto y poco<br>actualizada en estas materias que que no<br>nos da mucho juego piern eh en en torno<br>a otras bases de licitud para el<br>tratamiento Eh quiero tomarme solo un<br>minuto para para comentar lo que<br>Precisamente lo que está eh diciendo<br>Ignacio al principio Que bueno que y lo<br>quiero recalcar que que finalmente<br>necesitó a la comisión mixta a discutir<br>los últimos los últimos tres temas si no<br>me equivoco que que quedan abiertos en<br>en la discusión del proyecto de ley<br>Ojalá eh como como he escuchado por ahí<br>en la boca de algunos optimistas esta<br>deía ser la última sesión ojalá que así<br>sea eh Y que de de de de buena manera<br>podamos ponerle término a estos 7 años<br>ya de de discusión del proyecto de ley y<br>cumplir con esta deuda que tenemos como<br>país Bueno a lo que nos convoca Me<br>encantó el título de este webinar porque<br>efectivamente Y y quiero tratar de<br>enfocar mi mi corta presentación de una<br>manera bien práctica es es algo a lo que<br>solemos enfrentarnos con nuestros<br>clientes y que suele generar eh<br>confusión estas dos<br>instituciones por un lado la<br>transparencia y por otro lado el<br>consentimiento el consentimiento como<br>bien les adelantaba Ignacio es una base<br>de licitud para aquellos que no están<br>familiarizados con el término una base<br>de licitud es un habilitante legal es un<br>permiso que la ley nos otorga para<br>tratar datos personales hoy día en Chile<br>con la ley que tenemos vigente solamente<br>tenemos estos dos sombreros o permisos<br>que son la ley es decir cuando la ley<br>nos autoriza expresamente o cuando<br>tenemos que cumplir una obligación legal<br>que no puede si no cumplirse tratando<br>datos personales ese es uno de nuestros<br>sombreros y el otro sombrero que es el<br>más común es el consentimiento el famoso<br>consentimiento del títular en el que<br>solemos finalmente apoyarnos con<br>bastante frecuencia porque Dado que los<br>escenarios donde tenemos autorización<br>legal en Chile eh Son bastante pocos<br>salvo que estemos hablando verdad de de<br>empresas eh que tienen regulación<br>sectorial en general nos apoyamos<br>bastante en el consentimiento y en las<br>famosas políticas de privacidad que muy<br>pocos leen verdad Entonces primero<br>entender la diferencia entre la<br>transparencia por un lado y el<br>consentimiento el consentimiento es una<br>base de licitud una de las bases de<br>licitud que existe hoy día y que va a<br>seguir existiendo bajo el proyecto de<br>ley bajo características un poco<br>distintas pero que va a seguir<br>existiendo y por otro lado la<br>transparencia que hoy día está recogida<br>como uno de los requisitos del<br>consentimiento tal vez pero que bajo el<br>proyecto de ley este deber de<br>transparencia bien alineado cierto con<br>con con con este foco del proyecto de<br>ley un poco de de de la accountability<br>de la obligación de responsable de datos<br>de rendir cuentas y de acreditar a la<br>futura autoridad la licitud del<br>tratamiento que realiza eh está recogido<br>a nivel de principio tenemos un<br>principio en el proyecto de ley de<br>transferencia de información está<br>recogido a nivel de nuevas obligaciones<br>del responsable y también está recogido<br>de cierta manera como una manifestación<br>de los Derechos arco de los titulares<br>del derecho de acceso a la información<br>desde el titular hacia el responsable<br>Entonces quiero explicar creo que la<br>forma más fácil de explicar un poco la<br>manifestación concreta de la<br>transparencia y de la información como<br>nueva obligación del responsable es<br>explicándoles precisamente el cómo vive<br>el cumplimiento de esta obligación<br>concretamente lo que va a ocurrir el día<br>mañana una vez que entre en vigencia el<br>proyecto de ley es que los responsables<br>van a tener que mantener permanentemente<br>publicados ya políticas o avisos de<br>privacidad y acá hago la diferencia<br>porque solemos<br>confundir hoy día estas dos<br>instituciones porque hoy día lo que<br>ocurre es que cumplimos con nuestro<br>deber de transparencia e información por<br>medio de estas largas políticas de<br>privacidad pero a la vez hacemos que los<br>titulares acepten esas largas políticas<br>de privacidad por lo tanto es el mismo<br>instrumento nos sirve para cumplir uno<br>con nuestro deber de transparencia<br>información y dos como una forma de<br>recoger el consentimiento de los<br>titulares por eso suele confundirse y<br>por eso hago la diferencia acá siguiendo<br>un poco lo que ha pasado en Europa donde<br>dado que la base de licitud<br>consentimiento es tan frágil de a<br>poquito han ido arrancando del<br>consentimiento como base de lcit primero<br>porque es tremendamente difícil cumplir<br>con los requisitos del consentimiento<br>pero más importante que eso porque el<br>consentimiento es esencialmente<br>revocable por lo tanto es una base de<br>licitud muy frágil Eh y tremendamente<br>cuestionada además no solo desde el<br>punto de vista normativo sino que<br>también casi desde el punto de vista un<br>poco sociológico cierto por por por la<br>desconfianza que genera eh en los<br>titulares y además por la evidencia que<br>existe de que los titulares<br>efectivamente no están leyendo eh las<br>largas políticas de privacidad que se<br>les presentan para aceptación entonces<br>por eso se genera esa confusión y como<br>les decía siguiendo un poco lo que ha<br>pasado en Europa muy probablemente lo<br>que va a empezar a pasar en Chile una<br>vez que entra en vigencia el el proyecto<br>de ley la futura regulación es que más<br>que hablar de políticas de privacidad<br>que tienen que aceptar en bloque los<br>titulares y que por lo tanto nos van a<br>servir como base de licitud<br>consentimiento lo que va a pasar es que<br>estos instrumentos empiecen a mutar a<br>ser avisos de privacidad que se<br>mantengan permanentemente publicados en<br>las páginas web pero que no sean la<br>forma en que el responsable recoge el<br>concepto el aviso de privacidad que es<br>la forma en que los responsables van a<br>tener que cumplir con su deber de<br>información y transparencia es un<br>instrumento un documento que va a estar<br>permanentemente publicado en la página<br>web de los responsables o en un medio<br>equivalente cierto donde el proyecto de<br>ley nos dice Usted tiene que tener<br>cierto contenido mínimo que informar a<br>los titulares respecto del tratamiento<br>que que usted Está realizando Quién es<br>el<br>responsable Perdón Quién es el<br>responsable del tratamiento A dónde<br>tienen que comunicarse o cuál es el<br>medio de comunicación de los titulares<br>para el ejercicio de sus derechos arco<br>eh Cuáles son en general las medidas de<br>seguridad tanto técnicas como<br>organizacionales que está Tom la<br>institución para el tratamiento de sus<br>datos personales qué categorías de datos<br>estoy tratando Cuáles son los propósitos<br>de esos tratamientos Cuáles son las<br>bases de licitud aparte una de ellas<br>solamente el consentimiento pero en<br>general Cuáles son las bases de licitud<br>en los que estoy basando el tratamiento<br>que estoy realizando respecto de de los<br>datos de los titulares eh Cuáles son los<br>destinatarios de esos datos tanto como<br>mandatarios es decir comunica de datos<br>como otros responsables Es decir<br>transferencias de datos<br>eh Cuáles son las eh transferencias<br>internacionales que estoy realizando es<br>una serie de información tremendamente<br>detallada que le tenemos que entregar a<br>los titulares el día de mañana y que<br>tenemos que mantener permanentemente<br>publicada Pero por qué digo que van a<br>mutar a los avisos porque en esos avisos<br>de privacidad nosotros probablemente<br>vamos a informarle a los titulares seor<br>señores titulares yo estoy tratando sus<br>datos personales de esta forma con estas<br>bases de licitud una de ellas es el<br>consentimiento otra va a ser el<br>cumplimiento de un contrato otra va a<br>ser el interés legítimo que el<br>responsable pueda tener para tratar esos<br>datos como por ejemplo puede ser el uso<br>de cámaras de seguridad al interior de<br>una empresa etcétera<br>e Y qué va a ocurrir que esta práctica<br>que tenemos hoy día de hacer que los<br>titulares acepten en blog<br>cierto estas largas políticas de<br>privacidad ya no van a pasar el test de<br>la risa de los requisitos del<br>consentimiento que se robustecen bajo el<br>proyecto de ley Cómo se define el<br>consentimiento bajo el proyecto de ley<br>como base de licitud siguiendo muy de<br>cerca lo que la disposición la<br>definición legal que tiene en el<br>reglamento general de de protección de<br>datos de