Protección de datos en el mundo laboral y datos sensibles - LeyDeDatos.com

bueno en honor al tiempo vamos a partir<br>con la exposición de Paulina Paulina<br>Silva ella es abogada de la Universidad<br>de chile con un magister en derecho<br>comercial con especializaciónes<br>tecnología de la Universidad de merw de<br>Australia es socia de bitl estudio de<br>abogados de tecnología privacidad y<br>fintech directora de la alianza chilena<br>de ciberseguridad y officer del comité<br>de tecnología de la International bar<br>association dejamos con con ustedes a<br>Paulina Muchas gracias Paulina por estar<br>el día de hoy y bueno puedes partir ya<br>con tu<br>presentación buenísimo Muchas gracias<br>Ignacio por la presentación y por la<br>invitación<br>e este tema creo que es bien oportuno el<br>tema como laboral más privacidad cierto<br>y<br>eh con ocasión de consultas que que he<br>tenido antes con clientes Eh me ha<br>tocado Buscar información en Chile Esto<br>no es una novedad pero me ha tocado<br>Buscar información concreta en chile y<br>se escrito bien poco en fondo la la la<br>doctrina se genera mucho más como tú<br>señalaba cuando estamos pensando en este<br>otro clúster más importante si quieres o<br>como como más riesgoso de datos que que<br>son los claster de clientes<br>eh de una empresa cierto Pero todas las<br>empresas incluso cuando eres b2b Tienes<br>tu cl tienes un classter de deed perdón<br>de de titulares relevantes que son tus<br>trabajadores cierto<br>e y en ese sentido para hablar de<br>protección de datos en el ambiente<br>laboral quiero partir un poco con un<br>pequeño disclaimer uno yo no soy yo soy<br>abogado privacidad y de tecnología e no<br>tengo una no tengo una gran<br>especialización en laboral distinta<br>de de lo que me ha tocado investigar con<br>ocasión del mundo de la PR cierto y la<br>otra muy breve Es que yo me voy a<br>referir en términos generales a la<br>protección de datos en el en el mundo<br>laboral eh pero no me voy a referir a<br>datos sensibles y categorías especiales<br>de datos que e que es aquello a lo que<br>se va a referir Romina<br>eem a diferencia un un un tema que puede<br>ser relevante también es que a<br>diferencia de datos si hay una autoridad<br>en en en en el mundo laboral que no se<br>extendido pero pero pero se ha ocupado<br>cierto de interpretar también las normas<br>de protección de datos en el ente<br>laboral que es la dirección del trabajo<br>Pues<br>bien de qué voy a hablar hoy día hoy día<br>voy a hablar de estos cuatro temas<br>Primero quiero partir de de algún modo<br>quiero estar segura que estamos<br>partiendo de la misma página y para eso<br>quiero hablar de ciertas instituciones<br>como más o menos básicas de privacidad<br>para<br>que para que podamos empezar a conversar<br>cierto hay hay materias aquellos que que<br>se relacionan más con el mundo de la<br>protección de datos que le van a parecer<br>más o menos obvias pero me parece<br>necesario partir desde ahí porque por<br>ejemplo no voy a poder comentar la el<br>tremendo cambio de estructura que viene<br>con el proyecto de ley para el<br>tratamiento de datos laborales si es que<br>no puedo comentar un poco más<br>detalladamente de qué hablamos cuando<br>hablamos de bases de legalidad ya e esa<br>va ser la introducción y luego voy a voy<br>a tratar<br>de comentarles mi opinión respecto de<br>Cuál son las particularidades en este<br>mundo en este choque o en esta<br>intersección si quieres entre en la<br>relación laboral eh y la y la privasidad<br>o en el ámbito de la privacidad para<br>luego conversar sobre Cuáles son los<br>controles más usuales que hemos<br>observado o que parecieran ser y y acá<br>puede ser super discutible controles que<br>parecieran ser más sensatos hoy día<br>e bajo la ley actual y cuál y De qué<br>modo esos controles deberían mutar bajo<br>el proyecto de ley cierto o o bajo una<br>una futura ley para terminar<br>comentándoles sobre un poco más atad<br>gente como para bajar la pelota a la<br>cancha sobre casos de uso es decir bajo<br>qué circunstancias las autoridades<br>europeas y las autoridades chilenas han<br>entendido que ciertos tipos de<br>tratamiento deben deben ser alojados en<br>ciertas bases de legalidad<br>específica luego el panorama regulatorio<br>es más o menos obvio cierto la la la eh<br>A partir del 2018 la eh la privacidad<br>forma parte del catálogo de de de<br>derechos fundamentales del artículo 19<br>son relevantes también Además del<br>derecho a la protección de datos<br>personales que está en el 194 es<br>relevante el el derecho al respeto y la<br>protección de la vida privada estamos<br>pensando en Qué es aquello que tiene que<br>estar mirando empleador cierto o o o qué<br>es aquello por lo que se debería regir e<br>en e cuando se hace la pregunta de cómo<br>tengo que yo que hacer tratamiento de<br>los datos de mis trabajadores cierto y<br>también es relevante en particular en<br>relación con el monitoreo de de correo<br>el derecho al inviabilidad de toda forma<br>de<br>correspondencia los derechos<br>fundamentales del trabajador se<br>entienden vulnerados cuando el empleador<br>realiza actos que limitan el pleno<br>ejercicio de estos derechos sin alguna<br>justificación suficiente cierto en forma<br>arbitraria o desproporcionada y en ese<br>escenario existe la figura o el<br>procedimiento del juicio de tutela<br>laboral eso vive en la Constitución<br>ahora en este momento la cancha que<br>tenemos en la ley 1928 que Data del 99<br>que todos sabemos que está s Eh Eh Eh Eh<br>defasada cierto e y que regula<br>completamente la protección de datos<br>pero ya hace harto tiempo que dejamos de<br>Mirar solamente la 1928 Y empezamos a<br>mirar esta cancha regulatoria futura que<br>es el proyecto de ley e obviamente<br>estamos regulados por el código del<br>trabajo e es bien relevante en el código<br>de trabajo por ejemplo el el 154 bis que<br>establece que el empleador tiene que<br>mantener reserva de toda la información<br>y datos privados del trabajador esa<br>pareciera ser como la norma más<br>propiamente de privacidad del código del<br>trabajo pero obviamente el actuar del<br>empleador está iluminado en relación con<br>con con con el tratamiento de los datos<br>por todas las obligaciones que surgen<br>del Código de trabajo cierto y<br>finalmente los dictámenes de de la<br>dirección del trabajo como les había<br>comentado la dirección del trabajo junto<br>con las cf yo les diría que es de las<br>autoridades que ha generado más que no<br>es mucha pero que ha generado más eh<br>jurisprudencia administrativa<br>pronunciándose respecto a ciertas<br>materias eh de de de privacidad en<br>algunos casos con conclusiones poco<br>felices mi opinión Pero pero pero en<br>general Me parece que ha sido coherente<br>eh Y que ha dado respuestas a materias<br>donde la ley de protección de datos no<br>otorga respuestas como les voy a<br>comentar<br>ahora luego cuando pensamos en las<br>particularidades<br>cierto de de de esta regulación sucede<br>que surgen y acá me interesa hacer como<br>esta distinción yo voy a estar hablando<br>todo todo el rato que est conversando<br>con usted voy a estar hablando de esta<br>misma<br>extinción existen uno podría clasificar<br>las obligaciones que tiene el empleador<br>para tratar los datos de sus<br>trabajadores o en general el empleador<br>en relación más que los datos de sus<br>trabajadores en relación con la ley de<br>protección de datos desde dos<br>perspectivas tiene una serie de<br>obligaciones que se relacionan<br>directamente con el titular cierto son<br>son obligaciones que lo hacen actuar de<br>una manera determinada porque tiene una<br>relación específica con el titular de<br>datos el trabajador con el sujeto de<br>datos desde ahí surgen obligaciones Como<br>por ejemplo tener que alojar los<br>distintas finalidades de tratamiento en<br>bases de legalidad determinada en ley y<br>en consentimiento tener que Ender a los<br>derechos arc del trabajador Pero y y y y<br>en el fondo la gran mayoría cuando<br>hablamos de privacidad en el ámbito<br>laboral intuitivamente uno piensa en<br>este mundo cierto en el mundo donde el<br>empleador se relaciona con su trabajador<br>desde una<br>perspectiva controlador titular cierto o<br>responsable del dato sujeto del dato<br>pero existen otras obligaciones que<br>surgen para el empleador de la ley de<br>protección de datos que no tienen<br>necesari que no tienen que ver con esa<br>acción tienen más que ver con el dato y<br>tienen que ver con todos los datos que<br>el empleador custodia en su señorío<br>cierto en en en su área de control que<br>son datos de trabajadores pero pueden<br>ser muchos otros datos datos de clientes<br>de afiliados de de de eh de proveedores<br>personas naturales etcétera y en<br>relación con ese como esa universalidad<br>de los datos es que existen obligaciones<br>que de nuevo no se relacionan con los<br>titulares sino que con el dato y se<br>generan obligaciones como más<br>transversales como establecer medidas de<br>seguridad establecer ser ser ordenados<br>en la relación con tus proveedores<br>porque yo tengo una obligación general<br>de cuidar el dato y en ese sentido mi<br>relación con el trabajador cambia mi<br>relación con el trabajador vive en otro<br>lado porque cuando yo pienso en las<br>obligaciones que como empleador tengo<br>respecto de los datos en general y a mis<br>obligaciones de Cuidado la relación con<br>el<br>trabajador dejando a un ladito cierto<br>este paquete<br>de controlador titular se transforma en<br>una relación e en una relación donde<br>surgen obligaciones propias del contrato<br>de trabajo donde el trabajador por<br>instrucciones del empleador debe cuidar<br>los datos y debe comportarse de una<br>manera determinada me interesa harto<br>hacer esta distinción<br>porque he observado harta confusión en<br>general<br>dónde Cómo cuando hablo de protección de<br>datos puedo al eh al<br>trabajador obligarlo a ciertas cosas<br>Pero además garantizarle derechos Eso es<br>bueno por lo menos como lógicamente<br>generar esa Esa<br>diferencia pensando