También tenemos un módulo de<br>capacitaciones en<br>leydedatos.com/capacitaciones.<br>¿Cuál es la agenda? Primero, un contexto<br>y apertura del del webinar. Eh,<br>consentimiento y bases legales, la<br>gestión del consentimiento en la<br>práctica y preguntas de cierre.<br>Nuestros invitados.<br>Rosario Leteler es legal council,<br>reconocida por Legal 500 Chile 2025 en<br>la categoría Inhouse, abogada de la<br>Universidad Andrés Bello, máster en<br>derecho de las nuevas tecnologías,<br>derecho digital y protección de datos<br>personales, Universidad Complutense de<br>Madrid y profesor adjunta del diplomado<br>en ciberseguridad de la FEN, Universidad<br>de Chile. Y por otro lado tenemos a<br>Pablo Contreras, director del doctorado<br>en derecho de la Universidad Central,<br>doctor en ciencias jurídicas del<br>Northwestern University School of La<br>socio en Data Compliance, perdón. fue<br>exdirector legal del Consejo para la<br>Transparencia y es coautor del libro<br>Compliance y protección de datos<br>personales.<br>Dicho eso, antes de darle el pase a<br>nuestros invitados, vamos a hacer una<br>breve introducción al módulo de gestión<br>del consentimiento de ley de datos y<br>para eso eh queremos hacerle la muestra<br>de cómo lo entendemos nosotros hoy día<br>en ley de datos. Entonces<br>eh la ley del dolor, ¿qué exige la ley<br>21719 respecto al consentimiento?<br>Primero que sea libre, sea informado,<br>específico e inequívoco. Nos exige un<br>deber de la prueba porque el responsable<br>del tratamiento debe poder acreditar que<br>contó con el consentimiento del titular<br>y que el tratamiento obviamente cumplió<br>los principios de ser lícito, leal y<br>transparente. Y además, y esto es muy<br>importante, ¿y por qué afecta la<br>operación? Porque el consentimiento por<br>esencia es revocable. Entonces el<br>titular lo puede revocar en cualquier<br>momento y no necesita expresar causa,<br>motivo o razón.<br>Entonces, los dolores muy rápido, porque<br>esto lo vamos a dar con nuestros<br>invitados, uno es la fragmentación, que<br>el consentimiento quedan múltiples<br>fuentes de información, lo segundo es la<br>trazabilidad, eh, que es que tenemos que<br>mostrar cuándo se autorizó. Lo tercero<br>es la revocabilidad, decía que el<br>consentimiento es revocable y la<br>visibilidad que necesitamos un stack<br>central que agrupe toda la información<br>que estamos generando dentro de la<br>organización.<br>Entonces, nosotros, ¿cómo vemos este<br>flujo de datos desde le2.com? Primero<br>está un titular de datos que interactúa<br>con algún punto de recolección de la<br>organización, por ejemplo, el sitio web,<br>aplicación móvil, un formulario, la<br>firma, un contrato, cualquier punto con<br>el que interactuamos con nuestros<br>clientes o incluso con nuestros<br>colaboradores.<br>Y eso genera lo que nosotros llamamos un<br>recibo único que a su vez se desglosan<br>transacciones, que cada transacción al<br>final del día es una finalidad. por<br>ejemplo, eh consiento que me envíen<br>correos de correos electrónicos, pero<br>por ejemplo no hay consentimiento para<br>que me envíen eh mensaje de texto o me<br>llamen por teléfono. Y todo eso nosotros<br>tenemos que volcarlo en una base de<br>datos que es un perfil unificado del<br>titular de datos.<br>Dicho eso, dado que ese es el contexto<br>en el que estamos conversando, le<br>mostramos la plataforma de ley de datos<br>que obviamente parte con reportería, que<br>nos explica básicamente cuál es el<br>estado de la organización con el<br>consentimiento. Entonces, por ejemplo,<br>acá podemos filtrar propósitos, eh<br>puntos de recolección, obviamente<br>filtrar por fechas y acá vemos los<br>propósitos con cada uno de sus estados,<br>por ejemplo, aceptado en revisión,<br>rechazado, retirado, no informado,<br>expirado o si es que el cliente o el<br>titular no ha expresado alguna elección.<br>Podemos ver la tasa de aceptación,<br>perdón, la tasa de rechazo, tasas de no<br>informados, los recibos y las<br>transacciones generadas.<br>Luego tenemos una base de datos de<br>usuarios<br>que si nos vamos a verla podemos ver<br>distinta información del usuario, pero<br>lo más importante de cara a nosotros del<br>usuario es el centro de preferencias. Es<br>ese lugar donde el usuario puede<br>comunicarnos. Si este por ejemplo quiere<br>recibir marketing publicidad, quiere<br>recibir los newsletter, acallección de<br>servicio, notificaciones dentro de la<br>aplicación o por SMS, eh detallle de<br>privacidad y gestión de datos. Esto es<br>muy importante de cara a poder mostrar<br>cumplimiento de cara a la ley. Y si<br>volvemos acá al módulo, eh tenemos las<br>fuentes de consentimiento, que son esos<br>puntos de recolección que les<br>comentábamos, las finalidades de<br>tratamiento, que son las finalidades por<br>las cuales capturamos el consentimiento,<br>los recibos, que son estas interacciones<br>que también hablábamos, las<br>transacciones que son el desglose de<br>estas transacciones, o sea, perdón, de<br>estos residuos y una carga masiva por si<br>tenemos sistemas legados que necesitamos<br>cargar con el consentimiento. Dicho eso,<br>le doy el pase a Ignacio para que pueda<br>entrar con nuestros invitados a hablar<br>de el consentimiento.<br>Muchas gracias, Rodrigo,<br>eh, por tu presentación y bueno, quiero<br>saludar a a Pablo y a Rosario. Eh,<br>Rodrigo, se puede sacar un poco ahí que<br>no los podía ver.<br>Bueno, quiero dar las gracias a Pablo y<br>a Rosario por aceptar nuestra invitación<br>y por estar el día de hoy en nuestro<br>webinar. Eh, y como bien decía Rodrigo,<br>el tema central de este webinar es el<br>consentimiento.