Europa es una manifestación de<br>voluntad<br>libre específica informada e inequívoca<br>del titular que puede manifestarse por<br>medio de una declaración o por medio de<br>una acción afirmativa para el<br>tratamiento de sus datos Y<br>acá Me detengo en estos requisitos<br>porque ha habido una proliferación de<br>doctrina europea sobre todo en el<br>desarrollo de Qué significa la práctica<br>cumplir con estos requisitos cumplir con<br>estos requisitos es tremendamente<br>difícil el requisito de libertad y esto<br>también se se sustenta en que el acto de<br>consentimiento<br>es está afectando los derechos<br>fundamentales de los titulares y por eso<br>tienen que que existir estos requisitos<br>estrictos e le estamos finalmente<br>entregando a un<br>responsable una facultad de tratar datos<br>personales que sin el consentimiento<br>sería un acto ilícito entonces por eso<br>se han desarrollado Y a medida que las<br>legislaciones de protección de datos han<br>ido modernizando en general los<br>requisitos del consentimiento se han ido<br>volviendo cada vez más estricto el<br>término libre que probablemente es el<br>más controversial cierto o o el que ha<br>tenido más desarrollo al menos en la<br>jurisprudencia<br>europea requiere que le entreguemos<br>realmente<br>un una posibilidad de elección y de<br>control respecto del tratamiento de sus<br>datos personales Al titular Entonces si<br>el sujeto si el titular no es realmente<br>libre para elegir es decir se siente<br>obligado a entregar su consentimiento o<br>va a sufrir Consecuencias negativas si<br>es que no lo da Entonces el<br>consentimiento no puede considerarse<br>libre y por lo tanto no puede<br>considerarse válido hay un montón de<br>hipótesis donde ya en general la<br>legislación incluso la la la<br>jurisprudencia y la doctrina dicen acá<br>No hay un consentimiento libre ya por<br>ejemplo cuando el consentimiento se<br>entrega como una condición para la<br>celebración de un contrato respecto del<br>cual Ese esa actividad de tratamiento<br>específico no es necesaria Y eso lo<br>recoge hoy día lo<br>recoge la autoridad de protección al<br>consumidor el cnac en Chile lo recoge<br>nuestro proyecto de ley y es una<br>institución bien bien bien desarrollada<br>en<br>Europa se cuestiona también la libertad<br>del consentimiento cuando estamos<br>ante dos partes que tienen un<br>desequilibrio en cuanto a su poder<br>negociador que es lo que se llama el<br>desequilibrio<br>extensible ocurre esto por ejemplo en<br>los casos eh de tratamientos de datos<br>por parte de<br>e órganos de la administración del<br>estado en general el legislador dice ojo<br>acá el consentimiento cuando se trata de<br>un tratamiento que Está realizando un<br>órgano de la administración del Estado<br>puede o va o suele no ser la base de<br>licitud más adecuada porque claramente<br>el titular no tiene una efectiva<br>Libertad para rechazar el consentimiento<br>que le está solicitando el órgano de la<br>administración del Estado para tratar<br>sus datos<br>personales ocurre también otra hipótesis<br>de falta de libertad en la entrega del<br>consentimiento son estos consentimientos<br>atados que se suelen llamar en en la<br>doctrina de protección de datos en<br>contraposición al consentimiento<br>granular que es la tendencia donde el<br>titular puede<br>efectivamente elegir para qué<br>propósitos él está otorgando su<br>consentimiento para el tratamiento de su<br>dato eh de manera tal que pueda aceptar<br>algunos y rechazar otros y eso también<br>tiene que ver con el segundo requisito<br>que es el requisito de la especificidad<br>del consentimiento el consentimiento<br>aparte de ser libre es decir aparte de<br>que el responsable antes de elegir esta<br>base de licitud verdad tenga que eh<br>acreditar que está cumpliendo<br>pacientemente con este requisito de<br>libertad tiene que cumplir con este otro<br>requisito que es el de la especificidad<br>el consentimiento tiene que otorgarse<br>para un fin<br>específico ya para un fin específico<br>tiene que informarse al titular de una<br>manera clara y específica Cuál es el<br>propósito del uso de los datos que está<br>recogiendo el responsable pero esta<br>especificidad también se manifiesta en<br>esto que les decía de no obligar Al<br>titular a que me acepte una serie de<br>propósitos de manera<br>atada tengo que Y esa es la tendencia eh<br>lograr eh otorgarle al al titular esta<br>posibilidad de control cierto y que<br>pueda aceptar ciertos propósitos y otros<br>no el consentimiento además tiene que<br>otorgarse de manera informada y aquí es<br>donde se genera la principal conexión<br>con el deber de transparencia de<br>información que les comentaba antes el<br>proyecto de ley hoy día no nos dice el<br>específicamente Qué información tiene<br>que entregarse Al titular al momento que<br>estamos recogiendo su<br>consentimiento Porque si tenemos una<br>idea de Cuál es la información que<br>tenemos que mantener permanentemente<br>disponible para el titular a través de<br>estos avisos de privacidad cierto que<br>les comentaba en cumplimiento del deber<br>de transparencia información pero al<br>momento de recoger el<br>consentimiento si yo tengo que cumplir<br>con un consentimiento libre con un<br>consentimiento<br>específico es poco probable que pueda<br>cumplir con esos requisitos si es que le<br>entrego Al<br>titular 15 hojas de<br>información entonces voy a tener que ser<br>capaz de<br>entregar la los elementos esenciales<br>verdad de e de de las condiciones del<br>del tratamiento de los datos del titular<br>quién es el responsable qué datos estoy<br>recogiendo para qué propósitos en<br>general A qué categorías de eh de<br>destinatarios los voy a entregar ya sea<br>en en modalidad mandatario o en<br>modalidad responsable Esos son los<br>elementos como de la esencia que muy<br>probablemente van a ser los que la<br>autoridad el día mañana nos diga estos<br>son los elementos venimos de un<br>consentimiento informado Pero no por eso<br>yo en el acto del consentimiento voy a<br>tener que cumplir con la serie de<br>elementos del contenido de un aviso de<br>privacidad entonces en la práctica para<br>ser más concreta y para ir cerrando ya<br>también a lo que se van a enfrentar las<br>empresas muy probablemente el día mañana<br>Primero hacer como un análisis y un<br>ejercicio de cuándo realmente Necesito<br>consentimiento el día de mañana vamos a<br>tener una base de licitud cumplimiento<br>de trato en la que muy probablemente van<br>a vivir la gran mayoría de los<br>tratamientos que realizan las empresas y<br>ese ejercicio tiene que hacerse Sí o sí<br>porque tenemos que tratar de escapar del<br>consentimiento en sin que se malentienda<br>no no no quiero tampoco crucificar el<br>consentimiento Pero creo que es una base<br>de licitud e compleja Por decirlo menos<br>Entonces en este ejercicio de Okay qué<br>nos queda de todos los propósitos de uso<br>que realizamos qué nos queda<br>En qué escenarios realmente vamos a<br>tener que ir a pedir el consentimiento 1<br>dos y TR Okay 1 dos y tres voy a tener<br>que por un lado cumplir independiente de<br>las bases de licitud que yo utilice<br>cumplir con mi aviso de privacidad<br>verdad con mi deber de información y<br>transparencia pero cuando vaya a recoger<br>el<br>consentimiento voy a tener que hacer<br>referencia a ese aviso de privacidad<br>probablemente tener un texto de<br>autorización de uso de datos que haga<br>referencia a ese aviso de privacidad con<br>la información más detallada y más<br>completa pero al momento de recoger el<br>consentimiento no tengo que entregar de<br>nuevo un texto que sea ininteligible y<br>demasiado extenso porque entonces en mi<br>opinión no voy a ser capaz de acreditar<br>la una autoridad que cumplí con un<br>consentimiento libre que cumplí con un<br>consentimiento específico e informado Eh<br>y además con una manifestación del<br>consentimiento de manera inequivoca<br>entonces<br>eh va a pasar como como probablemente<br>han visto ustedes con sus experiencias<br>de usuario O tal vez como profesionales<br>de privacidad queé es lo que está<br>pasando en Europa que es que se<br>mantienen estos avisos de privacidad<br>publicados pero cuando nos enfrentamos a<br>los escasos escenarios donde el<br>responsable nos va a recoger el<br>consentimiento pues entonces nos<br>enfrentamos o a un formulario o a una<br>política de privacidad abreviada o a un<br>texto de autorización abreviado se<br>entiende eh Y ahí el contenido de ese de<br>ese texto de esa autorización o el Cómo<br>va a considerar la autoridad la futura<br>agencia chilena que se cumple con el<br>consentimiento informado es algo que<br>todavía