entonces en las<br>particularidades de la de la privacidad<br>en la relación<br>laboral se genera como les comentaba<br>esta lo que les acaba de decir est esta<br>relación ambivalente con el trabajador<br>donde como titular de datos yo estoy<br>obligado a garantizarle una serie de<br>derechos y proteger sus datos en función<br>de esas garantías cierto Pero por otro<br>lado cuando pienso en el trabajador como<br>subordinado estoy obligado Porque<br>protejo todos los datos cierto a exigir<br>de ese trabajador que si bien es titular<br>de datos es es trabajador de empresa por<br>lo tanto puedo exigir de él como<br>subordinado que se comporte de una<br>manera determinada por ejemplo en<br>materia de ciberseguridad en general que<br>me ayude a cuidar el dato cierto y eso<br>se traduce en obligaciones contractuales<br>otra particularidad la de eh eh de la<br>privacidad de la relación<br>laboral tiene tiene que ver con que<br>estamos hablando estamos pisando huevos<br>un poco estamos en un mundo donde<br>confluyen dos estatutos protectores<br>donde el legislador exante analizó esta<br>relación la laboral y la de protección<br>de datos y concluyó que existe una<br>asimetría en las condiciones en la<br>posición inicial de las partes y por lo<br>tanto genera un estatuto protector tanto<br>en privacidad como en laboral y Y<br>eso eso lo menciono porque creo que es<br>necesario mirar con la distancia que<br>merece o más que con la distancia con el<br>cuidado que merece este tipo de relación<br>que tenemos con los<br>trabajadores acá me voy a detener aun<br>cuando estamos todavía en la<br>introducción esta probablemente sea la<br>parte como una de las partecitas más<br>largas Espero que no tanto pero me<br>interesa mucho en el fondo que podamos<br>todos entender cómo cambia el escenario<br>Cómo cambia el juego de piernas que yo<br>voy a tener entre hoy y mañana en<br>relación con las bases de licitud las<br>bases de licitud al final del día son el<br>sombrero que yo me tengo que poner el<br>vestido que me tengo que poner lo que<br>sea pensemos un sombrero el legislador<br>me dice usted en principio solo puede<br>tratar el dato si se pone uno de estos<br>sombreros yo le voy a disponibilizar<br>distintos sombreros y usted va a tener<br>sabiamente y no caprichosamente que<br>elegir cuál es el sombrero que se pone<br>porque si elige mal Le voy a ver si<br>elige mal lo voy a sancionar yo no puedo<br>llegar y decir como Ah inter todo<br>interés legítimo lch cierto tengo que<br>adecuar las finalidades del tratamiento<br>a la base de legalidad que corre pasa<br>que y esto archisabido pasa que<br>en que nuestra ley plantea las bases de<br>licitud en un modo absolutamente binario<br>cierto me dice señor usted o tiene el<br>sombrero obligación legal es decir o<br>tiene una autorización para tratar el<br>dato Porque existe una obligación legal<br>que no puede sino ser cumplida a través<br>del tratamiento de un dato y sio ni modo<br>usted va y pide<br>consentiment lo que nos deja en un<br>estado confuso por lo menos en en el<br>ámbito laboral por lo menos<br>confuso porque ese consentimiento en<br>principio es esencialmente revocable es<br>esencialmente<br>revocable por lo tanto estoy tirando un<br>poco y sé que el ejemplo es un poco<br>ridícula ridículo pero si es que yo<br>vaso necesaria y<br>obligatoriamente la mayoría de los<br>tratamientos del del eh derivados del de<br>la ejecución del contrato de trabajo si<br>lo vaso En consentimiento qué es lo que<br>hacemos hoy día cierto podría el<br>trabajador el día de mañana decir sabes<br>qué voy a ejercer dado que dado que mi<br>mi mi tu tratamiento vive en<br>consentimiento yo tengo los derechos<br>Arco más amplios que existen cierto<br>mucho más amplio que que si estuviera<br>bajo obligación legal y por lo tanto te<br>voy a pedir que dejes de usar mi dato p<br>Silva @ vit.cl que es un dato personal<br>que me identifica e Y eso significa que<br>yo no puedo cumplir con mi validaciones<br>como empleador cierto de disponibilizar<br>un un email llega un poco al ridículo El<br>ejemplo Pero el punto que quiero hacer<br>es que el esta esta planteamiento<br>binario de nuestra ley nos da poco juego<br>de pierna es poco Sensato al final<br>claro les voy a comentar más adelante<br>uno podría pensar sí pero las<br>obligaciones que surgen del contrato de<br>trabajo en realidad deberían ser<br>entendidas como una obligación legal<br>puede ser puede ser poco ha dicho la<br>dirección del trabajo ae respecto nada<br>han dicho los tribunales a ese respecto<br>entonces pensando en obligación legal<br>nuestra ley les decía lo plantea en un<br>modo ordinario y habla de cuando esta<br>ley u otras disposiciones legales lo<br>autoricen y si no o el titular<br>consciente en ello gdpr lo que hace es<br>hablar del cumplimiento no habla de<br>cuando la ley te autorice sino que habla<br>de que un tratamiento sea necesario para<br>el cumplimiento de una obligación legal<br>es super importante que el tratamiento<br>que el procesamiento sea necesario para<br>el cumplimiento de la obligación eso<br>significa que si es que se puede que<br>cuando estás analizando las<br>posibilidades de alojar bajo la base de<br>legalidad ley un tratamiento específico<br>si es que puedes cumplir razonablemente<br>sin procesar datos personales esa base<br>en principio no debería poder aplicarse<br>cierto el el el de protection<br>commissioner de Irlanda ha señalado que<br>sigue siendo aplicable que en el fondo<br>que cuando un empleador está obligado a<br>cumplir si bien un empleador está<br>obligado a cumplir con la legislación<br>nacional cierto este cumplimiento de<br>obligación legal puede no ser<br>necesariamente una base jurídica<br>adecuada si es que no<br>es si es que no es necesario o no es<br>absolutamente indispensable para ese<br>tratamiento específico el proyecto de<br>ley sigue una línea bastante similar no<br>no no no Innova y señala entre las otras<br>fuentes de licitud que cuando el<br>tratamiento sea necesario para ejecución<br>o cumplimiento de una obligación legal o<br>lo dispongo la ley Tengo este permiso<br>cierto estoy dejando en esa en ese eh<br>ese código QR una herramienta inútil que<br>es de la de la ico del information<br>commissioner Office que es la autoridad<br>de protección de datos de UK e que se<br>llama Law basis guidance tool que te<br>sirve es como una una herramienta de<br>descarte para darte una aproximación de<br>Cuál es la base de legalidad que tienes<br>que utilizar en un escenario eh en un<br>escenario específico entonces dejamos de<br>hablar de obligación legal si yo no pude<br>identificar una obligación legal como<br>les decía no tengo otra tengo que<br>alojarme en el consentimiento en la ley<br>actual<br>cierto la ley Entonces me dice cuando el<br>titular consienta expresamente en ella<br>yar lo plantea de una<br>forma lo plantea de una forma levemente<br>diferente del sig modo habla cuando el<br>interesado dio su consentimiento cierto<br>cuando habla consentimiento pero<br>estructuralmente<br>yp señala al consentimiento junto con<br>todas las otras bases de legalidad en el<br>mismo artículo en cambio el proyecto de<br>ley plantea el consentimiento como la<br>regla general el artículo 12 dice regla<br>general del tratamiento de datos y<br>señala elito del tratamiento de datos<br>personales el titular<br>cuando cuando otor su cons ento para<br>cierto y genera Y esta es una novedad<br>genera el requisito o por lo menos es<br>una novedad En cuanto está escrito y<br>específico y claro cierto genera la<br>necesidad de que el consentimiento sea y<br>ahí señala y acá Espero no ponerme muy<br>latera pero me parece est es una es una<br>parte del proyecto de ley que me sigue<br>preocupando señala que Se presume cuando<br>es libre el consentimiento cierto A<br>diferencia<br>depr nosotros no tenemos los muchos y<br>muy útiles considerandos que tenemos los<br>famosos res cierto pero señala Se<br>presume que el consentimiento para<br>tratar datos no ha sido libremente<br>otorgado cuando el responsable lo recava<br>cuando yo lo recojo en el marco de la<br>ejecución de un contrato en que no es<br>necesario efectuar esa recolección yo<br>los invito a a comparar después el<br>artículo 12 del proyecto de ley nuestro<br>con el considerando 48 de gdpr porque<br>este considerando 48 que es bastante<br>parecido lo que si introduce es el<br>elemento de obligatoriedad en el fondo<br>yo voy a presumir que el consentimiento<br>no fue dado en forma libre si es que yo<br>te obligué si que yo no te di la opción<br>de dar el consentimiento si yo lo metí<br>en un mismo paquete Pero y AC puedo<br>estarme equivocando pero tengo la<br>impresión de que la forma en que el<br>proyecto de ley lo está planteando quita<br>toda posibilidad a que yo pueda<br>voluntariamente solicitar ese<br>consentimiento porque derechamente lo<br>entiende un consentimiento no cierto<br>bien les comentaba también que est esta<br>diferencia que veo estructural es<br>que en el artículo 12 del proyecto de<br>ley dice regla general consentimiento<br>artículo 13 todas las demás en<br>circunstancias que dado que ahora va a<br>existir van a existir estas estas bases<br>de legalidad que vienen como aportar un<br>poco más de sensatez donde es obvio que<br>yo no Necesito un consentimiento<br>específico si es que el tratamiento es<br>consecuencia del cumplimiento de un<br>contrato existen ciertas circunstancias<br>como el uso de un circuito cerrado<br>televisión o o o o o usos parair<br>seguridad donde yo debería alojarlo el<br>interés legítimo y no estar preguntando<br>y dependiendo del consentimiento<br>cierto pareciera<br>que el consentimiento en la práctica<br>debería ir en disminución el<br>consentimiento es completamente feble<br>porque me lo pueden porque es<br>esencialmente revocable cierto y además<br>porque el consentimiento al final del<br>día es bien mentiroso nosotros Nosotros<br>el legislador en realidad justifica su<br>fuerza o el valor del consentimiento en<br>este conocimiento que tuvo el titular<br>que nadie tiene todos lo sabemos bien no<br>me voy a extender