<br>Quiero partir contigo, Pablo,<br>preguntándote, porque si bien el tema<br>central es consentimiento, sabemos que<br>el consentimiento no es algo nuevo en<br>nuestra legislación, eh probablemente es<br>algo que las empresas, las<br>organizaciones ya lo venían practicando,<br>ya lo conocían. Es algo que se repetía<br>normalmente, pero algo cambia con la<br>nueva ley y en el fondo, cuéntame qué<br>pasa con el consentimiento en la nueva<br>ley, cuál es la evolución que tiene,<br>para dónde estamos yendo y obviamente<br>hay que hablar de las bases de licitud.<br>Así que te doy el pase, Pablo, y muchas<br>gracias por aceptar la invitación.<br>Gracias Ignacio, gracias eh Rodrigo.<br>Bueno, gracias a Ley de Datos que estos<br>estos seminarios, estos webinars ya son<br>conocidos<br>entre los profesionales de de protección<br>de datos. Entonces, eh un gusto poder<br>participar en esta ocasión eh con<br>ustedes. El consentimiento eh no es<br>nuevo, obviamente, y de dónde viene, por<br>qué el consentimiento tiene este este<br>rol protagónico.<br>Eh, y hoy día uno siempre va a tener que<br>tener claro esto. Yo sé que a veces<br>cuando nos enfocamos en los contratos,<br>las políticas de privacidad, no pensamos<br>mucho más allá arriba de la ley,<br>digamos, sino que estamos desde la ley<br>hacia abajo, por así decirlo. Y pero el<br>fundamento de todo esto está en que<br>existe un derecho fundamental de las<br>personas, que es el derecho a la<br>protección de datos personales, que<br>también se conoce como autodeterminación<br>informativa, es decir, que las personas<br>naturales pueden autocontrolar su<br>información, autodeterminarse.<br>Ah, es muy alemana la expresión y ese es<br>el origen de todo esto. Y si pueden<br>autocontrolar esa información, una de<br>las formas para poder controlarlo<br>es precisamente el consentimiento.<br>O sea, usted<br>responsable, usted organización puede<br>tratar los datos cuando yo le doy mi<br>consentimiento. Esa esa es la lógica<br>inicial de todo esto por eh no es la<br>única, por cierto, eso es lo que vamos a<br>empezar a hablar un poquito, cómo<br>cambia, pero pero surge esto y surge<br>porque también tiene un contexto<br>jurídico más amplio de que esto viene en<br>alguna medida del derecho privado y en<br>el derecho privado los contratos están<br>una de las fuentes para para movilizar<br>esa generación de obligaciones es la<br>voluntad del titular, es la voluntad de<br>la parte. Eh, y entonces el<br>consentimiento tiene ese origen ya, y<br>que tiene hoy día un fundamento<br>constitucional. Entonces, yo siempre<br>digo, el consentimiento todo lo puede<br>uno puede consentir muchas cosas y de<br>hecho, eh si te fijas, hay varios<br>tratamientos de datos un poquito más<br>delicados<br>que la ley te autoriza a hacerlo si<br>tienes el consentimiento expreso del<br>titular, ¿te fijas? Em, entonces el<br>consentimiento viene ahí. Ahora, pero<br>también para la organización el<br>consentimiento es un poquito precario.<br>¿Y por qué es precario? Porque como esto<br>viene desde la lógica de que la persona<br>puede autocontrolar su información, ese<br>consentimiento lo puede retirar, lo<br>puede revocar. se le puede decir, "No<br>quiero que siga tratando mis datos con<br>este consentimiento. Yo retiro es la<br>organización<br>se queda sin esa base de ilicitud que<br>vamos a explicarla después y y por lo<br>tanto no puede tratar de eso. Solo para<br>cerrar rápidamente ese modelo. Hoy día e<br>la ley original tenía consentimiento y<br>autorización legal para tratar los<br>datos. Ah. Eh, y eso es lo que la ley<br>actual<br>cambia, cambia las autorizaciones para<br>poder tratar los datos. Sigue estando el<br>consentimiento, por cierto, mayores<br>contenidos, etcétera, pero hay distintas<br>otras bases de licitud o supuestos<br>legales que te permiten usar esos datos,<br>procesarlos, tratar, ¿ya? Y entonces el<br>juego entre este consentimiento y esas<br>otras bases de licitud es probablemente<br>el dilema en que están hoy día muchas<br>organizaciones que quieren implementar<br>esta ley.<br>Gracias, Pablo. Efectivamente está esta<br>evolución del consentimiento y como bien<br>dijiste antes era o consentimiento la<br>ley y si no había consentimiento nos<br>quedamos mirando todos<br>cómo trato cómo trato esos datos. O sea,<br>en base a qué. Y obviamente la ley<br>expande, la nueva ley expande un poco el<br>paradigma y incorpora estos nuevos<br>conceptos que vamos a ir desglosando un<br>poquito más adelante.<br>Eh, Rosario, muchas gracias nuevamente<br>por aceptar la invitación. Estamos muy<br>felices también que estés acá. Eh, te<br>quiero preguntar respecto al<br>consentimiento específico e en en<br>particular. Algo nos adelantó igual<br>Rodrigo, pero ¿cuáles son los requisitos<br>del consentimiento? ¿Por qué es tan<br>importante el consentimiento? ¿Qué qué<br>qué particularidades tiene y también en<br>tu experiencia con empresas<br>tecnológicas, entidades eh altamente<br>reguladas también? Eh, ¿cómo se se cómo<br>es la tarea de una organización de<br>solicitar, recopilar, gestionar estos<br>consentimientos y y qué cosas ocurren en<br>la práctica, qué errores se dan, eh qué<br>aciertos y qué desaciertos puedes tú<br>comentar respecto de esto que la ley<br>dice? Hay que tener el consentimiento,<br>pero después la práctica no no no no nos<br>da a entender que a veces no es tan<br>fácil, porque también la ley dice, "El<br>consentimiento tiene que cumplir con<br>todos estos requisitos." Entonces,<br>cuéntanos cómo cómo lo ves tú desde tu<br>visión.