tenemos que que que esperar su<br>su desarrollo pero como les digo muy<br>probablemente siguiendo la la la<br>doctrina e comparada y la jurisprudencia<br>comparada esos van a ser los elementos<br>básicos la identificación de responsable<br>la identificación del medio por por el<br>cual los titulares pueden ejercer sus<br>derechos arco e las categorías de datos<br>que se recogen los propósitos y en<br>general los actos de comunicación de<br>esos datos hacia<br>tercero eso no quiero pasarme el tiempo<br>así que le devuelvo la palabra a a<br>igna muchas gracias jaa por la<br>presentación muy muy clara yo voy a<br>aprovechar ahora de presentar nuestro<br>Sas de ley de datos antes de dejar<br>nuevamente con el<br>webinar Entonces como podemos ver acá<br>tenemos nuestro nuevo módulo de derechos<br>arco como muy bien mencionó momento<br>efectivamente parte de nuestr<br>responsabilidades va a ser cumplir con<br>los derechos arco que tienen todos los<br>titulares de datos entonces eh lo<br>primero que tener que tener es un portal<br>de acceso muy probablemente y acá lo<br>pueden ver donde podemos ir llenando Por<br>ejemplo si es titular representante<br>legal si es el representante le podemos<br>jugar un de representación y le pedimos<br>ciertos datos que son los datos mínimos<br>que se suelen pedir en este tipo de<br>formularios mucho lo vemos en la<br>comunidad Europea y luego al Ingresar a<br>nuestra plataforma nos vamos al módulo<br>de derechos arco y al entrar a la al<br>módulo de derechos arco vamos a ver un<br>listado con todas las solicitudes que<br>tenemos activas Al momento de hoy y<br>también con algunas que tengamos<br>atrasadas no olvidar que los derechos<br>arcos tienen en Chile un plazo de 30<br>días para ser contestados 30 días<br>probables y acá vamos a poder ver Esta<br>lista que nos va a permitir ver en qué<br>está cada uno de estos estas solicitudes<br>eh Quién es la persona responsable de<br>esta subtarea y si es que está<br>respondida o si todavía está en proceso<br>Entonces por ejemplo podemos ver esta y<br>vamos a ver que esta tarea está por<br>ejemplo bueno el detalle de la solicitud<br>de la persona que hizo la solicitud y<br>vemos que está en verificación de<br>identidad Porque la idea es que uno no<br>puede por ejemplo entregar datos a una<br>persona que está suplantando otra es<br>algo que también vamos a tener que<br>resolver una vez esta ley ent en<br>vigencia dicho eso le doy el pase a<br>Ignacio para que pueda seguir con el web<br>bueno Muchas gracias Rodrigo eh y muchas<br>gracias javiera por tu presentación<br>e muy clara y bueno a la hora La idea es<br>darle pase a Juan Pablo para que pueda<br>linkar lo que nos señaló javiera pero<br>ahora desde el otro lado de la Esfera lo<br>otro lado La otra cara de la moneda que<br>es la<br>transparencia Juan Pablo es abogado de<br>la universidad Alberto utado y magister<br>en derecho y nuevas tecnologías de la<br>Universidad de chile actualmente lidera<br>el área de Data and privacy en asertiva<br>y es director también del diplomado de<br>tecnología y regulación de la<br>Universidad de desarrollo especialista<br>en materia de protección de datos<br>ceguridad y regulación tecnológica dejo<br>con ustedes a Juan Pablo con su<br>presentación Muchas<br>gracias muchas gracias muchas gracias<br>Ignacio y bueno también ahí agradecer al<br>equipo de ley de datos por la<br>oportunidad de tratar este tema como lo<br>mencionó también javiera Creo que es<br>tremendamente interesante el poder<br>entender los desafíos prácticos que se<br>presentan en las organizaciones a<br>propósito de tenemos la tan anhelada ley<br>de protección de datos personales<br>actualizada en Chile e y me gustaría<br>digamos partir con la presentación con<br>con algunos casos a nivel internacional<br>para ver cómo se configuran las<br>infracciones particularmente en este<br>principio y yo creo que la verdad<br>probablemente son casos cotidianos como<br>los mencionó javiera y que probablemente<br>muchos de nosotros tanto en nuestra<br>labor particularmente como asesores<br>jurídicos como en consultoría como<br>eventualmente especialistas de la<br>privacidad o gente que trabajamos en<br>temas relacionados con actividades de<br>procesamiento de datos los vamos a ver<br>día a día y alguno de estos casos<br>particularmente por ejemplo y acá tomo<br>algunos casos particularmente europeos<br>es el no entregar información por<br>ejemplo de manera suficiente en los<br>sitios web sobre el ejercicio de los<br>derechos de titulares o particularmente<br>el hecho de que yo no me entere y haya<br>sido bloqueado o agregado por ejemplo en<br>una Lista negra también por ejemplo los<br>temas relacionados con la implementación<br>de sistemas de vigilancia cuando no son<br>informados particularmente a los<br>usuarios pueden colocar una situación en<br>el que no hay transparencia De dónde se<br>están capturando los datos y lo mismo<br>particularmente en el hecho de que no se<br>le informe oportunamente como decía muy<br>bien javiera al momento en el que se<br>captura el consentimiento del titular o<br>en otras actividades que por ejemplo<br>hace una persona en un sitio web de<br>eventualmente alguna organización<br>también el hecho de que por ejemplo no<br>se entregue información de Cuáles son<br>los tipos de datos que particularmente<br>se están capturando es decir que existan<br>estas cláusulas genéricas donde a mí me<br>habilitan capturar una gran cantidad de<br>datos sin que yo por ejemplo me entere<br>que existan por ejemplo cookis o<br>eventualmente algún otro positivo que<br>esté capturando más Data de la que yo<br>como usuario inicialmente quisiera<br>autorizar y en ese mismo<br>sentido el hecho también de<br>particularmente excederme en los plazos<br>asociados a almacenamiento de la Data el<br>hecho de no informar cuando existen<br>medidas de vigilancia Y por último el no<br>entregar información concisa<br>transparente inteligible y de fácil<br>acceso Además del hecho de por ejemplo<br>contar con eventualmente ciertas<br>preguntas que lo único que hace es deriv<br>arme a link sin que se entregue la<br>información en las secciones que tienen<br>uso algunos sitios web que son de<br>preguntas y respuesta si Uno ve las<br>multas son bastante cuantiosa y yo creo<br>que más de alguno de nosotros que ha<br>leído la prensa internacional sabrá A<br>qué casos me refiero particularmente en<br>uno o en otro y la verdad es que es<br>tremendamente importante y yo yo creo<br>que en el último tiempo ha tomado una<br>tremenda relevancia lo que es la<br>transparencia de información no<br>solamente en materia de datos personales<br>sino también lo que dice relación por<br>ejemplo con otra regulación que también<br>está justo en su primera etapa<br>constitucional de discusión que dice<br>relación con todo lo que es<br>entrenamiento en sistemas de<br>Inteligencia artificial Como dijo muy<br>bien y como se señaló este principio que<br>anteriormente en el proyecto en la ley<br>vigente no estaba de manera clara<br>definido Ahora sí tiene una una noción<br>Clara como principio en el proyecto de<br>ley y lo que nos señala particularmente<br>es que el responsable tiene el deber de<br>entregar información necesaria para el<br>ejercicio de los derechos que establece<br>la ley las políticas y las prácticas en<br>cuanto al tratamiento de los datos Y<br>además que deben estar siempre accesible<br>y a disposición de cualquier interesado<br>de manera precisa Clara inequívoca y<br>gratuita dicho de otra forma mucho más<br>claro tienen que estar claro Cuáles son<br>los derechos que se pueden ejercer y la<br>forma en que se pueden ejercer los<br>derechos que reconoce la normativa a los<br>titulares debe estar la política y como<br>vamos a ver más adelante un poquito el<br>detalle cuál dice este principio esta<br>política no es cualquier política es una<br>política que dice relación con los<br>elementos que reconoce la organización<br>en materia de El resguardo y el<br>compromiso que también tiene la<br>organización en cuanto al procesamiento<br>de datos Y también es importante que la<br>política tenga fecha y me permite<br>eventualmente dar cuenta Cuál fue la<br>última fecha de actualización y efectiva<br>amente también cómo se pueden realizar<br>las comunicaciones a propósito de<br>actualizaciones futuras las prácticas<br>que puede tener la organización en<br>cuanto al tratamiento de la Data Y por<br>último que se encuentre de formato<br>accesible Y esto es también el<br>compromiso que tiene el responsable de<br>entregar de manera honesta y Clara la<br>información a los titulares<br>particularmente al momento en el que<br>está capturando la