en eso pero les quería<br>comentar que e el el proyecto de ley<br>trae le lleva cierto el eh nuevas bases<br>de legalidad el cumplimiento contractual<br>el interés legítimo y y y y y otra y<br>otras bases de legalidad hago énfasis en<br>el cumplimiento cont contractual y en el<br>interés legítimo<br>e porque son los más frecuentemente<br>utilizados en eh en el en el ámbito<br>laboral precisamente porque se entiende<br>cierto que el consentimiento no se<br>considera libremente prestado si es que<br>el interesado aquí y aquí me estoy<br>refiriendo al al eh al considerando de<br>jar no tiene una verdadera libre<br>elección o no puede negar o retirar su<br>consentimiento sin sufrir perjuicio esto<br>es<br>es clásico cierto del escenario laboral<br>y esto ha sido señalado en doctrina<br>chilena hace muchos años es es más o<br>menos evidente que el trabajador Okay le<br>tengo que levantar consentimiento pero<br>no es como que el trabajador cuando está<br>o o el postulante a a un trabajo cuando<br>está postulando cuando ya está<br>trabajando me va a decir sabe qué en<br>realidad prefiero que no trata datos<br>personales cierto en Europa se ha<br>sostenido que en materia laboral<br>consentimiento No no es entonces una<br>base de licitud a la que se pueda<br>recurrir por regla generales y si solo<br>excepcionalmente Generalmente en<br>relación con el tratamiento de datos de<br>datos sensibles en este mismo sentido se<br>ha pronunciado la european Data<br>protection Board en en en una directriz<br>de mayo del 2020 que señala que se<br>produce naturalmente un un desequilibrio<br>de poder y por lo tanto no es probable<br>que pueda negarse este consentimiento<br>sin experimentar como temor o un riesgo<br>real de que la negativa produzca efectos<br>perjudiciales<br>cierto dejemos de hablar de<br>consentimiento un rato y hablemos de<br>ejecución del contrato o de cumplimiento<br>contractual que también<br>viene no existe hoy como base de<br>legalidad Y esa es la parte como más<br>dolorosa por la falta de sensatez de la<br>ley actual Es evidente que la gran<br>mayoría de los tratamientos que se<br>generan en el contrato o en la relación<br>laboral son una consecuencia de las<br>obligaciones de las partes en el<br>contrato laboral cierto pero no tengo la<br>banderita no tengo el sombrero<br>cumplimiento contractual todavía sí lo<br>voy a tener el el proyecto de ley<br>chileno lo lo pone en el artículo 13 en<br>las otras fuentes de licitud cierto eh y<br>habla de el tratamiento de datos cuando<br>es cuando este sea necesario para la<br>celebración o ejecución de un contrato<br>entre el titular Y el responsable<br>e de nuevo es muy relevante como les<br>decía que sea necesario para la<br>ejecución hay una hay unas guías del eh<br>de la autoría de protección de datos de<br>islanda que es bien claro en ese sentido<br>y que abunda bastante en bajo qué<br>circunstancias Yo entiendo que el<br>tratamiento es necesario para la<br>ejecución del contrato porque en el<br>evento que no sea necesario voy a tener<br>que basar o en interés legítimo o<br>residualmente en consentimiento cierto<br>el al evaluar si el tratamiento de datos<br>personales es necesario para la<br>ejecución de un contrato es es Es útil<br>que consideren si es que el tratamiento<br>es objetivamente necesario y<br>proporcionado y por lo tanto se haga la<br>pregunta de existen otras medidas<br>alternativas menos intrusivas para<br>lograr el mismo propósito ahora interés<br>legítimo no es una bolsa de gato no no O<br>no ha funcionado así en desde<br>Europa hace un tiempo leíamos que con mi<br>equipo hace un par de años leíamos que<br>alguien mencionaba que el interés<br>legítimo solo para los valientes porque<br>el interés legítimo requiere que tú<br>exante hayas hecho o puedas demostrar<br>que hiciste este test cierto est test de<br>de estoy haciendo un tratamiento que es<br>para la satisfacción de intereses<br>legítimos pero esos intereses no<br>prevalecen sobre los los derechos y<br>libertades fundamentales del titular<br>ambas concepciones no no concepciones<br>ambas definiciones de interés legítimo<br>tanto en como en proyecto de ley son<br>parecidas pero tienen una<br>diferencia no radical como importante o<br>o o como una diferencia sutil que es<br>importante porque yar habla que los<br>intereses no el interés legítimo no<br>prevalezca no prevalezca sobre los<br>intereses o derechos eh Y libertades<br>fundamentales des el interesado en<br>cambio el proyecto de ley habla de que<br>no afecte los derechos y pareciera ser<br>que el requisito de afectar es bastante<br>menos exigente hay muchas cosas que<br>pueden afectar sin prevalecer se<br>entiende bien eh en en Europa se se ha<br>se ha entendido ahí de nuevo la la<br>autoría de protección de datos islandesa<br>en una en una eh guía del 2023<br>señala que pensando en el en interés<br>legítimo que aplica solamente si es que<br>puedes por un lado identificar este<br>interés legítimo todo esto es anes<br>tomando esa decisión antes no no es<br>después como no es en realidad sí que<br>sea legítimo no me sirve identificar el<br>interés legítimo demostrar que el<br>tratamiento eh de los datos es necesario<br>para lograr el interés legítimo y hacer<br>este balance cierto sopesar el el el<br>interés legítimo frente a los intereses<br>y derechos y y libertades del<br>titular y existen otros que como como<br>defensa de un derecho o o protección<br>protección de intereses vitales a los<br>que no me voy a referir porque son<br>residualmente relevantes pero no tanto<br>como aquellos que ya comenté cambiamos<br>de slide cambiamos de slide y vamos a<br>hablar entonces de los controles cierto<br>para eso quiero proponerles la misma<br>clasificación de la que hemos estado<br>conversando o sea pensando en el<br>trabajador como titular de datos y vamos<br>a hablar de cuáles son los controles que<br>hoy día me permite la ley o pareciera<br>permitirme cierto y el trabajador como<br>titular de de nuevo Cuáles son esos<br>controles cómo mutan esos controles<br>mañana y finalmente quiero conversar<br>sobre el trabajador como como como<br>subordinado cierto Cuáles son los<br>controles adecuados para relacionarme<br>con el trabajador Desde esa perspectiva<br>donde yo ya no le estoy garantizando<br>Derecho sino que le estoy dando<br>instrucciones de cómo tratar todos los<br>datos de los cuales yo soy responsable<br>surgen entonces preguntas bien<br>relevantes ya en la práctica cierto<br>dónde recojo ese consentimiento y ahí<br>tengo que estar pensando en en en en el<br>juego de estos dos estatutos porque des<br>de protección de datos me da lo mismo<br>donde recoges este consentimiento en<br>tanto sea escrito e informada cierto por<br>lo tanto puede estar en una servilleta<br>no lo pongan en una servilleta pero<br>desde la perspectiva laboral la forma y<br>acá esto puede ser super<br>discutible no quiero plantearlo como una<br>solución unívoca cierto pero<br>pareciera<br>útil establecer el consentimiento en el<br>contrato de trabajo cierto recoger<br>consentimiento específico en un contrato<br>de trabajo pero que ese consentimiento<br>ha referencia a una política de<br>privacidad standal cierto que viva sola<br>y que yo tenga colgada en la internet y<br>esté disponible para los trabajadores y<br>Ojalá sea forme parte de un anexo del e<br>del contrato de trabajo entonces uno<br>contrato de trabajo sin tener que meter<br>la cláusula de 20 páginas cierto en el<br>contrato de trabajo sino que una<br>cláusula sencilla que haga referencia a<br>esta política privacidad que se que se<br>agrega como anexo<br>e tener esta política de privacidad<br>disponible siempre y el el el reglamento<br>interno se hace bien bien bien relevante<br>Y eso derivado y acá y acá como que<br>entran cierto en todo su esplendor las<br>normas las normas laborales el el rol<br>del reglamento interno de orden<br>seguridad es bien alto cierto la<br>dirección de trabajo ha sido<br>relativamente consistente en señalar que<br>hace hace imprescindible que se<br>incorporen en el reglamento interno<br>normas que regu guarden la vida Privada<br>de los trabajadores cierto eh una una<br>una solución similar la ha planteado en<br>los de monitoreo de correspondencia<br>corporativa ha entendido que si bien el<br>empleador está facultado para regular el<br>uso de correos electrónicos corporativos<br>en virtud de su derecho de organizar de<br>dirigir de administrar la empresa Esto<br>no puede considerar es esta facultad no<br>puede considerar una vulneración al al<br>derecho de privacidad de las<br>comunicaciones de los trabajadores por<br>lo tanto debería implementarse regulando<br>en el reglamento interno las condiciones<br>y las circunstancias de este acceso e y<br>en ese y en ese caso el riesgo de<br>acceder a los correos disminuiría de<br>algún modo y si es que no existe esta<br>regulación explícita se tiene que<br>ponderar la expectativa de privacidad<br>del trabajador con el legítimo derecho<br>del empleador de dirigir y administrar<br>la empresa por lo tanto se hace un poco<br>más puesta arriba cierto en ausencia de<br>esta de esta regulación interna la<br>sugerencia entonces a tomar medidas para<br>que el acceso sea el estrictamente<br>necesario que sea restringido en el<br>tiempo que sea solamente con el<br>propósito por ejemplo de permitir la<br>continuidad operacional o deir de<br>permitir la la relación con con un<br>cliente e Bien bien Y por último la Esta<br>es una pregunta para la que no tengo<br>respuesta no tengo respuesta y es puedo<br>yo<br>entender que dado que el derecho laboral<br>es una materia altamente regular cierto<br>puedo yo<br>entender que mis obligaciones como<br>empleador son en realidad deberían vivir<br>bajo la casita de obligación legal<br>porque yo cuando incumplo el contrato<br>contrato de trabajo también estoy<br>incumpliendo el ley cierto y es un<br>argumento que que que me parece Más o<br>menos más o<br>menos<br>práctico pero creo que no está reflejado<br>en la<br>ley<br>bien no falta tanto no falta<br>tanto pensando entonces en los controles<br>mañana cómo muta