<br>Perfecto. Muchas gracias, Ignacio.<br>Muchas gracias, Rodrigo, por la<br>invitación. Feliz de participar en este<br>webinar, además, que es tan interesante<br>con un tema como el consentimiento que<br>se ve más simple de lo que parece, como<br>hablábamos de las bambarinas. Eh, y<br>bueno, sí, bueno, eh, yo creo que que<br>mucho de respondendo a tu pregunta,<br>mucho de esos de esos errores que vemos<br>eh vienen de de bueno, de todavía<br>nuestra vigente ley que o sea, la ley<br>19628,<br>eh que eh bueno, aparte de todos sus<br>problemas de inejecutabilidad,<br>de falta de fiscalización, establecía un<br>una definición de consentimiento muy<br>vaga y ambigua. ¿Ya? Entonces vemos<br>errores que que se han hecho un estándar<br>durante años en las formas de tratar el<br>consentimiento, como por ejemplo el<br>clásico consentimiento empaquetado, que<br>metemos en un sono click, todas las<br>finalidades del tratamiento,<br>eh marketing, analítica, perfilamiento,<br>ahora todo en uno y con eso ya estamos.<br>Eso eh ahora con esta nueva ley que<br>modifica nuestra nuestra actual ley no<br>no es válido. Eh tenemos también eh lo<br>que lo que también era una práctica eh<br>común eh y que no es válido es<br>condicionar eh eh el servicio a aceptar<br>estas políticas de privacidad y no hay<br>nunca un sentimiento libre en ningún<br>caso.<br>Ya. También tenemos<br>las típicas casillas premarcadas o<br>al registrarte, al crear una cuenta,<br>estás aceptando nuestra política de<br>privacidad, nuestros términos y<br>condiciones. El silencio no no<br>constituye afmación en protección de<br>datos personales. No hay no hay un<br>consentimiento inequívoco eh al aceptar<br>esta esta de esta forma. Eh, también<br>tenemos muchas veces que se<br>equivoca la base de licitud y ponemos eh<br>tratamientos que son necesarios para la<br>ejecución del servicio como eh base de<br>licitud del consentimiento. Entonces,<br>pedimos consentimiento y después,<br>imagínate, el usuario quiere revocar ese<br>consentimiento, se crea un se genera un<br>tremendo problema para la organización<br>eh en esos casos. Entonces, eh<br>la nueva ley eh lo que viene a hacer es<br>eh a dar certeza sobre este<br>consentimiento. Si bien muchos de los<br>requisitos del consentimiento ya<br>existían, también establece otra otras<br>eh requisitos para que este<br>consentimiento sea válido. Tenemos que<br>tener un consentimiento que sea previo.<br>Obviamente antes de de iniciar la<br>operación de tratamiento tenemos que el<br>usuario tiene que haber dado su<br>consentimiento, tiene que ser libre,<br>otorgado de manera voluntaria, sin<br>coersión, o sea, si no existe otra<br>alternativa, no hay un consentimiento<br>libre, naturalmente.<br>tiene que ser específico,<br>es decir, para cada finalidad un<br>consentimiento distinto, granular,<br>tiene que ser informado, o sea, el<br>usuario, la persona tiene que saber qué<br>datos están tratando, eh quién lo está<br>tratando, quién es el responsable del<br>tratamiento, cuánto tiempo los va a<br>almacenar, tiene que existir esa esa<br>información, tiene que ser inequívoco, o<br>sea, esta casilla premarcada o esto al<br>crear cuenta está aceptando cuando la<br>política privacidad no sirve, tiene que<br>ser una manifestación<br>afirmativa de eh voluntad del usuario o<br>la persona. Y como decía Pablo, el<br>consentimiento es esencialmente<br>revocable. Y bueno, ahora la ley<br>establece que esa revocabilidad tiene<br>que ser tan simple como cuando se da el<br>consentimiento. O sea, ahí también hay<br>una eh hay un desafío importante para<br>las organizaciones y todos estos estos<br>estos requisitos tienen que ser todos.<br>No no nos falta con que cumpla dos o<br>uno, tienen que ser todos. Y con todos<br>estos tenemos un consentimiento válido.<br>Claro. Y cumpliendo con todos estos<br>requisitos, recién podemos decir que<br>tenemos tenemos un consentimiento.<br>Exactamente.<br>Y y bueno, e<br>si ya el consentimiento de por sí eh es<br>complejo, la nueva ley lo complej lo<br>complejiza entre comillas porque al<br>final es lo que corresponde<br>eh para cualquier titular, si va a dar<br>su consentimiento, que sea que le<br>informen, que ese consentimiento sea<br>específico, que se sepa con exactitud a<br>qué le dio consentimiento. Entonces, muy<br>buen ejemplo el tema de las casillas<br>premarcadas.<br>Eh, pero si ya estamos, si ya las<br>organizaciones tienen como que cambiar<br>el paradigma, cambiar un poco esta<br>cultura de de pedir el consentimiento y<br>pedirlo de cualquier forma, eh<br>hablábamos y anticipábamos que hay<br>nuevas bases de licitud también de la<br>ley y hay un, yo lo llamo el primo<br>hermano del consentimiento, que es el<br>interés legítimo.<br>Y bueno, pasa mucho que el interés<br>legítimo, uno habla con organizaciones,<br>con gente de empresa que obviamente no<br>trabaja en este mundo,<br>no vive de<br>viendo todo el tema de datos personales<br>y uno le habla de interés legítimo y es<br>como quien lo invitó a la fiesta.<br>Entonces, eh quiero, Pablo, que por<br>favor nos puedas eh aterrizar este<br>concepto y también quizás dar luces a<br>las organizaciones de que quizás los<br>dolores de cabeza que podríamos tener<br>eventualmente con el consentimiento,<br>su su primo, el interés legítimo podría<br>un poco eh ayudarlos, pero tampoco es<br>llegar y decir interés legítimo a todos.<br>Así que cuéntanos, Pablo, un poquito en<br>qué consiste ese concepto y y cómo yo lo<br>cómo lo justifico también.