Data o eventualmente<br>el momento en el que como se señaló<br>anteriormente se produce la ura de<br>consentimiento obviamente identificando<br>Cuál es la actividad de procesamiento<br>para el cual el titular está<br>consintiendo<br>el deber que se le impone al responsable<br>establece una serie de elementos que<br>debe tener particularmente o que debe<br>cumplirse para poder cumplir con este<br>deber de transparencia e información y<br>que Es bien interesante porque la<br>técnica que se agregó en el proyecto de<br>ley hay algunos matices en relación a<br>cómo se ha presentado particularmente a<br>nivel<br>europeo particularmente en el que todos<br>los elementos de artículo 14 ter del<br>proyecto están con las frases que se<br>deberán Por ende es algo que<br>necesariamente Un responsable tiene que<br>presentar ahora como lo vamos a ver más<br>adelante Lo importante es el Cómo<br>presento esta información y eso es algo<br>que claramente me distingue en el hecho<br>de poder encontrarme frente a un<br>catálogo extenso e inentendible de<br>información de todos los elementos que<br>contiene el artículo frente<br>eventualmente a lo que dice relación al<br>hecho de entregar información por<br>ejemplo por capas o de forma<br>simplificada sin perjuicio que siempre<br>tenga la posibilidad y la libertad el<br>titular de acceder a la información<br>completa y eventualmente informarse de<br>una manera mucho más detallada del<br>movento o de la información que puede<br>estar eventualmente capturando como<br>también de los usos o actividades de<br>procesamiento de Data que Está<br>realizando el T el responsable<br>particularmente de la organización<br>uno de los primeros elementos que<br>establece es la política y acá la<br>política como se dijo muy bien es el<br>elemento que permite eventualmente<br>establecer todos los lineamientos que<br>tiene la organización en cumplimiento de<br>esta regulación y acá un componente<br>importante es el hecho de que debe<br>constar la fecha y la versión no es lo<br>mismo que esté una política antes del<br>proyecto de ley que Esperamos que sea<br>prontamente ya ley en el país frente<br>eventualmente una política que está ya<br>con los estándares que tiene La<br>regulación que se espera que prontamente<br>se e se apruebe deben también estar los<br>datos del responsable donde debe haber<br>una individualización del responsable y<br>del representante legal y efectivamente<br>también un punto o una identificación En<br>caso de que exista algún delegado de<br>protección de datos personales o en este<br>caso un encargado de prevención de<br>modelo de infracciones debe constar el<br>domicilio y Esto fue un punto que se<br>discutió particularmente en la última<br>etapa constitucional donde donde<br>finalmente se establecía iba a suceder<br>en relación a el domicilio o<br>eventualmente la designación de un<br>domicilio y se definió finalmente que<br>sea un domicilio postal donde puede<br>constar ya sea la dirección de correo<br>electrónico un formulario de contacto o<br>la identificación a través de algún<br>medio tecnológico equivalente de uso<br>común y fácil para que eventualmente el<br>titular pueda ejercer los derechos que<br>reconocen la normativa los famosos<br>derechos arco que como los vamos a ver<br>más adelante lo que permite obviamente y<br>como mostró muy bien también<br>particularmente la plataforma permite<br>hacer este rastreo de ver en qué caso se<br>encuentra el desarrollo la solicitud y<br>obviamente estar pendiente del<br>cumplimiento de los plazos que establece<br>la normativa porque claramente el hecho<br>de<br>poder extenderme de ese plazo puede ser<br>una causal de infracción de La<br>regulación otro punto importante es el<br>tema de las categorías de datos y acá lo<br>que pide es básicamente que se entregue<br>categoría clase o tipo de dato Sí además<br>de eso también es importante que se<br>señale Cuáles son los destinatarios a<br>los cual se comunican o se ceden los<br>datos las finalidades del tratamiento<br>donde como se mencionó anteriormente<br>nuestra normativa actual solamente nos<br>limita a dos al consentimiento y la ley<br>pero el proyecto de ley reconoce<br>muchísima más y ojo ahí que hoy día<br>justo en la mañana estaba leyendo un<br>caso donde hay algunas organizaciones<br>que parece que el interés legítimo es<br>algo Bastante interesante para poder<br>también poder justificar actividades de<br>procesamiento de datos Y es importante<br>saber muy bien efectivamente Cuál es la<br>base que me permite poder realizar el<br>tratamiento para una actividad<br>específica frente eventualmente a otra<br>actividad que se pueda generar dentro de<br>la organización y como decía<br>anteriormente los casos en el que puede<br>haber un interés legítimo que debe ser<br>justificado y obviamente evaluado de<br>acuerdo a los procedimientos y a las<br>metodologías que se establezcan<br>las medidas de seguridad que cuenta la<br>organización particularmente en cuanto<br>al resguardo de los datos los derechos<br>arco es decir la posibilidad o la forma<br>en que se pueden ejercer estos derechos<br>el hecho de existir siempre la<br>posibilidad de poder ejercer un de<br>recurso ante la autoridad de control en<br>el caso de que o no se le entregue o<br>eventualmente no se ejerce el derecho no<br>haya una comunicación por parte del<br>responsable en el plazo que establece la<br>normativa o que directamente la<br>información en ejemplo en el caso de un<br>derecho de acceso la información fue<br>entregada parcialmente o directamente no<br>fue entregada oportunamente estos<br>elementos claramente me permiten también<br>poder ver el hecho de que en la política<br>y de acuerdo al deber de transparencia<br>información debe existir la posibilidad<br>de informar que existe este derecho de<br>poder eventualmente recurrir ante la<br>agencia específicamente competente en<br>esta materia y el hecho de existen o no<br>transferencias internacionales y también<br>en el caso de que no existan garantías<br>adecuadas o no sea particularmente un<br>país con un nivel adecuado de protección<br>el hecho de que existan garantías<br>similares para efectos de realizar esta<br>transferencia internacional de datos ojo<br>con algunas medidas que de acuerdo a lo<br>que ha pasado particularmente en Europa<br>son consideradas transferencias<br>internacionales y algunas prácticas que<br>No necesariamente lo son particularmente<br>porque finalmente la información no sale<br>de la frontera sino simplemente se<br>visualiza en otro territorio pero<br>eventualmente donde está localizado por<br>ejemplo los Data Center o eventualmente<br>el sistema que procesa la información es<br>un componente importante para ver si es<br>que efectivamente la información sale de<br>la frontera o particularmente se<br>encuentran en las fronteras nacionales y<br>ya para ir cerrando particularmente en<br>estas obligaciones los plazos de<br>conservación que es algo que es<br>tremendamente importante y que yo creo<br>que muchos de los que estamos acá<br>conectados se nos ha generado una<br>tremenda duda nuestro proyecto de ley no<br>nos dice Cuál es el plazo mínimo de<br>conservación de la Data Y la verdad<br>siguiendo mucho lo que es la técnica<br>europea permite entender que finalmente<br>Esto es algo que cada organización debe<br>identificar ya sea por cumplimientos de<br>normativas o derechamente por el hecho<br>de poder ser necesaria para actividades<br>de procesamiento por ejemplo la<br>ejecución de un contrato o eventualmente<br>el cumplimiento de alguna obligación<br>específica de carácter normativo también<br>las fuentes de de licitud identificar<br>bien Cuáles son las fuentes de licitud y<br>efectivamente si es que la información<br>Se se obtiene de una fuente de acceso al<br>público el consentimiento y acá uniendo<br>un poco también lo que señaló<br>anteriormente el hecho de la dificultad<br>que se establecen para poder cumplir con<br>los requisitos para el consentimiento<br>donde hemos visto particularmente este<br>2024 muchas situaciones a nivel europeo<br>donde al parecer el consentimiento no<br>cumplía todos los requisitos que<br>establecía la normativa y que claramente<br>ese es un poco de posible infracción<br>normativa particularmente por la<br>investigaciones que han realizado las<br>autoridad<br>europeas y por último el hecho de si<br>existen o no decisiones automatizadas<br>incluida las elaboraciones de perfiles y<br>en el caso de información significativa<br>también la lógica aplicada<br>particularmente como las consecuencias<br>que puede tener el titular en cuanto a<br>sus datos siendo utilizado en estos<br>procesos de decisión automatizada