este este eh este este<br>control cierto o o esta estructura que<br>yo les planteaba que les invitaba a<br>considerar respecto de contacto de<br>trabajo más política de privacidad eh<br>más reglamento interno pareciera que<br>aumenta la importancia del reglamento<br>interno porque como como comentábamos no<br>debería en principio ya vivir los<br>tratamientos bajo consentimiento no<br>debería<br>yo seguir solicitando el consentimiento<br>de los trabajadores salvo en los<br>escenarios específicamente permitidos<br>cierto salvo en aquello que se cae de<br>las de las otras bases de legalidad<br>Romina no no nos va a conversar en en<br>mucho mayor y mejor detalle eh el<br>tratamiento de los datos sensibles<br>pero una primera pregunta es cómo cambia<br>el contrato de trabajo pareciera que yo<br>debería dejar de alojar en el contrato<br>de trabajo tiene que haber una una<br>referencia a la política de privacidad o<br>al aviso de privacidad que pasa llamarse<br>aviso de privacidad porque ya no estoy<br>cumpliendo con mi obligación de recoger<br>el consentimiento y automáticamente<br>informarlo sino que estoy cumpliendo<br>como viación de transparencia de<br>siempre publicar y disponibilizar la<br>forma en que ygo tratamiento de todos<br>los datos respecto de todos los<br>tratamientos y no solo los que se alojan<br>en consentimiento se entiende Si es que<br>yo no tuviera ni un dato a los o ni un<br>tratamiento a los Ju consentimiento Yo<br>igual voy a tener en virtud de la del<br>principio de transferencia yo voy a<br>tener la obligación de tener esta<br>política este aviso de privacidad<br>constantemente disponible pero pareciera<br>que ya no tiene que para su validez no<br>depende del consentimiento que yo recojo<br>en el momento del contrato de trabajo Y<br>pareciera que adquieren harta más<br>vigencia el cumplimiento contrato e y el<br>interés<br>leg finalmente el el el en esta relación<br>con el trabajador como<br>subordinado viven todas nuestras<br>obligaciones de seguridad yo tengo<br>obligación respecto de mis datos perdón<br>de los datos de los cuales yo soy<br>responsable y debo custodiar y en ese en<br>esa labor de custodia yo tengo una<br>obligación legal de requerir de mis<br>trabajadores de mis colaboradores el<br>eufemismo que quieran usar pero de de de<br>las personas por las cuales yo respondo<br>que se comporten con esos datos de una<br>de un modo coherente cierto de un modo<br>Sensato y diligente y ahí las políticas<br>y procedimientos cobran la mayor<br>relevancia y por qué quiero hacer esta<br>distinción Me<br>parece inadecuado que en un reglamento<br>interno de orden Hi y seguridad tengamos<br>un capítulo de protección de datos<br>personales y mezclemos las dos cosas Una<br>cosa es seguridad de la información y<br>aquellas materias respecto a las cuales<br>yo puedo exigir de un trabajador una<br>conducta determinada y eventualmente<br>podría exigir O podría o podría imputar<br>el incumplimiento a a a un despido<br>cierto yo no puedo despedir un<br>trabajador por incumplir una política de<br>privacidad porque él no está obligado a<br>cumplir nada en la política de<br>privacidad solamente es depositario de<br>derechos entonces esa distinción creo<br>que en el reglamento interno es bueno<br>hacerlo cierto bajo qué circunstancia<br>estoy dendo instrucciones y bajo qué<br>circunstancias estoy garantizando<br>derechos o explicando por ejemplo De qué<br>modo Voy a monitorear la correspondencia<br>eh del de la<br>empresa y finalmente para terminar<br>quería comentarles algunos casos de uso<br>estoy s en el<br>tiempo lo sé lo sé<br>e estos casos de uso son los que los que<br>pudimos como levantar de Europa y<br>algunos de chile<br>cierto en general el tratamiento de los<br>datos sensibles para transmitar licencia<br>debería vivir en la casita ley cierto yo<br>tengo no puedo no puedo si no hacer<br>tratamiento de ciertos datos sensibles<br>porque tengo una obligación para para<br>para tramitar las licencias por<br>enfermedad de los trabajadores de<br>conocer esos datos cierto en materia de<br>impuesto o o o o en virtud de<br>obligaciones de salud en en en islanda<br>se ha señalado que si un empleador<br>facilita por ejemplo los datos de un<br>trabajador a una autoridad fiscal para<br>cumplir con requisitos Fiscales vale<br>como como base de legalidad obligación<br>legal el tratamiento de datos vinculados<br>c como ayudas de acción social que<br>implican el tratamiento de datos<br>vinculados a cargas familiares también e<br>y en Chile esto Es bien interesante Este<br>es el dictamen 29 27 del 2001 de la<br>dirección del trabajo que señaló que con<br>motivo de una consulta relativa a<br>sistemas digitales de registro de<br>control de asistencia señaló que si los<br>sistemas estos sistemas de control de<br>asistencia si es que requieren datos<br>personales o sensibles para su<br>enrolamiento para el enrolamiento del<br>trabajo en el sistema que no son que son<br>datos diferentes del artículo 10 del<br>código del trabajo pues entonces en ese<br>caso requiero consentimiento cierto<br>Ah y a contrario censu pareciera que lo<br>que está está señalando la la eh la<br>dirección del trabajo es usted no<br>requiere consentimiento y por lo tanto<br>su casita es obligación legal cuando<br>está tratando datos como consecuencia de<br>de una obligación legal pero Además está<br>tratando los datos que están en el<br>artículo 10 del Código de trabajo en<br>relación con consentimiento en Europa se<br>entendió que por ejemplo ciertas pruebas<br>psicotécnicas o o psicológicas de<br>postulantes de trabajo tienen que<br>requerir consentimiento ciertas<br>preguntas de entrevistas de trabajo<br>cierta información adicional que tien<br>que conocer pero no sea estrictamente<br>necesaria para el empleo debería vivir<br>en con ento la utilización de datos<br>biométricos por parte del empleador<br>también requiere por regle general este<br>consentimiento y pensando y yo creo que<br>con eso con esto voy a terminar<br>e pensando en la base legalidad de<br>consentimiento hay una serie dees de la<br>dirección de trabajo donde ha dicho este<br>dato Este tratamiento consentimiento<br>consentimiento como por ejemplo el<br>escenario donde los trabajadores tienen<br>que llenar un formulario electrónico de<br>síntomas cierto para controlar el<br>covid-19 o un sistema de acceso con<br>mediante código QR r también eso<br>requiere requeriría consentimiento e si<br>el empleador se ha consultado si es que<br>el empleador hubiera podido consultar en<br>burón de información financiera si los<br>trabajadores tienen participación en<br>sociedades comerciales dijeron sí pero<br>tenéis que requerir consentimiento<br>etcétera contrato Debería ser la mayoría<br>cierto Perdón bajo la ley futura el el<br>el el aquí se aquí se nos agotaron en<br>obligación legal y consentimiento se nos<br>agotaron para ley actual para ley futura<br>la mayoría va a vivir debajo de contrato<br>pero se ha entendido que en en cierta<br>en Casos de duda ciertos datos de de<br>geolocaliza por ejemplo para la<br>Industria del transporte se justifica<br>como que viva bajo cumplimiento un<br>contrato el tratamiento de datos por por<br>grupo empresarial cuando existen<br>e varias empresas que ocupan la<br>presición de un empleador y por ejemplo<br>tramitan o utilizan ciertos software<br>comunes para todas la para todas las<br>empresas ha entendido que que pasa el T<br>de la risa la la alojarlo en contrato y<br>finalmente y con esto sí termino en eh<br>es<br>legítimo se se la la ico de UK ha<br>entendido que prevención del fraude<br>seguridad en las redes de la información<br>indicar posibles actos delictivos<br>amenazas de seguridad pública todo vive<br>bajo interés legítimo cámaras de<br>circuito cerrado televisión e revisión y<br>esto en en en en en Europa la revisión<br>por ejemplo de correos corporativos de<br>los empleados con todos los los<br>elementos eh eh con todos los principios<br>cierto de la de las leyes debería que<br>dar también a los interés legítimo y en<br>general aquellos que tienen que ver con<br>ciberseguridad con seguridad con<br>detención de fraude eso viven interés<br>legítimo les agradezco la atención con<br>esto termino Muchísimas<br>gracias muchas gracias Paulina por tu<br>presentación en honor al tiempo y el<br>tiempo de nuestra siguiente expositora<br>pasaremos directamente a a su<br>presentación eh No necesita mayor<br>presentación Romina muchos de ustedes la<br>conocerán eh Porque ha sido una parte<br>activa en todo lo que es en la<br>tramitación del proyecto de ley de<br>protección de datos Así que pasaremos<br>directamente con su presentación Gracias<br>Romina por por tu tiempo por estar acá<br>eh Y bueno eh el micrófono es<br>tuyo Muchas gracias Ignacio por la<br>invitación y gracias a todos los<br>asistentes por estar acá para ser<br>respetuosa con el tiempo me voy a poner<br>el cronómetro de 20 minutos e Y también<br>voy a hacer el mismo disclaimer de de<br>Paulina<br>en cuanto a que no soy una abogada<br>experta en temas laborales sino que en<br>temas de protección de datos desde hace<br>muchos años como decía Ignacio eh<br>participé activamente en la la comisión<br>de Constitución el año pasado en la mesa<br>técnica que revisó las más de 200<br>indicaciones del proyecto de ley de<br>datos personales y y ahora también<br>apoyando a algunos parlamentarios en el<br>senado para para poder sacar este este<br>proyecto de ley de de la de la mejor<br>manera posible en mi carrera profesional<br>me me ha tocado Por cierto asesorar a a<br>empresas y y también dentro del ámbito<br>académico eh enseñar muchas veces eh<br>Cómo cómo se intersecta la protección de<br>datos en el entorno laboral eh<br>particularmente es un tema que que<br>interesa mucho dentro de ámbito de la<br>ciberseguridad porque porque<br>efectivamente cuando cuando cuando<br>existe el monitoreo laboral para para<br>para poder proteger los activos de las<br>empresas eh existen eh invasiones a<br>ámbitos de la privacidad del del del del<br>trabajador en su computador en el correo<br>electrónico eh en la