<br>Oye, este esta es como una pregunta que<br>empezaba a aparecer cada vez más, eh,<br>pero yo yo iría un pasito atrás porque<br>como bien decíamos y como apuntabas ahí,<br>Ignacio, e<br>hay más bases de licitud. obra. Fíjense,<br>eso es importante porque eh antes el<br>esquema binario, ley consentimiento era<br>muy estrecho<br>y eso no necesariamente era más<br>protector de los datos, etcétera. Eh,<br>ahora tenemos más hipótesis, más bases<br>de licitud. Eh, y entonces ubicarse en<br>la correcta es relevante porque si no<br>puedes incurrir en una infracción grave.<br>Em, pero además te da mayores<br>alternativas en la gestión de la licitud<br>del tratamiento. ¿Por qué? ¿Que por qué<br>digo esto? Ah, porque un consentimiento<br>y ahí cuando Rodrigo nos mostraba la<br>plataforma<br>de tiene costos de gestión. Ya, al menos<br>gestionar un correo electrónico donde se<br>recibe la solicitud, eso tiene un costo.<br>Obviamente hay una persona que tiene que<br>revisarlo y que tiene que estar<br>pendiente del plazo. Los SAS como el que<br>mostraron ustedes eh lo que permiten es<br>apoyar la gestión de ese consentimiento,<br>¿cierto? Ahora, las otras bases de<br>licitud también tienen obviamente<br>costos, pero algunas de ellas van a ser<br>costos, entre comillas, jurídicos.<br>Claro.<br>Eh, y y porque suponen una calificación<br>legal de si esta autorización aplica o<br>no. Ya. Y entonces antes de de pasar una<br>acá tenemos consentimiento, si no<br>tenemos no queremos ocupar<br>consentimiento o o nos complica que<br>pasamos inmediatamente al interés<br>legítimo, yo diría, ojo, ¿cuál es la<br>actividad de tratamiento? ¿Cuáles son<br>los datos? ¿Cuál es la finalidad? Porque<br>puede ser que en ciertos casos el<br>artículo 13 que establece las otras<br>bases de licitud generales,<br>eh esto perfectamente puede estar dentro<br>de la ejecución o cumplimiento de un<br>contrato y eso tienen que tenerlo bien<br>presente las organizaciones. o puede ser<br>el cumplimiento de una obligación legal,<br>ya e o derechamente algunas son más<br>específicas, pero son para las gestiones<br>de defensa de derechos ante organismos<br>administrativos o tribunales.<br>Entonces, no necesariamente hay que caer<br>inmediatamente el interés legítimo. Eso<br>es una primera cuestión. Y y la y la el<br>segundo punto a propósito de lo que me<br>planteabas, Ignacio, e em e<br>bueno, ¿qué es todo el interés legítimo?<br>Efectivamente, aquí hay una válvula de<br>flexibilidad,<br>por así decirlo. Uno lo que hace la ley<br>es, mire, no siempre consentimiento,<br>pero tampoco siempre obligación legal o<br>autorización legal, sino que a veces en<br>el marco del contrato o en otras<br>actividades.<br>Pero en en este caso le dice a la<br>organización, usted vea si usted tiene<br>un interés, algo que que es valioso<br>proteger o el interés de un tercero. Y<br>en función de eso justificar que puede<br>tratar el dato sin pedirle el<br>consentimiento del titular o sin<br>descansar en un contrato o sin descansar<br>en una el cumplimiento de una obligación<br>legal, etcétera. ¿Ya? Entonces, esta es<br>una base de ilicitud que le pone la<br>carga al responsable, ¿ya? e el<br>responsable<br>unilateralmente la organización dice,<br>"Este es el interés legítimo que voy a<br>proteger." Y en función de eso,<br>la ley exige que el tratamiento sea<br>necesario para satisfacer ese interés<br>legítimo. ¿Y cómo pasa esto en la<br>práctica? eh eh en otras jurisdicciones,<br>otros otras regulaciones. Uno tiene que<br>hacer un test de interés legítimo, tiene<br>que confeccionar un instrumento de<br>compliance.<br>Entonces tiene un costo jurídico la<br>gestión de este interés legítimo en<br>donde uno justifica jurídicamente<br>en base a ciertos antecedentes de hecho<br>que sí tiene ese interés,<br>que este tratamiento es necesario para<br>alcanzar ese interés, satisfacerlo,<br>protegerlo y que este tratamiento es<br>proporcionado al interés que se busca<br>alcanzar. Aquí estoy explicando los<br>pasos. No, no, esto no es una clase de<br>de manual, para eso están los libros,<br>fomes, qué sé yo. Pero pero<br>pero esa tarea es una tarea que después<br>se plasma en un documento, el famoso<br>test de interés legítimo y en inglés el<br>legitimate interest assessment.<br>Entonces, LIA, entonces van a empezar a<br>escuchar, ah, es que hay que hacer un<br>lía. Ya es todo un lío, pero hay que<br>hacer un lía de Y aquí no es una<br>cuestión técnica únicamente, eh, sino<br>que es una cuestión de apreciación<br>jurídica. Y entonces en algunos casos le<br>van a decir, "Mire, eh, usted quiere<br>ocupar cámaras de vigilancia, no vamos a<br>pedir consentimiento, no tenemos<br>autorización legal, esto no cabe dentro<br>del contrato, ah, vamos a hacer un vamos<br>a invocar el interés legítimo, pero<br>entonces vamos a hacer el test, entonces<br>vamos a identificar cuáles son los<br>intereses, si es necesario, si es<br>proporcional y y en eso quizás vamos a<br>tener que tomar decisiones de<br>compliance, de mitigar riesgo, de decir,<br>aquí hay que cambiar este plazo de<br>conservación. Aquí hay que ponerle una<br>capa adicional de medidas de seguridad y<br>eso impacta, ¿te fijas? Entonces, no es<br>cosa de llegar y decir, "Si no tengo<br>sentimiento, me salto el interés<br>legítimo." Porque el mismo instrumento<br>te puede decir, "Mm,<br>¿y por qué no pedimos consentimiento<br>mejor?" En algunos casos impracticable,<br>por eso existe esta base de licitud,<br>pero otros casos uno puede llegar a la<br>conclusión de mira, mejor incurramos en<br>el costo, tengamos los consentimientos,<br>pero esto nos blinda la operación.