si nos<br>damos cuenta es bastante extenso los<br>elementos que no establece el artículo<br>14 del proyecto Y la verdad es que acá<br>No hay una única forma correcta de cómo<br>se debe presentar o se debe mantener<br>esta<br>información particularmente en los<br>sitios web o en alguna otra parte o en<br>algún otro eventualmente<br>soporte que pueda el responsable o que<br>debe el responsable tener para efectos<br>de que el titular sepa no solo cuando se<br>captura su consentimiento o la Data sino<br>también eventualmente qué es lo que está<br>haciendo el responsable en cuanto a esta<br>información que está capturando y<br>también a la información que ya tiene<br>particularmente de este titular algunos<br>consejos que nos ha dado la autoridad<br>europea primero estos este principio de<br>transparencia e información implica que<br>nosotros debamos ser tremendamente<br>concisos usando frases cortas y párrafos<br>que permitan primal m establecer<br>información tremendamente Clara de qué<br>es lo que estamos haciendo con la<br>información que hemos capturado donde<br>acá un enfoque de capas una primera capa<br>más simple una segunda capa mucho más<br>extensa Y así sucesivamente como también<br>la incorporación de iconografía son<br>tremendamente útiles para efectos de<br>poder ver finalmente Cómo se entrega la<br>información de la manera más clara<br>posible particularmente Al titular de la<br>dat<br>debe ser también Genuino y abierto y<br>honesto en Cómo se están usando los<br>datos de los titulares Y acá es<br>tremendamente importante el identificar<br>el Cómo se hace el Cómo probablemente<br>las ideas que establezca o que dicte la<br>agencia nacional van a ser tremendamente<br>útiles pero a nivel europeo Ya varias<br>autoridades han señalado finalmente el<br>poder utilizar frases que sean claras Y<br>precisas de los usos que se están dando<br>de los datos y particularmente al<br>momento en que se está capturando la<br>información debe ser de fácil acceso y<br>claro olvidémonos de estos sitios web<br>donde la información y toda la política<br>de privacidad está en un link difícil de<br>encontrar es tremendamente importante<br>acá tener un enfoque de usuario y de<br>experiencia de usuario en un sitio web<br>por ejemplo el hecho de poder<br>identificar Cómo puedo fácilmente a<br>través por ejemplo de banner o a través<br>eventualmente de dashboard poder acceder<br>a donde se encuentra publicada toda esta<br>información que nos pide o que nos va a<br>pedir la normativa debe ser también<br>inteligible Clara y un lenguaje común es<br>decir que si lo que yo busco que este<br>sitio web donde probablemente pueda<br>capturar el consentimiento de un titular<br>o donde eventualmente sé que tengo<br>usuarios de un cierto tipo es importante<br>que acá el lenguaje sea de una manera<br>tremendamente clara acá las políticas de<br>privacidad compleja extensas en un<br>lenguaje tremendamente jurídico no nos<br>ayudan mucho a poder cumplir este<br>principio en concreto acá es<br>tremendamente útil el hecho de poder<br>escribir de una forma simple y amigable<br>donde claramente se cumpla con los<br>elementos que nos establece La<br>regulación pero también particularmente<br>que permita ser entendido por cualquier<br>usuario que navegue por ejemplo en<br>nuestro sitio web o eventualmente que<br>tenga que ver esta información que vamos<br>a estar obligados para particularmente<br>por ejemplo cuando se realiza en un<br>soporte físico y debe ser precisa y<br>actualizada Y acá es donde usualmente<br>cuando uno analiza algunos sitios web<br>nos damos cuenta que no está por ejemplo<br>la fecha en el que corresponde la<br>política de privacidad no está la fecha<br>en el cual fue últimamente actualizada<br>la información que está siendo entregada<br>Por ende puede que esa Data sea<br>desactualizada y Por ende poder<br>obviamente infringir los elementos que<br>vios anteriormente establece La<br>regulación ya para ir cerrando algunas<br>conclusiones la información como les<br>dije tiene que ser en un formato conciso<br>transparente inteligible y de fácil<br>acceso donde yo tengo que buscar<br>entregar la información para que sea<br>entendible por el usuario y por el tipo<br>de titular al que estoy ya sea<br>capturando la Data o particularmente al<br>usuario que sé que tiene algún tipo de<br>exposición a este sitio web o<br>eventualmente donde estoy obligado a<br>hacer estas publicaciones debe ser en un<br>formato electrónico como lo establece<br>pero también puede ser de otra forma<br>puede ser a través eventualmente de<br>medios orales o físicos y es importante<br>que esta información no tiene costo para<br>el titular no así lo que puede suceder<br>por ejemplo en el caso de que haya una<br>solicitud de acceso particularmente<br>dentro de los Derechos arco y que por el<br>volumen de la información o por la<br>repetición de información puedan<br>eventualmente hacer algún costo lo que<br>claramente va a ser regulado a través de<br>guías particularmente la agencia cuando<br>se cree Tom ha sido particularmente<br>en autoridades europeas que han señalado<br>cuando se han hecho solicitudes<br>múltiples particularmente de acceso a<br>información por parte de un titular Y<br>por último se recomienda siempre un<br>enfoque proactivo acá la proactividad es<br>tremendamente importante y la<br>proactividad unida al trabajo<br>multidisciplinario donde es importante<br>que la información en que se presenta la<br>información y también la forma en que se<br>presenta esta información en sitios web<br>o eventualmente en otro formato sea<br>entendible no solamente por las áreas<br>jurídicas o por las áreas expertas de<br>particularmente seguridad de información<br>o las áreas particularmente<br>de especialistas de privacidad si no sea<br>entendible por otros usuarios que No<br>necesariamente utilizan el mismo<br>lenguaje que se utiliza en esta área del<br>derecho es importante que esta<br>información sea Clara sin perjuicio de<br>que el enfoque por capa es claramente<br>Útil para efectos de poder también poder<br>Al titular darle la opción de poder<br>tener capas de información de mayor<br>profundidad eventualmente también para<br>que pueda acceder y para ello siempre se<br>debe tener en cuenta la naturaleza la<br>circunstancia el alcance el alcance y el<br>contexto de las actividades de<br>procesamiento que tiene el organización<br>y sobre eso ver bien De qué forma se<br>puede entregar esta información de una<br>manera fácil Clara y obviamente que<br>cumpla con el principio de transparencia<br>e información eso Muchas<br>gracias muchas gracias Juan<br>Pablo ahí está la cámara Muchas gracias<br>por tu presentación Juan Pablo muy clara<br>también eh Y que deja bastantes tareas a<br>la organizaciones en lo que es va a ser<br>la implementación del proyecto de ley de<br>protección de datos a a continuación<br>pasaremos a una ronda de preguntas eh<br>tenemos varias preguntas así que vamos a<br>tratar de responder la mayoría de estas<br>e Así que también les pido a nuestros<br>expositores ser concisos con la con la<br>respuestas iré<br>dirigiéndola según los temas que<br>hayan expuesto ustedes sin perjuicio de<br>que alguna se pueden las podrían<br>responderlas ambos ya desde la visión de<br>cada uno de sus temas si es<br>consentimiento o transparencia me voy a<br>tomar la libertad de responder una sola<br>pregunta que hacía Rubén a través del<br>chat eh consultando respecto de si<br>Existe alguna aplicación herramienta<br>sistema Software que le pueda ayudar<br>para gestionar de forma global lo que es<br>la protección de datos en Chile bueno<br>precisamente ley de datos pone a<br>disposición de todos ustedes eh un<br>software que les permite la gestión<br>global de la protección de datos y todos<br>los elementos que estábamos mencionando<br>acá en este webinar y otros elementos<br>también que hemos mencionado en otros<br>webinar y así como muy a grandes rasgo<br>Lo que implica los registros de<br>actividades de tratamiento eh el<br>inventario de datos el ejercicio de<br>derechos arco de los derechos de los<br>titulares que presentaba Rodrigo también<br>las transferencias internacionales que<br>comentaba Juan Pablo también en algún<br>momento y todo lo que implica el<br>cumplimiento de la normativa<br>precisamente para evitar lo que<br>finalmente va a traer la futura agencia<br>de protección de datos que son las<br>sanciones y no solamente evitar<br>sanciones sino también cumplir con las<br>obligaciones de cada uno de los<br>responsables y encargados del<br>tratamiento Así que dicho eso bueno<br>Rodrigo va a poner su contacto para<br>quienes quieran<br>agendar una reunión y ver