vigilancia con<br>cámaras etcétera entonces no es un tema<br>nuevo y como ya mencionaba Paulina hay<br>hay hay hay hay una robustez de de<br>algunas sentencias de de la dirección<br>del del trabajo con sus aciertos y y sus<br>desaciertos eh en en en ese sentido y es<br>algo que Yo creo que la una de las<br>claves más importantes de la de El<br>proyecto de ley de protección de datos<br>que está en el congreso ahora eh<br>independiente de su parte sustantiva<br>donde Podrían haber algunos arreglos más<br>o menos<br>eh para dejarlo lo más claro posible lo<br>más ajustado al reglamento europeo lo<br>que la opinión que ustedes quieran nada<br>de eso es importante si no tenemos la<br>autoridad reguladora que permita hacer<br>realidad la eficacia del derecho a la<br>protección de datos personales la<br>protección de datos personales siempre<br>se mueve en unos en equilibrios que son<br>complejos y en equilibrios de sobre<br>proteger los datos y utilizar los datos<br>eh Y muchas veces en en en dicotomías de<br>que cuando de que cuando hay temas de<br>privacidad cuando hay temas de<br>protección de datos cuando los datos son<br>personales no los puedo usar y esas son<br>cosas que van a tener que empezar a a<br>cambiar debido a a la a la a la claridad<br>que nos va a entregar la nueva<br>legislación de datos personales que eso<br>es lo más importante hoy en día vivimos<br>en escenarios de incertidumbre y de y de<br>y de y de dicotomías entre el<br>consentimiento y la ley y no teniendo<br>mucha Claridad de que si lo que hacemos<br>está permitido o no entonces utilizar<br>datos personales es una actividad<br>permitida pero regulada y regulada por<br>la ley de de datos personales Y también<br>decir que la la protección de de datos<br>personales en el ámbito laboral va a ser<br>uno de los ámbitos que va a tocar a<br>todos<br>eh Porque hay empresas que si bien en su<br>en su giro de negocio mismo no tratan<br>datos de de clientes o de personas<br>siempre hay trabajadores la mayoría de<br>ellas hay trabajadores pocos muchos hay<br>trabajadores entonces de Esos<br>trabajadores tienen derechos<br>fundamentales eh que que son alcanzados<br>por la protección de de datos personales<br>hoy y que y que y que van a ser<br>alcanzados por la nueva regulación de<br>datos personales la situación actual es<br>bien precaria tenemos mucha<br>incertidumbre respecto a lo que se puede<br>o no se puede hacer con los datos cuál<br>son las bases de licitud como las<br>explicaba Paulina eh La La La regulación<br>al final del día no ofrece protección a<br>los negocios en Chile porque nadie<br>quiere estar en un o sea todos buscamos<br>tranquilidad respecto a lo que la la ley<br>nos permite o no nos permite hacer Y<br>cómo lo tenemos que hacer eh Hay poca<br>cultura en las organizaciones respecto a<br>la protección de datos personales Y<br>sobre todo bueno Y esto se Y esto es<br>mucho más sensible en el entorno laboral<br>las empresas cuando cuando buscan<br>internacionalizarse Tienen que salir a<br>cumplir en escenarios regulatorios mucho<br>más estrictos que los chilenos hay bajos<br>incentivos de de cumplimiento y ausencia<br>de fiscalización que es el cambio que<br>viene finalmente con la futura ley de<br>protección de datos Don que esperamos eh<br>según los compromisos legislativos que<br>se han eh conversado en el congreso que<br>pueda salir en enero eh a más tardar en<br>marzo pero Esperamos que sea en enero<br>porque ya es harto harto tiempo<br>esperando eh el proyecto de ley del 2017<br>es el tercer esfuerzo legislativo en ese<br>sentido eh es el el proyecto que más<br>avanzado por suerte porque es el el más<br>alineado a La regulación europea que es<br>el estándar Global en protección de<br>datos personales Y si nosotros queremos<br>insertarnos en el mercado de datos<br>tenemos que cumplir eh básicamente ese<br>ese estándar<br>e Por cierto los trabajadores tienen sus<br>derechos fundamentales en el entorno<br>laboral el código del trabajo señala que<br>las facultades que la ley le reconoce al<br>al empleador tienen un límite eh Y este<br>y este límite es el respeto a las<br>garantías constitucionales<br>particularmente señala el código del<br>trabajo cuando pueden afectar la vida<br>privada o la honra de estos no se<br>refiere a la protección de datos<br>personales propiamente tal pero el 19<br>número 4 que que consagra el derecho a<br>la vida privada quedó en el Así mismo la<br>protección de los datos personales por<br>tanto eh la protección de datos personal<br>es es parte de este entramado de normas<br>que el empleador debería respetar eh Y y<br>es el límite Por cierto que podría tener<br>O sea que tiene directamente el<br>empleador en ese sentido e Y por cierto<br>la tutela<br>de derechos fundamentales que hoy en día<br>los trabajadores pueden eh interponer en<br>tribunales han habido casos por datos<br>personales efectivamente la protección<br>de datos un derecho fundamental sido en<br>la constitución política vamos<br>directamente al tema por el cual me<br>invitaron a compartir esta esta mañana<br>con ustedes que son los datos sensibles<br>en la relación laboral acá el disclaimer<br>es que vamos a hablar de los datos<br>sensibles en la futura ley de datos<br>personales eh No La regulación que<br>tienen ahora porque es lo que nos<br>debería importar o es al menos el<br>estándar que deberíamos tener en las<br>organizaciones responsables eh con los<br>datos de sus trabajadores primero lo<br>básico que son los datos sensibles los<br>los datos sensibles son aquellos que se<br>refieren a características físicas o<br>Morales de las personas eh o hechos<br>circunstancias que revelan<br>circunstancias que revelan asuntos<br>particulares de al e el el proyecto de<br>ley mantiene en el artículo 2 letra g el<br>concepto de datos personales y lo<br>mantiene como un concepto abierto y esto<br>es muy importante porque lo hace<br>omnicomprensivo nosotros el concepto que<br>hoy tenemos de datos sensible no<br>contempla por ejemplo a los datos de los<br>niños y niños y adolescentes pero el<br>hecho de que sea un un un de que el el<br>de que el concepto contenga la la la<br>fórmula del tal es como que es lo que<br>les subrayo en esta lámina ha permitido<br>poder incluir otro tipo de datos que que<br>no están incluidos estrictamente en la<br>obligación eh Perdón en la definición de<br>datos sensible eh datos sensible origen<br>étnico racial afiliación política<br>sindical situación socioeconómica el<br>perfil biológico humano los datos de<br>salud eh y hay dos novedades en este<br>concepto en el proyecto de ley que son<br>la la la la identidad de género de una<br>persona natural y la situación<br>socioeconómica como dato sensible eh uno<br>podría discutir si es que est si es que<br>este tipo de información debería o no<br>ser un dato sensible pero el dato<br>sensible Lo cierto es Es que muchas<br>veces esa información que depende del<br>contexto eh es información que que es<br>funcional finalmente al tratamiento y<br>depende de la afectación que pueda<br>causar al titular si un dato va a ser o<br>no eh sensible al final de El dí eh es<br>un concepto abierto omnicomprensivo y Y<br>por qué la ley distingue entre los datos<br>personales y los datos personales<br>sensibles porque se trata de datos que<br>proporcionan mayor información de las<br>personas que puede ser susceptible de de<br>ser utilizada de manera inapropiada y<br>con ese uso inapropiado va causa<br>consecuencias que son más importantes<br>sobre la vida de las personas en materia<br>de privacidad intimidad eh No o<br>discriminación derechamente entonces la<br>la la importancia entre entre distinguir<br>si un dato es personal a secas y es<br>personal sensible se traduce en la<br>práctica en requisitos específicos y<br>condiciones más estrictas para su<br>tratamiento y esto no está muy claro en<br>la actual ley 19628 pero sí viene con<br>mayor Claridad en la en el proyecto de<br>ley que está en el congreso y en la pra<br>se refleja en dos cosas primero en que<br>cuando yo trato datos sensibles sin el<br>consentimiento estoy dentro de las<br>hipótesis de realizar evaluaciones de<br>impacto en protección de datos<br>personales Y eso es muy importante<br>porque en muchas de las hipótesis del<br>tratamiento de datos sensible en el<br>entorno laboral no va a haber no va a<br>haber consentimiento como explicaba<br>Paulina porque la base de licitud puede<br>ser el interés legítimo o pueses o va a<br>ser directamente el contrato entonces<br>estando en una hipótesis de excepción al<br>consentimiento voy a tener que realizar<br>una evaluación de impacto en protección<br>de datos y Las evaluaciones de riesgo al<br>implementar las medidas de seguridad<br>recordemos que el proyecto de ley toma<br>un enfoque de riesgo siguiendo el modelo<br>europeo no no le dice a los responsables<br>Estas son las medidas de seguridad de<br>nivel alto medio bajo y este es el<br>catálogo de cosas que usted tiene que<br>hacer no le dice usted tiene que evaluar<br>el contexto naturaleza tipo de datos<br>tratados y los riesgos que derivan de<br>ese tratamiento eh y y y luego eh ver<br>qué medidas eh realmente eh implementa<br>Verdad de acuerdo a su capacidad<br>económica Por cierto de acuerdo la<br>tecnología disponible entonces si yo<br>estoy frente a datos sensibles Ya estoy<br>en un contexto de tratamiento distinto<br>al de tratamiento de datos simplemente<br>personales eh Por qué Porque los riesgos<br>que derivan de ese tratamiento como<br>veíamos en la lápida anterior es más eh<br>eh impactarían de manera más negativa<br>dentro si si yoo un mal uso de esa esa<br>información personal y ese impacto se<br>puede traducir en una invasión a la<br>privacidad de alguien o en una<br>discriminación derechamente voy a hacer<br>se se se traducen que voy a tener que<br>estar evaluando y monitoreando<br>permanentemente las medidas de seguridad<br>de datos voy a tener que tener políticas<br>más claras a ese respecto perfiles<br>funcionales de acceso y y medidas de<br>cifrado y seudonimización en muchos<br>casos eh que también aparecen<br>mencionadas en en