<br>Perfecto, gracias Pablo. Efectivamente<br>viene todo un todo un análisis, todo una<br>reflexión que tienen que hacer las<br>organizaciones eh no solamente de cuándo<br>determinar cuándo pedir consentimiento,<br>sino también cuándo, como tú bien<br>decías, es factible ponderar un interés<br>legítimo y cuándo se nos complica cuando<br>estamos ponderando un interés legítimo.<br>y también hacer todo este mapeo de<br>obligaciones legales o cumplimiento<br>contrato y otras posibles bases legales<br>que uno podría estar quizás ignorando o<br>no estar tomando en cuenta. Me pasa así<br>un poco comentarlo con ustedes que<br>nuestra legislación fue muy por muchos<br>años consentimiento para todos.<br>Entonces, sufrimos un poco de<br>conscientitis<br>y a veces, no sé si les pasa, pero hay<br>una norma legal que yo me puedo amparar<br>en una obligación legal y decir yo eh<br>esta x norma, sí, normativa laboral que<br>me ampara para poder tratar esta estos<br>hacer esta actividad de tratamiento,<br>pero la misma norma me dice que tengo<br>que pedir el consentimiento del<br>trabajador. Entonces es como un loop que<br>volvemos un poco a lo mismo. Entonces,<br>para poder cumplir con la obligación<br>legal, igual tengo que pedir<br>consentimiento.<br>Eh, lo comento porque yo creo que es un<br>poco lo que tenemos que ir dejando<br>atrás, ir olvidando un poquito lo que es<br>el consentimiento como lo conocíamos y<br>incorporarlo dentro de este grupo de de<br>bases de licitudes que es como un grupo<br>grande de de invitados para tratar la lo<br>para hacer tratamiento de datos.<br>Sí, Ignacio, quiero hacer un alcance<br>también, ya que mencionaste los temas<br>laborales. Bueno, en temas laborales<br>también si tenemos altas directivas de<br>la de la instrucciones de la de la<br>dirección del trabajo con respecto a<br>esto y sobre todo hay temas de control y<br>asistencia en que efectivamente<br>se utilizan, por ejemplo, eh huellas<br>dactilares para el control de asistencia<br>y ahí, claro, la la dirección del<br>trabajo pide expresamente que también<br>requiere el consentimiento del<br>trabajador en ese caso y en ese caso es<br>porque estamos hablando de un dato<br>sensible que aparte de la base rega<br>legal requiere un consentimiento<br>explícito y expreso por parte del<br>titular del dato.<br>Claro, es que también en la dictación de<br>una norma, ya sea a nivel del Congreso o<br>a nivel de una entidad como como en el<br>ámbito laboral, eh no siempre eh tienen<br>estos temas en conciencia. Entonces, por<br>ejemplo, el mismo tema de la huella de<br>actilar, eh esa misma norma, instrucción<br>podría decir, bueno, y además tiene que<br>hacer una evaluación de impacto porque<br>está pidiendo datos sensibles y y usted<br>evalúe si corresponde o no que sea el<br>control de asistencia sea con datos<br>biométricos.<br>Eh, pero a veces pasa que esas cosas no<br>están. A veces pasa que también salen eh<br>salen normas o o por contingencia.<br>Eh, aplicamos tecnologías que de repente<br>son invasivas para para los titulares,<br>son invasivas para el tema del<br>tratamiento de datos personales y no nos<br>hacemos estas preguntas.<br>Eh, quiero hacer una pregunta. Pablo ya<br>la contestó un poco, pero así que se se<br>la va a bajar a Rosario para que desde<br>su perspectiva<br>eh nos comente sobre este paso previo<br>que hablaba Pablo, este paso previo que<br>tiene que hacer las organizaciones de<br>bueno, vamos a ver toda esta todo este<br>mapa de bases de licitudes, vamos a ver<br>cómo lo estamos haciendo hoy, es un buen<br>ejercicio, cómo lo estamos haciendo hoy,<br>que tenemos que cambiar. Eh, pero desde<br>tu experiencia, experiencia, Rosario,<br>¿cómo<br>cómo has visto que han enfrentado la<br>organización este tema? eh desde<br>obviamente algunas de procesos de<br>implementación de de adaptación,<br>adecuación a la nueva normativa, vienen<br>quizás con asesorías, obviamente ustedes<br>han apoyado empresas en estos temas, eh<br>distintos tipos de organizaciones, pero<br>cómo es la trastienda para una<br>organización, cómo toma esta situación y<br>y cómo tú la se la aterrizas también y<br>le llevas el mensaje.<br>Claro. Es un cambio de paradigma<br>tremendo. O sea, como bien decíamos,<br>pasamos de dos bases de licitud bastante<br>usadas o mal usadas con sentimiento para<br>todos. Ahora, este nuevo abanico de<br>bases de licitud que eh para mi gusto<br>son mejores porque no podemos depender<br>del consentimiento que es esencialmente<br>revocable para todo, pero que eh exigen<br>una gestión y una implementación de de<br>todo el tema de la protección de datos<br>que antes no existía. O sea, estamos<br>partiendo con este tema de las<br>implementaciones y lo primero que que<br>hay que hacer ver a la organización que<br>hablando del consentimiento, que no es<br>solo el check, no termina ahí con ya el<br>usuario del consentimiento y se acabó,<br>se nos olvidamos del consentimiento, hay<br>toda una gestión eh atrás que que hay<br>que tener ese seguimiento, esa<br>trazabilidad, esa gestión, o sea, uno de<br>los principios de de la de la nueva ley<br>que modifica nuestra actual ley<br>responsabilidad proactiva, o sea, el<br>responsable del tratamiento, la<br>organización tiene que ser capaz de<br>demostrar que dio cumplimiento a a la<br>normativa, que tiene válidas las bases<br>legales, que que está cumpliendo con los<br>principios y para eso hay que tener un<br>mapa de de los datos. O sea, no podemos<br>tener. Y lo que pasa en la práctica