nuestra la<br>demo de nuestro software ahora entrando<br>ya en materia hay preguntas bastante<br>interesantes pero quiero partir por una<br>que puede ser una pregunta simple pero<br>quiero que la aborden cada uno desde su<br>visión La pregunta es qui está regulando<br>la privacidad de datos Está la entiendo<br>en presente quién está regulando hoy en<br>día la privacidad de datos luego quién<br>va a regular la privacidad o la<br>protección de datos a futuro qu es lo<br>que se<br>espera y Quiero agregar acá para el caso<br>de Juan Pablo y para el caso de javiera<br>respecto del javiera el caso<br>consentimiento qué facultades tienen<br>estos entes hoy y el día de mañana<br>respecto al consentimiento O qué es lo<br>que hay que preocuparse respecto al<br>consentimiento y Juan Pablo también lo<br>mismo para ti en transparencia qué<br>facultades podrían tener estos estos<br>entes actuales o futuros entes respecto<br>a lo que es la información y<br>transparencia eh partimos con<br>Javier<br>vale hoy día no existe una una autoridad<br>de control o una autoridad específica de<br>protección de datos e<br>vigente digamos eh si la crea el<br>proyecto de ley la agencia Nacional de<br>protección de datos que va a ser un ente<br>independiente y específicamente dedicado<br>a estas materias eh con con facultades<br>sancionatorias con facultades<br>fiscalizadoras algo muy parecido a al o<br>incluso con más facultades de las que<br>tiene cnac hoy día pero pero bastante<br>parecido a lo que podría tener sernac en<br>virtud del proyecto de ley de de de de<br>sernac robustecido que está hoy día en<br>el congreso<br>eh eso en términos generales no existe<br>una autoridad de protección de datos<br>eh transversal verdad a todas las<br>Industrias en Chile sin embargo cnac sí<br>tiene hoy día<br>una especie de posición de<br>autoridad transitoria al menos respecto<br>de el tratamiento de datos personales<br>que se generan en el contexto de los<br>actos de consumo<br>e a propósito de de un proyecto del<br>proyecto de ley<br>de que se aprueba hace un par de años<br>del 15 bis se le otorgaron a cnac estas<br>facultades de eh fiscalizar las materias<br>de protección de datos eh Como les digo<br>en el contexto de los actos de consumo<br>esas facultades deberían pasar a la<br>agencia una vez que entre en vigencia el<br>proyecto de ley sin embargo cnac va a<br>mantener e esta facultad de iniciar<br>acciones colectivas por lo tanto<br>Igualmente podría eh Quedarse una patita<br>de protección de datos en cnac sin<br>perjuicio que la mayoría de las<br>facultades al menos respecto de los<br>intereses individuales de los titulares<br>debería pasar a la agencia de protección<br>de dat eso no obsta a que existan<br>autoridades verdad sectoriales que<br>igualmente tengan ciertas facultades en<br>estas materias como lo son la dirección<br>del trabajo ándose del tratamiento de<br>datos personales de trabajadores como la<br>smf por ejemplo respecto del tratamiento<br>de datos personales de clientes<br>financieros ahora con mayor razón a<br>propósito de la creación del sistema de<br>finanzas abiertas<br>etcétera eso como respuesta a tu primera<br>pregunta la segunda<br>era bueno a futuro pero<br>ya respond la<br>agencia eh Juan Pablo desde tu<br>visión<br>em Bueno complementando un poco lo que<br>dijo anteriormente javiera<br>e efectivamente actualmente no existe lo<br>que esperamos todos es que esta agencia<br>tenga también facultades de poder<br>generar una unificación en ciertas<br>prácticas que se están generando el día<br>de hoy de algunas autoridades que tienen<br>competencias dispersas en materia<br>particularmente protección datos<br>personales e no solo desde la<br>perspectiva del consentimiento y<br>particularmente también en relación a la<br>transparencia sino específicamente uno<br>lo ve más claro a propósito de deberes<br>Como por ejemplo la seguridad en en el<br>que hay mucho regulador sectorial que<br>tiene una suerte de parte de competencia<br>y es importante ver también<br>particularmente cómo se van a tratar de<br>generar estas coordinaciones en materia<br>de transparencia e información yo creo<br>que nosotros acá a nivel nacional ya<br>tenemos una práctica particularmente a<br>propósito de ciertas fiscalizaciones que<br>realiza cnac y que hemos visto varios<br>casos particularmente de índole judicial<br>donde ciertas prácticas que usualmente<br>se utilizan y que eran toleradas a nivel<br>comercial eh No necesariamente entregan<br>la información de la manera más clara y<br>simple particularmente a eventuales<br>consumidores e creo también es<br>importante mencionar lo que dice<br>relación por ejemplo con un reporte de<br>hace algunos años atrás a propósito de<br>los patrones oscuros en sitios web donde<br>claramente lo que induce es<br>particularmente a una suerte de generar<br>ya sea una desconfianza por parte del<br>usuario a un sitio web sin<br>necesariamente que se genere una<br>relación de consumo en el que<br>probablemente se vea a veces por ejemplo<br>en una inam adversión de poder retirar<br>el consentimiento o eventualmente<br>generar una eh No sé una suerte de de de<br>de no seguir con la compra en algún caso<br>la contratación o también los casos<br>donde se han aceptado por ejemplo o<br>también hemos visto a nivel nacional la<br>particularmente el carácter abusivo de<br>estos términos y condiciones de uso<br>donde existen cláusulas tremendamente<br>amplias de captura de consentimiento que<br>No necesariamente van relacionadas con<br>el objeto principal O eventualmente sino<br>que se entiende que hay una captura de<br>consentimiento amplia y que claramente<br>son prácticas que van en contra de<br>entregar las la información de la manera<br>más clara y obviamente más transparente<br>a quien eventualmente se está exponiendo<br>frente a un sitio web o eventualmente<br>algún soporte que entregue<br>información perfecto Javier queres<br>agregar algo sí muy cortito que me<br>acordé de de de tu segunda pregunta<br>Ignacio en En cuál va a ser el rol<br>específicamente en materia de<br>consentimiento que debería jugar la<br>futura autoridad y acá solamente quería<br>hacer hincapié en lo que mencionaba en<br>la presentación hoy día todos los<br>elementos que muy claramente les comentó<br>Juan Pablo eh que tienen que vivir<br>cierto en estas políticas de privacidad<br>en cumplimiento del El Deber de<br>transferencia de<br>información hoy día no tenemos una<br>bajada así de específica respecto a cómo<br>se va a entender que que se cumple el<br>consentiment el requisito del<br>consentimiento informado Eso es en el<br>fondo los elementos que tiene que<br>mantener la política de privacidad que<br>tiene que estar permanentemente eh<br>disponible para los titulares no así el<br>texto de autorización o la forma en que<br>recogemos el consentimiento simplemente<br>hoy día el proyecto de ley nos dice<br>Usted tiene que cumplir con un<br>consentimiento informado pero no nos<br>dice Qué elementos debe entregarse de<br>debe entregar el responsable el titular<br>para cumplir con el requisito<br>consentimiento informado muy<br>probablemente lo que va a pasar Es que<br>la agencia y tenga un rol de hacer esa<br>bajada concreta bien importante como lo<br>como lo lo lo hizo el el european<br>protection Board en en Europa respecto<br>de que viven estas guidelines del<br>consentimiento del año 2021 que si si<br>algunos acá les interesa el tema Los<br>invito a leerla porque tiene un<br>desarrollo muy acabado y bien profundo<br>de todos los requisitos del<br>consentimiento en Europa que son los<br>mismos que vamos a tener en Chile eh ahí<br>la autoridad se preocupó de entregarle a<br>los responsables esta guía verdad o<br>estas directrices de cuándo se va a<br>entender que un consentimiento<br>efectivamente ha sido un consentimiento<br>informado y es lo mismo que debería ser<br>eh la futura agencia en Chile eso te<br>quería comentar Ignacio Sí y eso es un<br>muy buen punto Porque si bien Hay un<br>proyecto de ley que prontamente va a ser<br>eh va va a ser publicado<br>eh alos elementos de este proyecto de<br>ley la bajada va a tener que hacerle la<br>futura agencia y hay un plazo para que<br>la agencia también empieza a hacer su<br>trabajo hoy en día lo que nos queda eh<br>Porque también he visto un par de<br>preguntas de bueno Qué se está haciendo<br>hoy en día lo que nos queda es ver los<br>estándares Internacionales ver un poco<br>hacia fuera de qué es lo que se ha<br>regulado como bien Javier señalaba allá<br>en Unión Europea ya hay un desarrollo<br>respecto al tema del consentimiento<br>informado eh Y luego estar atent que va<br>a decir la agencia Cuáles van a ser