el artículo que regula<br>que regula la seguridad de datos en el<br>proyecto de ley y que por cierto viene<br>inspirado en el en el reglamento europeo<br>de protección de datos Y también<br>privacidad por diseño la privacidad por<br>diseño es una forma de insertar la<br>privacidad en la en las organizaciones<br>que abarcan las prácticas de las<br>personas y los sistemas de información<br>las prácticas de las personas que<br>trabajan con datos y los sistemas de<br>información que sustentan esos datos<br>entonces en la práctica yo debería estar<br>como pendiente de estas dos cosas<br>respecto a el tratamiento de datos<br>sensibles en la relación laboral qué<br>datos sensibles podría encontrar en la<br>relación laboral datos de salud Por<br>cierto el trabajador va a tener acceso a<br>mis licencias médicas a a la situación<br>de discapacidad a a los exámenes<br>psicológicos cuando me entrevistaron Y<br>yo quedé contratada a exámenes médicos a<br>datos sobre cargas familiares donde<br>Podrían haber datos de menores de edad<br>niños niñas y adolescentes datos de la<br>afiliación sindical datos biométricos<br>geolocalización ayudas sociales por la<br>situación socioeconómica del trabajador<br>y datos en procedimiento de denuncia de<br>delito acuso laboral relacionad con<br>violencia de género o abuso sexual donde<br>podría quedar esta esta donde podrían<br>también haber datos sensibles Estos son<br>algunas de las de las de las de las<br>ideas preliminares Porque por cierto el<br>tratamiento de datos siempre es<br>contextual Y hay que estar mirando eh<br>Cuáles son los datos que realmente se<br>recopil la base de licitud para el<br>tratamiento de datos sensibles bueno<br>actualmente eh es el consentimiento Por<br>cierto y la ley para el tratamiento de<br>datos sensibles y el proyecto de ley<br>mantiene esa misma línea de base digamos<br>el consentimiento forma expresa eh<br>otorgado a a través de un medio de un de<br>un medio tecnológico equivalente pero<br>esta misma normativa que establece el<br>consentimiento como regla general para<br>el tratamiento de datos sensible<br>establece las mismas las excepciones<br>para las para requerir ese<br>consentimiento y las excepciones la<br>primera que está en el en el en el el 16<br>y el 16 bis que son los dos artículos<br>que vamos a analizar en en esta pequeña<br>charla Es que la la primera tratamiento<br>datos sensible general segunda datos de<br>salud la primera Establece que la la<br>licitud del tratamiento cuando el dato<br>sensible sea necesario para el ejercicio<br>o el cumplimiento de las obligaciones<br>del responsable de datos en el ámbito<br>laboral para el ejercicio de los<br>derechos del titular de datos para la<br>persona trabajador titular de datos y<br>para el cumplimiento de las obligaciones<br>del responsable en el ámbito laboral es<br>decir acá la base de del de de licitud<br>es el cumplimiento de las obligaciones<br>en el ámbito laboral y por tanto el la<br>ejecución del contrato de trabajo y no<br>me voy a detener en eso Tal como lo<br>explicó Paulina el contrato es la base<br>de licitud principal en el tratamiento<br>de datos en el entorno laboral no es el<br>consentimiento porque el consentimiento<br>se proporciona entre un evidente<br>desequilibrio entre el interesado Y el<br>responsable del tratamiento de datos y<br>esto lo han dicho las autoridades de<br>protección de datos personales de<br>diversos países y me imagino que es la<br>la la línea de argumentación que ira<br>seguir la futura autoridad de datos<br>personales como no tengo que pedir el<br>consentimiento eso es suficiente<br>evidentemente no eh tienen que el<br>tratamiento de estos datos tiene que<br>hacerse bajo dos condiciones es para el<br>ejercicio de los derechos del titular y<br>el cumplimiento de las obligaciones<br>laborales y debe realizarse en el marco<br>de la ley de datos personales es decir<br>es un consentiment es un uso de datos<br>sensibles que es apropiado y<br>proporcional informado transparente Leal<br>y seguro el consentimiento es la puerta<br>de entrada a al es es lo que me habilita<br>el acceso a datos muchas veces el cons<br>imiento el contrato y las demás bases de<br>licitud es lo que me habilita a a poder<br>tratar datos personales pero luego de<br>eso empieza la protección de datos<br>personales después el consentimiento no<br>es la protección de datos personales el<br>consentimiento es<br>la como les digo la llave que me que me<br>permite acceder a estos datos y de ahí<br>yo tengo que empezar a aplicar las<br>reglas de tratamiento de datos<br>personales como como les dije hay dos<br>normas importantes acá la de datos<br>sensibles en general y la de datos de<br>salud en particular y en datos de salud<br>también hay una excepción al<br>consentimiento las bases de licitud para<br>el tratamiento de datos de salud son las<br>mismas que las mencionaba anteriormente<br>el consentimiento como base y luego que<br>el tratamiento sea necesario para fines<br>de Medicina preventiva laboral<br>evaluación de la capacidad laboral del<br>trabajador y restricción eh y y y la y<br>el diagnóstico médico Por cierto hay una<br>restricción o una prohibición de<br>almacenamiento de muestras médicas eh<br>cuándo estas se obtienen dentro de del<br>contexto de la relación laboral salvo<br>que se que estas se recolecten para los<br>fines mencionados anteriormente es decir<br>fines de Medicina preventiva evaluación<br>de la capacidad laboral del trabajador y<br>el diagnóstico médico todas las<br>excepciones para tratar datos sin<br>consentimiento que tiene el proyecto de<br>ley de datos personales en el 16 y en el<br>16 bis y en el 13 se entienden<br>aplicables para los datos que no son<br>sensibles también es decir acá la<br>habilitación para el tratamiento de<br>datos personales de salud y para el<br>tratamiento de datos sensibles se<br>entiende por cierto dentro y si es en el<br>contexto de la relación laboral eh se<br>extiende a los datos a los demás datos<br>personales que no son sensibles entonces<br>en los tres minutitos que me quedan<br>casos de uso de datos sensibles en el<br>entorno laboral Por cierto en la futura<br>ley de datos personales datos de salud<br>datos de salud vamos a encontrar<br>evaluaciones ocupacionales programas de<br>vigilancia en salud de los trabajadores<br>evaluación de compatibilidad de salud<br>accident laborales evaluación de salud<br>realizada trabajadores o postulantes que<br>van a desempeñar tareas de riesgo<br>exámenes para detección de sustancias en<br>abuso todos estas estos usos estarán<br>quedan quedan enmarcados en el 16 bis eh<br>donde el empleador tiene Por cierto la<br>facultad para tratar esos datos eh pero<br>debe protegerlos Por cierto y aplicar la<br>normativa de protección de datos es<br>decir sujetarse a la finalidad<br>confidencialidad privacidad por diseño<br>medidas de seguridad la lealtad en el<br>tratamiento eh Y la finalidad en el<br>tratamiento de de datos eh personales e<br>entonces eh si es que si es que el<br>trabajador si es que el empleador va a<br>acceder a otros datos distintos de salud<br>o datos sensibles eh que no están<br>amparados en esta justificación legal va<br>a tener que pedir el consentimiento del<br>trabajador el cual deberá ser libre y<br>voluntario en todos los demás casos lo<br>que nos encanta en Chile la biometría eh<br>nos encanta porque está en todos lados<br>yo me cambié de trabajo hace poco soy<br>directora de protección de datos en<br>y para entrar a este edificio hay<br>reconocimiento espacial no me ido<br>enrolar todavía porque estoy tratando de<br>bajar la ansiedad por En ese sentido no<br>es un dato biométrico que se va a<br>recolectar para el cumplimiento de mi<br>jornada que así lo ha reconocido la la<br>la dirección del trabajo porque se ha<br>habilitado que se pueda utilizar la la<br>biometría para el cumplimiento de las<br>relaciones laborales acá para entr e los<br>datos biométricos son aquellos obtenidos<br>a partir de un procesamiento técnico y<br>que toma las características físicas<br>biológicas de alguien eh Son datos<br>altamente sensibles de hecho porque<br>efectivamente yo no puedo cambiar<br>mi mi cara Nunca ni mis huellas<br>dactilares es una información que me<br>hace única y repetible eh Y que y que y<br>que por cierto logre identificar de<br>manera unívoca a una persona la regla<br>general es que el tratamiento de los<br>datos biométricos que aparecen como<br>datos especialmente protegidos o<br>sensibles el proyecto de ley hace esta<br>distinción Pero al final del día son lo<br>mismo eh consentimiento o los mismos<br>casos de excepción para el caso de datos<br>sensibles y salud que son los que ya les<br>mencioné ejercicio de derecho y<br>cumplimiento de las obligaciones<br>laborales o fines de Medicina preventiva<br>o laboral evaluación de la capacidad<br>laboral del trabajador y diagnóstico<br>médico suficiente por supuesto que no el<br>proyecto de ley impone obligaciones<br>adicionales al tratamiento de los datos<br>biom va a ver que informar al trabajador<br>el sistema biométrico usado la finalidad<br>de uso de datos el periodo de uso de los<br>datos biométricos y la forma en que en<br>que la personas pueden ejercer sus<br>derechos relativos a la biometría es<br>decir entregar información específica al<br>trabajador<br>eh Por lo tanto no basta la solo la la<br>solo base base de licitud para el<br>tratamiento de los datos biométricos acá<br>les dejo una guía publicada el mes<br>pasado sobre el la el tratamiento de de<br>datos para el control de presencia Eh<br>Define laborales Mediante los sistemas<br>biométricos eh Por cierto en países con<br>con mucha sofisticación en protección de<br>datos Y con autoridades fuertes como la<br>autoridad española de datos personales<br>eh existe la biometría existe la<br>biometría en el entorno laboral existe<br>para el re jornada por ejemplo pero se<br>le aplica la ley de protección de datos<br>minimización proporcional proporcional y<br>necesario y es algo que a mi juicio no<br>ha sido bien evaluado por la dirección<br>del trabajo eh en cuo si existen