es<br>que marketing eh hizo un formulario web<br>para un concurso, tenemos un un<br>consentimiento por ahí, después tenemos<br>eh un contrato en legal de hace 3 años<br>que está firmado a mano, qué sé yo, por<br>un gestor de firmas, tenemos otro<br>consentimiento por la app. Entonces, eh<br>aparece el tema de la gobernanza, de los<br>datos, que es fundamental para poder<br>implementar la ley para complay. no<br>sacamos nada eh con cumplir las cosas,<br>independientemente hacer una cosa, si no<br>podemos eh acreditar y tener esta<br>trazabilidad para luego mostrarle al al<br>fiscalizador, a la agencia que dimos<br>todo el cumplimiento eh a la a la<br>normativa y ese tema de gestión es es<br>tremendo. Las empresas establece eh<br>tener que armar este modelo de<br>cumplimiento. La ley establece un modelo<br>de prevención de infracciones que es<br>voluntario, pero que para implementar la<br>ley de todas formas hay que hay que<br>hacer un modelo de de gestión. Entonces,<br>eh es algo que las empresas ya están<br>trabajando. Yo por lo menos estoy<br>contenta con las empresas que me ha<br>tocado verl porque noto la preocupación<br>desde desde el CEO hacia abajo y eso es<br>muy importante porque los liderazgos son<br>los que tienen que marcar esto para que<br>eh una cosa es cómo implementamos la<br>norma y otra cosa es el tema cultural<br>para que realmente eh<br>penetren las organizaciones y se haga<br>esto desde el diseño de productos, que<br>también es es uno de los principios que<br>que invoca la ley. también muy<br>importante en el consentimiento y muy<br>importante son los derechos del titular<br>de datos que también hay que<br>gestionarlos, o sea, no sacamos nada con<br>de un consentimiento y después quiere<br>hacer, ¿vale?, su derecho y no tenemos<br>idea como eh dónde está ese<br>consentimiento ni qué versión de la de<br>la política privida fue. Eh, tenemos que<br>gestionarlo de manera rápida, que para<br>eso tenemos que utilizar herramientas de<br>compliance, como decía Pablo.<br>Correcto. Pablo, ¿quieres agregar algo<br>más sobre este punto?<br>Em,<br>yo quiero que me<br>solo para agregarte tu respuesta, pero<br>quiero que también nos comentes cómo ha<br>sido tu proceso también de<br>concientización con las organizaciones,<br>eh, porque podemos hacer un registro muy<br>lindo con estas subos bases de licitud,<br>pero bueno, ¿cómo lo aterrizamos<br>después?<br>Mira,<br>dos puntos a propósito de lo que decía<br>Rosario, porque efectivamente<br>nada que agregar de cómo se trabaja<br>esto. Em pero uno de los puntos que<br>decía Rosario es bien clave. El modelo<br>de prevención de infracciones<br>es voluntario,<br>sí, pero es una metodología, o sea,<br>digamos, tiene los elementos de una<br>metodología que te permite cumplir con<br>la ley. O sea, si tú no haces el modelo,<br>igual tienes que cumplir con la ley. Eso<br>es obvio, ¿no? ¿Cómo cumples con la ley?<br>Entonces, eh lo primero que tienes que<br>saber es qué haces con los datos,<br>digamos. Ah, bueno, el modelo de<br>prevención de infracciones tiene dentro<br>de sus elementos obligatorios para para<br>certificarse el registro de actividad de<br>tratamiento, ¿ya? Entonces, tú tienes el<br>registro de actividad de tratamiento y<br>empiezas a llenar. Ya yo ocupo los datos<br>en el área de trabajadores o<br>colaboradores para esto, esto, esto,<br>esto. Entonces, tengo cuatro actividades<br>de tratamiento, por ejemplo, y a esa<br>actividad de tratamiento<br>tengo que ver, bueno, quién es el dueño<br>procede, eso eso, que s yo, pero la base<br>de licitud, la finalidad, las categorías<br>de datos, en fin, todo, toda esta toda<br>esta planilla, toda esta métrica es<br>relevante para que la organización diga,<br>"A ver, en este caso estamos usando<br>estos datos, tenemos base de licitud e,<br>o sea, eh, por ejemplo, estos<br>consentimientos tan válidos o puedo<br>enmarcarme en otra y ahí recién se<br>empieza a hacer estas preguntas.<br>Entonces, y esto es bien relevante<br>porque varias de estas preguntas van a<br>ser eminentemente jurídicas.<br>Ah, no te sirve un inventario de datos,<br>por ejemplo, para esto, porque tú tienes<br>que resolver que si ese dato sensible lo<br>puedes tratar con la base de licitud que<br>estabas invocando.<br>Y perdón, y esto no es un riesgo e<br>digamos marginal,<br>eh en algunos casos va a ser el riesgo<br>que afecta al giro de la operación. ¿Por<br>qué? Porque equivocarse en la base<br>jurídica, la base de licitud,<br>supone un riesgo de infracción grave.<br>Las infracciones graves se sancionan de<br>la amonestación hasta las 10,000 UTM, es<br>decir, alrededor de los 670 millones de<br>pesos. Entonces, no es casual que para<br>poder cumplir con la ley uno tenga que<br>hacer un RAT en donde desglosa la<br>actividad de tratamiento y para cada<br>actividad de tratamiento tengo que ver<br>la base de licitud y ahí tengo que ver,<br>necesito consentimiento,<br>¿sí? No, puedo hacerlo con otra base de<br>licitud, ¿sí? No, necesito interés<br>legítimo. Bueno, sí, eh, entonces tengo<br>que hacer un test de interés legítimo y<br>eso lo voy consignando, ¿te fijas?<br>Entonces, eso es una primera cuestión<br>que quiero añadir a a a lo que planteaba<br>Rosario, porque esto se empieza a<br>juntar. Entonces, lo que me ha pasado eh<br>viendo, acompañando a a personas que<br>quieren implementar esta ley es que uno<br>les dice, "Mire, usted puede querer<br>certificarse o no, pero igual va a tener<br>que en algún momento hacer algo parecido<br>a un registro de actividad de<br>tratamiento, al menos una evaluación<br>inicial de actividad de tratamiento y<br>para eso va a tener que calificar<br>jurídicamente<br>su autorización legal, ya su base de<br>ilícitud. Ah, y y ahí entonces, claro, y<br>ahí empiezan los problemas, ¿no? Esto lo<br>esto va a ser con un consentimiento.