las<br>particularidades de de de todos los<br>elementos que engloba la protección de<br>datos no solo el consentimiento porque<br>probablemente la agencia va a tener<br>otros criterios o otras directrices<br>distintas a lo que se hace afuera<br>Entonces eso es lo que la organizaciones<br>van a tener que estar muy atentas<br>eh otra pregunta<br>e Respecto a los contratos voy a juntar<br>dos preguntas<br>e se pregunta respecto a<br>qué pasa con estas cláusulas globales<br>incluidas en estos contratos eh o sea en<br>un contrato pensando un contrato con<br>algún Cliente por ejemplo<br>eh en el cual simplemente se hace<br>mención de eh la protección de datos Y<br>puede estar enfocada en distintos lados<br>en distintas en distintos ámbitos<br>Entonces qué resguardo hay que tomar<br>respecto a este tipo de cláusulas<br>globales en los contratos que se debe<br>especificar puntualmente que se hará<br>respecto de los datos es una pregunta<br>que me gustaría hacersela javiera<br>eh Respecto a los contratos enfocados<br>con los clientes con o sea con mi con mi<br>consumidor con mi cliente con el titular<br>al final de los datos personales y otra<br>pregunta Juan Pablo eh respecto qué pasa<br>con los contratos con mis proveedores<br>qué resguardos tengo que tomar en los<br>contratos con mis proveedores yo como<br>responsable tengo que establecer ciertas<br>cláusulas específicas Qué tienen que<br>decir esas cláusulas es la calidad de<br>ese proveedor también respecto a mí como<br>responsable esa sería la la pregunta<br>para ti Juan Pablo así que bueno<br>partamos con<br>Javier<br>vale estas cláusulas genéricas o<br>globales de autorización para el<br>tratamiento de datos no vuelan hoy día<br>ni vuelan mañana eh hoy día a pesar de<br>que es un es una ley es una ley de<br>protección de datos que Data del año 99<br>y que tiene muy poco cumplimiento verdad<br>y muy poco enforcement e hoy día la la<br>ley actual sí exige que el<br>consentimiento eh sea informado respecto<br>de los propósitos del tratamiento y<br>respecto de la posibilidad de comunicar<br>esos datos a terceros al menos esos dos<br>elementos la ley nos dice tienen que<br>estar eh en el texto de autorización<br>además tiene que ser un consentimiento<br>otorgado expresamente que es uno de los<br>principales cambios con el proyecto de<br>ley que cambia esta este requisito de<br>manifestación ex esesa a una<br>manifestación<br>inequívoca siguiendo de nuevo La La La<br>regulación europea entonces eh las<br>cláusulas generales a las que nos<br>enfrentamos con bastante frecuencia hoy<br>día que dicen usted me autoriza al<br>tratamiento de mis datos con fines<br>generales que yo pueda determinar en el<br>futuro Eso es sin ninguna duda un un<br>wording o una reacción que no cumple con<br>la ley actual ni va a cumplir con la ley<br>futura porque como les comenté los<br>requisitos del consentimiento bajo el<br>proyecto de ley son que sea un<br>consentimiento libre y que sea un<br>consentimiento específico eh además de<br>un consentimiento informado entonces la<br>la labor de los responsables es informar<br>claramente Cuáles son los propósitos las<br>finalidades de uso de esos datos Cuáles<br>son las categorías de datos que voy a<br>recoger del titular y que voy a tratar<br>Cuáles son los destinatarios de esos<br>datos entre otros elementos de la<br>esencia eh del consentimiento<br>e por ahí vi muy brevemente que alguien<br>mencionaba que el consentimiento tiene<br>que ser explícito el proyecto de ley no<br>habla de consentimiento explícito Eh sí<br>nos hemos enfrentado a esa a ese<br>requisito en en en en otros cuerpos<br>normativos como como la ley fintec o<br>como eh la ley de deuda consolidada<br>donde sí se requiere el consentimiento<br>explícito el proyecto de ley solamente<br>habla de consentimiento libre es muy<br>difícil de cumplir de nuevo por las<br>infinitas eh escenarios o hipótesis<br>donde se puede ver en riesgo Esa esa<br>libertad de otorgamiento del<br>consentimiento eh Y también nos exige<br>que el consentimiento sea específico no<br>exige que el consentimiento sea<br>explícito pero sí en el fondo lo podemos<br>leer desde el el requisito de la<br>especificidad que como les decía se<br>refiere tanto a la especificidad de los<br>propósitos del tratamiento como a la<br>especificidad de en el sentido de que el<br>titular sea capaz de aceptar algunos<br>propósitos de uso y rechazar otros es<br>decir ir mutando hacia esta tendencia<br>del consentimiento granular que el<br>titular tenga absoluto control respecto<br>de cuáles propósitos quiere autorizar y<br>cuáles propósitos quiere rechazar Y eso<br>se hace principalmente a través de lo<br>que comentaba Juan Pablo que es estas<br>dashboards o estas herramientas de<br>autogestión verdad e que puedan eh<br>utilizar los titulares en en las<br>distintas aplicaciones o páginas<br>web Gracias javiera Juan Pablo pasando<br>por ahora del otro lado la Vereda de los<br>proveedores sí em a ver siempre es<br>importante entender que cuando yo tengo<br>una relación con un tercero en este caso<br>un proveedor eh la relación se realiza<br>particularmente porque le estoy pidiendo<br>encargando a este tercero que haga algo<br>ya sea un encargado tratamiento en los<br>términos que no está establece el<br>proyecto de ley O puede que junto con<br>este tercero definamos los medios y los<br>fines para tratar ciertos datos y Por<br>ende actuamos en una figura de ccontrol<br>adores o corresponsables o este tercero<br>Define digamos de manera Autónoma los<br>fin los medios de estos datos que recibe<br>y actúa como responsable en cualquiera<br>de estas hipótesis siempre los<br>importante es que hay principios que se<br>tienen que cumplir y nuestro proyecto de<br>ley nos establece ciertos principios que<br>son base el principio transparencia<br>información es un principio base para el<br>responsable que ojo de acuerdo ahí a la<br>última versión por lo menos del<br>artículo 15 bis que establece<br>particularmente sobre los mandatarios el<br>encargado establece ciertas obligaciones<br>también de informar particularmente<br>primero de esta relación de esta<br>relación Clara y expedita de<br>comunicación que tiene que tener con el<br>responsable de hecho han habido varios<br>casos donde necesariamente nos hemos<br>dado cuenta que el responsable sobre<br>todo a nivel europeo ha sido sancionado<br>particularmente porque la información o<br>no se O sea la información no se ató<br>oportunamente de alguna posible<br>infracción que esté realizando el<br>encargado y en este caso es importante<br>que las cláusulas que se quieran<br>incorporar sean cláusulas que siempre me<br>permitan mantener los mismos estándares<br>que yo tengo como organización Por ende<br>por eso es tan importante que a pesar de<br>que al día de hoy no exista o más bien<br>el proyecto de ley está en una fase ya<br>terminal es importante que las<br>organizaciones sepan muy bien Qué tipo<br>de dato y qué actividad de procesamiento<br>tienen para ver cuáles son los riesgos<br>que puede tener eventualmente y cuáles<br>son los riesgos que tienen estos<br>terceros al que estoy encargando<br>probablemente algún tipo de uso de<br>información y que sobre eso<br>eventualmente también nos podrían<br>eventualmente informar oportunamente En<br>caso que haya alguna situación que<br>exceda eventualmente el mandato o<br>particularmente la actividad de<br>tratamiento que yo le pedí esto es<br>importante porque también me permite a<br>mí por ejemplo hacer algo que acá me he<br>dado cuenta que a nivel nacional me<br>hemos estado preocupando enormemente que<br>es el hecho de empezar a incorporar<br>buenas prácticas y certificaciones para<br>estos terceros que estamos contratando<br>eso es un deste si uno ve un poco lo que<br>está pasando en la realidad europea o<br>probablemente muchos de los que estamos<br>particularmente acá hemos tenido que<br>contratar o hemos tenido algún tipo de<br>relacionamiento con autoridades o con<br>organizaciones que tratan dat datos en<br>el territorio europeo no hemos dado<br>cuenta que no han incorporado cláusulas<br>de estándar gdpr para efectos de<br>cumplimiento o eventualmente algunas<br>buenas prácticas que tenemos que adherir<br>que van en relación con particularmente<br>lo que es La regulación europea ahora no<br>solamente suscribir el contrato es<br>cumplirlo y usualmente el tema de<br>demostrar la evidencia que lo estoy<br>cumpliendo es el desafío que tienen las<br>organizaciones particularmente cuando<br>contratan con estos terceros o también<br>las propias organizaciones a través de<br>este proceso de publicación de una<br>política de privacidad y también tiene y<br>que