medios<br>menos invasivos para lograr la misma<br>finalidad y real elección y alternativas<br>para las pruebas la geolocalización como<br>eh que es esta tecnología que hace<br>referencia a conocer mi ubicación<br>geográficamente más o menos precisa con<br>alguna diferencia un par de metros cu yo<br>puedo reconocer d están objetos o<br>personas eh También aparece como un dato<br>especialmente protegido en la<br>legislación de datos personales en la el<br>nuevo proyecto de ley y y se somete a<br>las mismas bases de licitud del artículo<br>12 y 13 Es decir consentimiento y en el<br>caso que nos importa el contrato y y acá<br>en el caso de geolocalización lo que<br>señala eh el proyecto de ley es que hay<br>que entregar información suficiente y<br>oportuna y específica al al titular del<br>dato en este caso al trabajador sobre<br>los tipos de datos de geolocalización<br>que se le han tratado la finalidad la<br>duración del tratamiento y si es que<br>estos datos van a ser compartidos con<br>terceros casos de uso de la<br>geolocalización Esto es algo que es bien<br>común en la dirección del del trabajo<br>hay var el pronunciamiento en ese<br>sentido Afortunados y otros más<br>desafortunados en ese eh Para poder<br>geolocalizar trabajadores para el<br>ingreso de la marca cuando cuando<br>estuvimos en pandemia muchos sistemas eh<br>computacionales que tú tú usas el<br>computador de tu trabajo en tu casa te<br>geolocalizada en un lugar la ubicación<br>de vehículos y trabajadores la detección<br>de infracciones de velocidad eh para<br>trabajadores que trabajan buen manejando<br>camiones autos eh Y hace poco un<br>dictamen bien interesante de la<br>dirección del trabajo respecto eo de<br>vendedores que tenían que geolocalizar<br>por WhatsApp para eh para poder saber si<br>estaban o no realmente en la ubicación<br>en terreno la dirección del trabajo en<br>este sentido que ha regulado este tema<br>ha dicho bueno la la geolocalización no<br>no tiene que ser una medida de sanción<br>para los trabajadores sino que una<br>medida que sirva para el cumplimiento de<br>las obligaciones laborales debe<br>necesariamente estar incorporar el<br>reglamento interno de higiene y<br>seguridad de la empresa debe efectuarse<br>Como ya lo ha dicho en en reiterados<br>pronunciamientos con medios idóneos y<br>concordantes con la naturaleza de la de<br>las obligaciones laborales ser ser<br>impersonal en cuanto a que yo no puedo<br>monitorear o o ejercer este control<br>sobre cierto sobre un trabajador en<br>específico sino que debe ser una medida<br>de aplicación general y respetar la<br>dignidad del trabajad finalmente estoy<br>pasada como 2 minutos Pero eh eh las<br>conclusiones finales que la protección<br>de datos será un nuevo desafío para las<br>relaciones laborales lo es actualmente<br>de hecho es un un un nuevo un nuevo<br>ámbito de riesgo para para las<br>organizaciones que tienen trabajadores<br>donde ya no solamente la dirección del<br>trabajo va a ser una una un un lugar<br>donde estos van a poder ir a ejercer sus<br>derechos e ir a reclamar estos derechos<br>sino que también va a ser la agencia de<br>protección de datos no basta para el<br>tratamiento de datos sensible la sola<br>justificación del contrato si no hay un<br>análisis de proporcionalidad idoneidad<br>del uso de las tecnologías que van a<br>procesar estos datos personales<br>sensibles es y esto me refiero en<br>particular a la biometría y a la<br>geolocalización los derechos de<br>información evidentemente son más<br>reforzados que los datos simplemente<br>personales o personales a secas Y por<br>cierto Esto va a requerir varios ajustes<br>a la a los procedimientos reglamentos y<br>la documentación interna de la empresa<br>eh para poder darle Claridad a los<br>trabajadores respecto al uso de sus<br>datos sensibles sobre todo eh Y también<br>para no estar en incumplimiento frente a<br>la futura agencia de protección de datos<br>eso es lo que tenía preparado para<br>ustedes hoy Muchas<br>gracias muchas gracias Romina por tu<br>presentación por tu tiempo también eh<br>queremos dejar esta parte para una ronda<br>de preguntas entendemos que nuestras<br>expositoras También tienen otros<br>compromisos Así que vamos a hacer eh<br>esta parte corta vamos a seleccionar hay<br>varias preguntas hay muchos interés al<br>respecto y un tema que da para largo no<br>solamente una hora quedamos corto<br>obviamente eh voy a dirigir una pregunta<br>para cada una y dejamos también<br>invitados a todos los asistentes al<br>final de la del webinar vamos a<br>presentarle parte de nuestras soluciones<br>tecnológicas que hemos preparado como<br>ley de datos para sus diferentes<br>organizaciones eh Y interesante también<br>señalar que lo que vamos a presentar es<br>un tipo diagnóstico para ver cuál es la<br>situación actual de sus organizaciones<br>en comparación al cumplimiento a lo que<br>proyecta la ley eh más adelante En qué<br>situación están actualmente y qué cosas<br>tienen que preparar empezar a preparar<br>en la implementación eh Romina la<br>primera pregunta bueno puede ser para<br>cualquiera de estas preguntas porque son<br>temas bien bien similares eh pero quiero<br>quiero enfocar esta pregunta a tu<br>exposición en relación al tema de las<br>entrevistas el tema de la preselección<br>eh cuando hay datos sensibles por<br>ejemplo información de los hijos como<br>habíamos señalado eh También tema de lo<br>de la eh de los test psicológicos eh<br>Cuál es la base de licitud que debería<br>aplicar ahí es el consentimiento qué<br>tiene que tener en cuenta el emple quien<br>está el reclutador que está haciendo<br>este proceso de selección Qué cosas<br>debería considerar al momento de obtener<br>esta información que son datos<br>personales sensibles eh si es en el<br>momento del reclutamiento<br>en el reclutamiento de una persona que<br>todavía no tiene una relación laboral<br>con esa con esa empresa lo que han dicho<br>las autoridades de datos es que la base<br>de licitud para ese tratamiento es el<br>consentimiento y que y que y que así<br>debe expresarse eh en en los acuerdos de<br>almacenamiento de datos Y en la entrega<br>de datos de de esa persona que por<br>cierto remite información hay su<br>currículum su informe psicológico y hay<br>hay información sensible que en en ese<br>sentido se trata y la base de licitud en<br>ese caso es el consentimiento y para<br>llegar a a guardar esa información por<br>más tiempo del requerido para esa<br>finalidad específica que es el proceso<br>de reclutación de reclutamiento<br>propiamente tal eh eh Y yo si yo<br>quisiera usar por ejemplo esos datos<br>para un para un cargo distinto la<br>persona también debería estar informada<br>y consentir respecto de ese tratamiento<br>de datos personales en una segunda para<br>para para para una segunda<br>finalidad perfecto Eh bueno Paulina eh<br>una pregunta bastante interesante<br>relación a los derechos arcos ejercidos<br>por extrabajadores<br>eh qué tenemos que tener en<br>consideración eh respecto a este tema<br>porque ya obviamente la relación laboral<br>ya ya ha concluido<br>eh qué debería tener en cuenta el<br>empleador cuando existe solicitudes de<br>derecho arco y también si es que hay<br>también datos sensibles intermedio de<br>hecho que la regación laboral ya haya<br>concluido la única diferencia en<br>términos como de regulación de<br>protección de datos si quieres es que no<br>no<br>debería no no no debería estar tan<br>determinada por las obligaciones<br>laborales cierto o por por las<br>obligaciones del empleador desde el<br>código del trabajo pero pero pero el el<br>hecho de que yo siga tratando datos de<br>extrabajadores requiere sigue<br>requiriendo una base de legalidad y<br>claro esa base de legalidad ya hoy día<br>va a seguir siendo el consentimiento<br>porque como comentábamos no no tengo<br>otra cierto el consentimiento es es la<br>única herramienta que se me<br>disponibiliza para ello y en ese<br>sentido pareciera que una forma sensata<br>de enfrentarlo es agregarlo en la<br>política de privacidad del trabajador<br>quien consciente el tratamiento que<br>sigue teniendo que ser un tratamiento<br>determinado por el principios de<br>minimización y proporcionalidad Pero si<br>yo tengo la oportunidad de recoger el<br>consentimiento del trabajador en la<br>política de privacidad cuando cuando ese<br>trabajador ingresa esa política de<br>privacidad debería<br>poder regir el tratamiento posterior<br>cierto otra opción es levantar esa<br>autorización en el finiquito y esa Y esa<br>nosotros recomendamos harto Esa esa ese<br>control<br>porque porque porque por regla general<br>no no levantaste esa finalidad<br>específica al comienzo eh<br>[Música]<br>Ahora<br>hay se hace bien delicado en particular<br>cuando una relación laboral ha terminado<br>mal o ha terminado en tribunales o ha<br>terminado en conflicto se hace<br>particularmente delicado el poder<br>calificar cuando en realidad estamos<br>hablando de un dato personal porque la<br>ley es tremendamente amplia para definir<br>datos personales por lo tanto me refiero<br>al siguiente escenario me refiero al<br>escenario y es más complejo donde en<br>jurisdicciones donde el Discovery es<br>mucho más estricto cierto un trabajador<br>bien Podría ejercer un derecho arco para<br>que en los se entregue toda la<br>información que se ha comentado de él en<br>correos de la empresa por ejemplo que<br>seguiría siendo información personal<br>correos entre entre Juan y Pedro<br>respecto respecto de María te fij<br>entonces la la la amplitud de aquello<br>que un trabajador podría o un<br>extrabajador podría solicitar en virtud<br>de esos derechos aros no se refiere<br>solamente A aquello que a lo que uno<br>intuitivamente piensa Dime cuáles son<br>los datos que tienes de mí Cuáles son<br>las las licencias que pedí Cuáles son<br>los correos que tienes de mí puedo yo<br>Acceder al correo de un trabajador si si<br>tenía por ejemplo la obligación de<br>cargarlo en srl cierto y no lo cargó y<br>sé que hay un correo que determina una<br>relación importante con el con un<br>cliente puedo