<br>Este es el consentimiento que tenemos.<br>Sí, es que se no cumple. Ah, chuta, ya.<br>Eh, bueno, es que si no cumple es<br>infección grave. Ah, ya. Okay, vamos,<br>vamos a corriir.<br>A veces las organizaciones no quieren<br>cambiar el consentimiento, no quieren<br>volver a pedir consentimiento. Eso es<br>fricción, eso es lentitud, eso es<br>costoso. Hay que gestionarlo, como<br>decíamos. ¿Ya? Eh, bueno, pero es que,<br>¿cuál es el riesgo? El riesgo de no<br>hacerlo es que alguien sostenga que ese<br>consentimiento es inválido y por lo<br>tanto la actividad de tratamiento carece<br>de base de licitud y por lo tanto supone<br>una infracción grave. Ese es el punto.<br>Ya. Y ojo, eh, por qué por qué todo esto<br>es tan determinante? A mí las bases de<br>licitud me son uno de los temas que más<br>me importan en materia de protección de<br>datos, porque es la puerta de entrada<br>para el tratamiento.<br>Si tú no tienes base de ilicitud, se te<br>cae todo. Y por eso la ley eh lo pone<br>como infracción grave, no infracción<br>leve, digamos. Y y en ese punto, fíjate,<br>e<br>no tienes una cuestión de hecho, o sea,<br>está bien, tienes que ver qué datos,<br>cómo se trata, etcétera, pero es una<br>cuestión jurídica. Esto cabe dentro de<br>la ejecución del contrato.<br>Este consentimiento es válido porque es<br>previo, porque es libre, porque no tiene<br>Esas son calificaciones jurídicas.<br>Entonces aquí los abogados, abogadas<br>tienen que dialogar con el resto la<br>sobre todo marketing,<br>clientes, comercial e bueno, ahí cuando<br>tienen que implementar cosas. Eh, y<br>entonces tienes que hacerle esa<br>pedagogía de, mire, sí, antes lo<br>hacíamos así, pero ahora la ley exige<br>todo esto ya y hay que hacerlo así,<br>distinto, hay que volver a pedirlo y hay<br>que decirle, bueno, es que si no lo<br>volvemos a pedir, nos ponemos una multa<br>hasta de 670<br>millones de pesos, eh, y que si<br>reincidimos,<br>si somos una empresa mediana, puede ser<br>multiplicada hasta por tres. Entonces<br>ahí, claro, un CEO inteligente, un<br>gerente general inteligente va a decir,<br>"M tenemos riesgo, ya debemos alinearnos<br>en esto." ¿Te fijas?<br>Gracias, Pablo. Me gusta la la<br>cronología que fuimos armando hasta este<br>punto del webinar porque obviamente<br>partimos<br>preguntándonos primero por el<br>consentimiento, qué era, aparecieron<br>estas otras bases de licitud y y aquí<br>bien Pablo eh da esclavo en el sentido<br>de que las bases de licitud al final son<br>el cimiento, son el es donde nos vamos a<br>parar de aquí en adelante. O sea,<br>determinando la bases de licitud,<br>tomamos las decisiones de negocio, vemos<br>para dónde va a navegar el barco y y<br>Rosario también dijo un concepto muy<br>importante que es el diseño de un<br>producto, o sea, esto tiene que estar<br>desde el diseño y agregarle o el<br>rediseño de un producto, porque el hecho<br>de que tengamos un producto diseñado de<br>algunas maneras no quiere decir que que<br>esté cumpliendo con la normativa de<br>protección de datos. Podrá cumplir con<br>otras, pero datos eh tiene otra otra<br>lógica.<br>Entonces, y Pablo mencionaba el registro<br>de actividades, que al final es como<br>donde se engloba todo esto, donde<br>podemos mapear qué actividad estamos<br>realizando, cuál es la base de licitud<br>que nos vamos nos vamos a parar, vamos a<br>sustentar y vamos a defender el día de<br>mañana, que es la es la correcta.<br>Eh, y pasamos ahora a la siguiente<br>página. Bueno, dejemos de lado la otras<br>de base de leicitud, volvamos al<br>consentimiento<br>y decidimos gestionar consentimiento.<br>Vamos a estas actividades que ya las<br>tenemos identificadas, tienen como<br>solicitud el consentimiento.<br>Rosario, desde desde tu perspectiva, una<br>vez que tú ya definiste y quieres<br>quieres gestionar el consentimiento y<br>definiste que vamos a gestionar<br>consentimiento en estos casos<br>particulares que ya están identificados,<br>cuáles son los desafíos entonces ahora<br>para una organización desde desde el<br>punto de vista operativo. Lo comentaba<br>un poquito anteriormente, pero ya<br>estamos ya estamos en tierra derecha en<br>vamos a gestionar consentimiento. ¿Qué<br>desafío<br>se presenta?<br>Sí, bueno, eh la el desafío operativo yo<br>creo que es el más importante, como les<br>decía, ya el consentimiento ya, okay,<br>tenemos el cheque y ya la empresa dice,<br>"Okay, listo, me olvido." Y y no, ese es<br>como el comienzo de todo. Ahí tenemos<br>que eh el desafío operativo es eh<br>mantener esa trazabilidad de este de<br>este consentimiento, eh tener eh los<br>mecanismos para que el titular de los<br>datos después pueda ejercer sus<br>derechos, eh revocar el consentimiento<br>eh y y para eso eh aparecen un montón de<br>de temas, o sea, tenemos eh<br>consentimientos que los manejan<br>proveedores,<br>si el usuario<br>quiere revoca el consentimiento. Listo,<br>yo le revoco el consentimiento, pero<br>tengo que tener sincronizados los<br>sistemas porque no lo voy a revocar por<br>un lado y después le siguen llegando<br>mail de mi proveedor que yo no no fue<br>notificado, no lo tenía unificado.