particularmente me da la impresión<br>de que nuestra autoridad nacional lo va<br>a hacer el ir a verificar que se está<br>cumpliendo y qué relación entre lo que<br>he publicado a través de este principio<br>de transparencia información y lo que<br>estoy haciendo internamente en cuanto a<br>los datos que proceso en mis actividades<br>cotidianas del<br>giro clarísimo bueno Muchas gracias a<br>ambos no sé si les queda tiempo para una<br>pregunta corta para cada uno de<br>respuesta rápida Sí obvio Sí ya y con<br>eso terminamos eh para ti javiera<br>respecto del del consentimiento eh<br>hablamos mucho de medios tecnológicos<br>medios digitales para capturar el<br>consentimiento Pero bueno Qué pasa si<br>una persona va a un local comercial de<br>una empresa y quiere Eh bueno<br>eh se se le solicita el consentimiento<br>en esa<br>oportunidad qué resguardo tiene que<br>tomar esa organización Cómo respalda ese<br>consentimiento que quizás lo dio no sé<br>de forma verbal de forma expresa como<br>tiene que ser y ya Perdón para Juan<br>Pablo eh otra pregunta que respecto a<br>las políticas de privacidad se nos<br>exigen a las organizaciones que se<br>informe un montón de detalle un montón<br>de características de lo que es el<br>tratamiento de lo que se tiene de lo que<br>está haciendo el responsable con esos<br>datos los conservación etcétera etcétera<br>etcétera Pero qué pasa cuando esa<br>política de privacidad es demasiado<br>extensa o sea terminamos con una<br>política privacidad de páginas y páginas<br>y páginas y páginas de información Eso<br>no atenta también con el principio bueno<br>acá hablan del principio de lealtad con<br>el mismo principio de transparencia Qué<br>se puede hacer en ese caso los dejo con<br>esas dos preguntas Juan Pablo primero<br>contigo s la respuesta va a ser bastante<br>breve uno si ve un poco lo que ha<br>sucedido a nivel internacional es que lo<br>que nos pide es que existe la<br>información el Cómo no nos dice<br>necesariamente el Cómo debemos<br>plantearlo y de acuerdo a las buenas<br>prácticas que han salido a nivel europeo<br>la fase o las capas de información es<br>tremendamente importante generar una<br>capa de los elementos que me pide la ley<br>de manera simple entendible y luego una<br>segunda capa donde haya un desarrollo<br>mucho más profundo de la información<br>Esto me parece que es tremendamente<br>importante porque también dependiendo<br>del tipo de titular que yo tengo o del<br>tipo de público puedo agregar<br>iconografía puedo agregar eventualmente<br>elementos que sea mucho más fácil<br>entender Cuáles son los contenidos<br>mínimos de esta política o de la<br>información que debe estar publicada y<br>luego eventualmente puedo ir mutando y<br>también generando otras capas de<br>profundidad donde sí nos encontramos con<br>esta política es tremendamente larga<br>pero que obviamente es bastante tediosa<br>y me puede generar algún tipo de<br>problemática entenderlo<br>perfecto Gracias Juan Pablo<br>javiera<br>e solamente hacer complementar algo muy<br>cortito respecto de eh del tratamiento<br>de datos por proveedores que creo que es<br>un tema al que se enfrentan la empresa<br>con bastante frecuencia en la práctica<br>lo que ocurre o lo que debería ocurrir o<br>la recomendación es cuando estamos con<br>el sombrero responsable eh Y evaluando<br>verdad la contratación de proveedores<br>que de alguna manera van a acceder a los<br>datos personales de los clientes de la<br>empresa los trabajadores de la empresa<br>los proveedores de la empresa tenemos<br>que hacer esta diferenciación entre<br>proveedores críticos y proveedores que<br>van a acceder a datos personales pero<br>que tal vez no a categorías sensibles de<br>datos personales o a categorías<br>especiales de datos personales o no a un<br>gran volumen es distinto e el la empresa<br>que me hace el payroll que probablemente<br>tiene información acceso a información<br>sensible de la compañía eh a No tengo<br>idea un proveedor tal vez de Delivery y<br>que solamente accede a una eh a un<br>domicilio a una dirección eh de despacho<br>sin identificación de un titular<br>específico eh y por lo tanto ahí los<br>controles que tiene que ejercer la<br>empresa obviamente son distintos<br>dependiendo de la criticidad de ese<br>proveedor o se ahí solamente hacer el<br>punto en que en general nosotros en la<br>práctica nos enfrentamos como a<br>proveedores no críticos a los que<br>simplemente basta con tener una cláusula<br>de de mandato para el tratamiento de<br>dato que cumpla Obviamente con los<br>requisitos legales pero cuando estamos<br>hablando de un proveedor de nube<br>claramente Tenemos que tener un dpa un<br>Data processing agreement o un anexo de<br>mandato para el tratamiento de datos eh<br>que regule de manera mucho más detallada<br>el acceso y el tratamiento que va a<br>hacer ese proveedor por mí o en<br>representación mí por el lado de El la<br>la recolección del consentimiento<br>e por medios físicos eh es absolutamente<br>válida eh ilegal eh la firma es algo que<br>vemos cada vez con menos frecuencia pero<br>pero pero no En ningún sentido e es un<br>incumplimiento de los requisitos del<br>consentimiento<br>eh bien puede un titular entregar eh su<br>consentimiento para el tratamiento de<br>sus datos personales mediante una firma<br>hológrafo en un soporte físico ahí el<br>desafío obviamente de la de la de la<br>organización va a ser el mantener un<br>registro eh de esa autorización o esa<br>política de privacidad específica que<br>aceptó ese titular llevar un resguardo<br>verdad a almacenar de manera segura eh<br>aplicando las medidas de seguridad eh<br>que sean adecuadas al al almacenamiento<br>de esa información física y muy<br>probablemente va a ser más difícil para<br>ese responsable el acreditar frente a<br>una autoridad el día de mañana un poco<br>el ciclo de vida verdad eh o ese<br>tracking de de de la recolección de El<br>consentimiento de ese titular de manera<br>física versus eh una organización que e<br>tiene esa que tiene una gobernanza de<br>datos o que tiene eh Esa estructura o<br>esa infraestructura y esos sistemas para<br>eh almacenar Esa información eh de<br>manera electrónica de una manera mucho<br>más organizada que sea más fácil<br>acreditar el cumplimiento Eh entonces es<br>simplemente creo un desafío más bien<br>desde un punto de vista técnico eh pero<br>es absolutamente válido y y y legal El<br>recoger el consentimiento en un formato<br>físico eh siempre que se cumpla con el<br>requisito de libertad con el requisito<br>de especificidad eh y que claramente<br>haya una declaración o un acto<br>afirmativo de ese titular en torno al<br>tratamiento de sus datos<br>personales Muchas gracias javiera claro<br>y que la organización tome los<br>resguardos para para la recopilación de<br>ese consentimiento y mantenerlo ahí para<br>si el día de mañana lo requiere para<br>algún otro fin por ejemplo que la misma<br>agencia lo solicite que puede<br>pasar bueno con eso damos por concluido<br>el webinar de hoy le agradezco<br>enormemente a Juan Pablo de javiera eh<br>Por sus exposiciones por su tiempo para<br>el día de hoy eh Bueno llevar estos<br>temas que transparencia y consentimiento<br>se habla mucho pero no no se había creo<br>que hoy día logramos darle un poco la<br>bajada a la realidad práctica de lo que<br>son Estos principios de lo que es esto<br>como base ilicitud y todos estos<br>conceptos que engloba el ecosistema de<br>protección de datos que vamos a seguir<br>revisando nuestros webinar eh le<br>invitaciones para que estén atentos a<br>nuestras redes sociales vamos<br>prontamente también a publicar respecto<br>a lo que va a ser ser la comisión mixta<br>eh Y el resultado de que Esperamos que<br>sea un resultado positivo y ya esto eh<br>tenga buen término y dejarlo invitado<br>también a ver nuestra página web a los<br>que estén interesados a agendar una demo<br>eh Para eh Ver Nuestro software eh Cómo<br>este los puede ayudar el día de mañana a<br>gestionar todo lo que implica la<br>protección de datos y todo lo que<br>estábamos hablando recién todos estos<br>elementos y y y obligaciones que hemos<br>estado hablando durante este webinar y<br>los otros webinars eh lo invito también<br>a agendar<br>eh Y bueno con eso ya podemos dar por<br>concluido el día de hoy este muy buen<br>webinar ya estamos recibiendo muchas<br>felicitaciones y mensajes de de<br>agradecimiento así que bueno eh También<br>nosotros contentos de poder llevar todos<br>estos temas a a todos los interesados de<br>en la protección de datos y lo que es el<br>cumplimiento de la normativa que eso<br>hasta luego Muchas gracias muchas<br>gracias Que estén bien an