acceder al disco duro de<br>El computador que él tenía para poder en<br>el futuro para poder darle continuidad a<br>la relación con ese cliente hay alas<br>preguntas que no están muy respondidas y<br>que es más fácil responderlas si es que<br>nos aseguramos metiendo esa autorización<br>en la política de privacidad interface<br>claro muchas cosas se responden también<br>en la práctica son moment son<br>situaciones que se dan en el momento eh<br>Para cerrar No sé si Romina Paulina<br>tienen un minutito más para Una última<br>pregunta dirigida a ambas que me parece<br>me parece relevante que en relación<br>a hablamos mucho del consentimiento y<br>esta preponderancia que le dan al<br>consentimiento en el proyecto de ley eh<br>Por sobre otras bases de licitud pero la<br>dificultades también que significa<br>recopilar el consentimiento para cada<br>tipo de tratamiento es posible a través<br>de los reglamentos internos que la la<br>pregunta va dirigida a los reglamentos<br>internos yo quiero y quiero también<br>incorporar también los convenios<br>colectivos a a nivel de sindicato suplir<br>este consentimiento a través de estos<br>instrumentos o tendríamos que<br>eh recabar sentimientos para cada<br>tratamiento<br>específico estoy hablando en general no<br>obviamente hay tratamientos que quizás s<br>van a requerir consentimiento y no va no<br>va a ser suficiente que esto esté<br>contenido en otro instrumento Pero cómo<br>ven esta vincula puedo prescindir del<br>consentimiento si es que incluyo estas<br>tipos de tratamiento en documentos<br>diferentes que no hayan sido consentidos<br>por el trabajador es esa la pregunta no<br>por ejemplo no que hayan sido sentido<br>Pero el reglamento interno cuando se le<br>entrega al trabajador él tiene que<br>manifestar su conformidad con el<br>reglamento interno cuando existen<br>convenios colectivos a nivel de<br>sindicato se entiende que los<br>trabajadores afiliados el sindicato<br>están de acuerdo con ese convenio<br>colectivo es posible suplir ciertas<br>situaciones a través de estos<br>instrumentos Cómo ven esta<br>situación a mí me me parece que dado que<br>el consentimiento debe ser<br>Expreso la pregunta va a tener tiene que<br>ver con cuán cercano o o cuán<br>fidedignamente puedo acreditar que me<br>dieron el consentimiento expreso y en<br>los dos escenarios que tú describiste me<br>parece que es más evidente El<br>consentimiento Expreso en el escenario<br>del sindicato<br>eh que en el de el reglamento interno si<br>es que no a ver si en el reglamento<br>inter si yo tengo la política pral del<br>reglamento interno O tengo ciertas<br>normas de privacidad que señalan de cómo<br>voy a estar haciendo tratamiento de los<br>datos y ese reglamento interno<br>simplemente me acusan recibo del<br>reglamento interno yo creo que no pas la<br>ris yo creo que no ha no hay no hay o<br>sea consentimiento necesitas igual La<br>pregunta es cómo lo recab Y cómo luego<br>acreditas que lo recabaste<br>claro exactamente Rina no sé si quieres<br>agregar algo más no Ignacio disculpa Me<br>desconcentré hablando con el chat con<br>alguien acá que me está haciendo una<br>pregunta sobre la slide Pero pero bueno<br>yo tengo tiendo a a diferir bueno<br>efectivamente hay un artículo que regula<br>el consentimiento en forma en forma<br>precisa eh pero creo que el cambio más<br>importante que se genera con la ley de<br>datos personales son todas las nuevas<br>bases de licitud que se que se generan<br>con con y que amplifican la manera en<br>que las empresas y las organizaciones<br>pueden utilizarlo los los datos<br>personales eh Y Y eso Pese a que se<br>señala como que el consentimiento dice<br>en general como que fuera la piedra<br>angular la piedra angular Ya deja de ser<br>el consentimiento y pasamos a a un<br>régimen de protección de datos más<br>basado en responsabilidad porque el<br>consentimiento como en el entorno<br>laboral y muchos otros lados es como<br>decía Paulina me gustó esa palabra que<br>usaste como que no es real el<br>consentimiento al final Entonces el<br>consentimiento es como como claro y<br>además nadie lee lo que claro un poquito<br>forzado también un poquito forzado en<br>muchos de de de estos entornos<br>bueno agradecemos su su tiempo Paulina<br>Romina quean lideradas en esta parte del<br>webinar<br>ehes Muchas<br>gracias gracias Que estén bien gracias a<br>ustedes eh Les pedimos que se queden<br>conectados vamos a presentar parte de<br>nuestras soluciones eh importante<br>también señalar<br>que nosotros como ley de datos Contamos<br>con registr de actividad de tratamiento<br>eh Para que ustedes puedan eh<br>específicamente poner allí Cuáles son<br>las bases de licitudes que ustedes están<br>utilizando y también Contamos con<br>módulos para la evaluaciones de impacto<br>en relación a los datos sensibles que<br>era lo que comentaba Romina en la<br>presentación Así que dejo con ustedes a<br>Rodrigo cante Que también es socio<br>cofundador de ley de datos quien hará la<br>presentación Muchas gracias Ignacio eh<br>actualmente les estoy mostrando la<br>plataforma eh lo primero que podemos ver<br>Es el Data mapping o el mapa de datos<br>donde ustedes van a poder ver si hacen<br>el registro previo de sus fuentes de<br>información dónde están ubicadas estas<br>fuentes de información y Por qué es<br>importante porque no todos los países<br>son un puerto seguro de datos Entonces<br>esta es la primera alerta muy visual de<br>si al momento hacer el tratamiento lo<br>están haciendo de la manera correcta o<br>si hay algún riesgo que no se han<br>percatado Entonces por ejemplo acá vemos<br>servidores en en en el Reino Unido en<br>Irlanda pero también vemos uno en India<br>entonces ahí uno de manera muy rápida y<br>muy visual podría darse cuenta que está<br>en riesgo y que tiene que hacer acciones<br>correctivas o medidas de control para<br>disminuir esos riesgos<br>luego tenemos nuestro registro de<br>actividades de tratamiento que es una<br>herramienta fundamental Al momento de<br>implementar esta ley donde ustedes van a<br>tener listadas todas las actividades de<br>tramiento de la organización Sí y dentro<br>de ellas van a poder editarlas o<br>cargarlas de manera masiva llenando toda<br>la información que es requerida por hoy<br>día la rgpd el día de mañana por el<br>proyecto de ley que tendrá un propio<br>reglamento toda la información que es<br>necesaria para cumplir y levantar esta<br>actividad de tratamiento sí Y por qué es<br>importante porque una vez que tengamos<br>la actividad de tratamiento identificada<br>vamos a tener que ver si presenta un<br>riesgo para los titulares de datos con<br>los que estamos trabajando Entonces el<br>primer paso que lo pueden hacer todo<br>esto en la plataforma es una<br>preevaluación de impacto hoy día<br>nosotros tenemos una evaluación<br>preevaluación de impacto perdón eh<br>cargada de manera de maqueta O sea no de<br>maqueta sino que es una plantilla pero<br>ustedes si utilizan la plataforma podrán<br>muy fácilmente cambiar estas preguntas<br>para ir configurando los niveles de<br>riesgo los apetitos de riesgo de cada<br>uno de su empresa Entonces yo acá por<br>ejemplo marqué Sí también puede marcar<br>no y al responder este cuestionario<br>ustedes rápidamente van a ver bueno si<br>hago esta preevaluación de impacto<br>necesitaré hacer una evaluación de<br>impacto y finalmente y mientras les hago<br>la presentación en el chat va a salir el<br>correo mío donde podrán agendar una<br>reunión que es Rodrigo ley ded datos.com<br>e les quería Mostrar la evaluación de<br>impacto propiamente tal esto también es<br>un una plantilla efectivamente estamos<br>usando la que justo mencionó Paulina del<br>pico que es del Reino Unido y son los<br>distintos elementos que va a pedir esta<br>organización que después va a ser la<br>agencia Nacional de protección de datos<br>que debemos llenar el momento de<br>realizar la evaluación de impacto Sí por<br>ejemplo identificar esta necesidad de<br>hacer una evaluación de impacto<br>Describir el tratamiento y acá lo vamos<br>a ir rechazando en distintas preguntas<br>lo puedo ir editando actualizo la sesión<br>la sección perdón y ahí puedo hacer<br>todos los cambios que quiera<br>ajustar Y luego como Quizás lo más<br>relevante es que tenemos que evaluar<br>ciertas cosas como por ejemplo la<br>necesidad y la proporcionalidad de este<br>tratamiento o sea es necesario hacerlo<br>es proporcional con respecto a lo que<br>queremos hacer y finalmente Debemos<br>identificar los riesgos asociados a la<br>actividad de tratamiento por ejemplo eh<br>si estamos utilizando un sistema de<br>control de asistencia el recolectar la<br>biometría de nuestros trabajadores Si o<br>si estamos usando algún servidor que<br>estos datos sean filtrados y una vez yo<br>identifico estos riesgos puedo ver si su<br>probabilidad de daño es alta o quizás<br>baja y qué tan qué tanto impacto nos<br>genera este daño con el fin de ver si el<br>riesgo es muy alto o quizás un riesgo<br>que puedo tolerar y luego a cada riesgo<br>Le vamos asociar una medida de control<br>para poder mitigar y disminuir el rgo Sí<br>así que eso es por nuestro lado lado<br>para no seguir extendiéndonos eh les<br>dejamos ahí en el chat nuestro correo<br>para agendar reuniones y agradecemos su<br>presencia en el webinar del<br>día bueno Muchas gracias a todos eh Este<br>ha sido el último webinar de todos los<br>webinar que hemos preparado para ustedes<br>eh dejamos también en el chat el link<br>para que puedan visitar eh las<br>presentaciones de las otras exposiciones<br>que también hemos tenido también grandes<br>eh grandes exponentes eh de los<br>distintos temas que hemos hablado desde<br>desde que partimos con este proyecto y<br>siendo este último webinar del año los<br>dejamos también invitado para que<br>contacten con nosotros para conocer<br>nuestras soluciones y nuestra plataforma<br>en los distintos módulos que presentaba<br>Rodrigo y ya en marzo probablemente<br>retomaremos también estas instancias<br>para seguir conversando y viendo estos<br>temas muchas gracias a todos Hasta<br>luego<br>i