<br>Entonces, es toda una gestión de ese<br>consentimiento<br>a través de de esta gobernanza, de de<br>esta trazabilidad que implica este este<br>principio de responsabilidad proactiva,<br>que eh<br>la carga de la prueba en el fondo se la<br>lleva el responsable de los datos, o<br>sea, la empresa es la empresa la que<br>tiene que demostrar su cumplimiento ante<br>la autoridad. Eh, no es el usuario que<br>tiene que decir, "Oye, yo presenté estos<br>datos." No, la empresa le tiene que<br>decir, "Mira, recabé este<br>consentimiento. Eh eh fue esta versión<br>de de la política, fue en tal fecha,<br>aquí lo tengo, aquí tenemos registrado."<br>Tiene que estar super bien documentado<br>todo este modelo de manera unificada. Y<br>bueno, eh ahí como decía Pablo y yo eh<br>soy más enfática que Pablo que que<br>decía, "La empresa decidirá si puede<br>tener un rato, o no." Para mí es<br>fundamental el rat, o sea, no se puede<br>hacer una implementación de la de la<br>nueva ley de protección de datos sin<br>tener este RAT eh y eh estos modelos de<br>de gobernanza de de gestión de de esta<br>base legal para después poder hacer el<br>accountability y probar en auditoría de<br>que se gestionó eh adecuadamente esta<br>base legal del consentimiento.<br>Yo estoy totalmente de acuerdo contigo,<br>Rosario, que no se puede gestionar, o<br>sea, no podemos hablar de consentimiento<br>sin antes haber tenido haber diseñado un<br>registro de actividades<br>y aunque no sea legal, porque la ley no<br>lo exige, lo exige,<br>eso mismo iba a decir que se eche un<br>poco de menos la normativa, que no no lo<br>menciona ni<br>ni de pasada. Bueno, hay algunos que<br>dicen que lo menciona en una parte, pero<br>eh es discutible. A mí me gustan las<br>cosas con con su nombre, o sea,<br>registro, actividades, eh título,<br>definiciones, ahí tené que estar<br>efectivamente. Eh, Pablo, bueno, viendo<br>todos estos desafíos operativos, eh, y<br>desde lo que te desde tu experiencia, de<br>lo que te te ha tocado ver, eh, digamos<br>que un una organización te pide, Pablo,<br>sabes que vamos a gestionar<br>consentimientos, pero necesitamos un<br>sistema de gestión de consentimiento que<br>nos que nos ayude con todas estas<br>obligaciones que nos exigen la ley. ¿Qué<br>qué tú le recomendarías a esa persona<br>que te dice, "Necesito que me ayudes a a<br>crear este sistema?"<br>¿Qué debería tener un buen sistema de<br>gestión de consentimiento para que el<br>día de mañana cuando haya que rendir<br>cuenta, ya sea con el titular, ya sea<br>con la agencia, podamos estar tranquilos<br>de que estamos cumpliendo con todos los<br>puntos de la ley. No te que nos<br>menciones todos los puntos, pero ¿qué es<br>lo que para ti desde tu perspectiva<br>debería tener un buen sistema de gestión<br>de consentimiento?<br>Mira, bueno, a ver, ojo con esto. E eh<br>porque a veces uno cree que tiene que<br>sacar, no sé, 2 millones consentimientos<br>y no es así, digamos. A veces tiene que<br>gestionar consentimientos, son pocos<br>consentimientos, ya, a veces son muchos.<br>Entonces, primero hay que ver<br>un tema de magnitud. Ya, eso es una<br>primera cuenta. E porque como decía, o<br>sea, una empresa pequeña<br>que es business to business, B2B, por<br>ejemplo, y e que claro, en algunas<br>ocasiones tiene que recopilar algunos<br>consentimientos, probablemente<br>su gestión va a ser simple.<br>Entonces, lo primero que tiene que<br>revisar es, bueno, a ver, ¿cuántos<br>consentimientos de qué tipo, cuál es su<br>interacción, dónde está su riesgo, ese<br>tipo de análisis? Uno tiene que hacerse<br>esas preguntas primero, ¿ya? Entonces,<br>una empresa pequeña o mediana, B2B, que<br>tiene pocos consentimientos sobre<br>algunos datos que no son datos<br>sensibles.<br>Bueno, quizás un sistema<br>sencillo en donde pueda hacer la gestión<br>documental de aquello, puede ser<br>obviamente electrónico o incluso físico,<br>pero que tenga el respaldo de aquello,<br>que pueda certificar su vigencia,<br>etcétera.<br>Bueno, y que después lo pueda demostrar<br>cuando tenga que hacerlo ante una<br>eventual fiscalización. Eso eso no es<br>una realidad muy distinta de varias<br>organizaciones. Ojo, eh,<br>por eso es importante calificar primero<br>la base de licitud, porque quizás varios<br>de los tratamientos de datos están ahí<br>dados por cumplimiento de las<br>obligaciones legales o ejecución de los<br>contratos ah, tanto respecto de sus<br>clientes, que son la mayoría personas<br>jurídicas, o de sus trabajadores, porque<br>gran mayoría de los tratamientos de<br>datos son cubiertos por esas bases de<br>licitud en esos casos o los proveedores<br>incluso también. Entonces, ojo con eso.<br>Ahora, una empresa que aspira a vender<br>las cientos o miles o millones de<br>clientes, obviamente<br>gestionar esa magnitud es muy distinta.<br>Entonces ahí tú tienes que tener un<br>sistema claramente que primero te<br>permita la gestión documental. ¿Ya? Es<br>una cuestión básica. Ah, obviamente las<br>organizaciones cada vez están más<br>preocupadas de la gestión documental<br>legal, ¿ya? Y hay una serie de software<br>asociados a eso. Eh, es un primer paso,<br>pero ese debe permitirte una<br>recuperabilidad relativamente rápida<br>a reaccionar frente a los requerimientos<br>de los titulares de datos y también de<br>la de la autoridad. ya te debe permitir<br>interconectarte,<br>como bien decía Rosario, con quienes<br>tratan datos a cargo tuyo. Entonces, el<br>típico caso de que tú tienes una<br>organización y uno de tus proveedores es<br>el que envía<br>eh el mailing,<br>la publicidad, ya eh el titular da de<br>baja, revoca su consentimiento, se se da<br>de baja respecto de la organización,<br>pero la organización no comunica ah por<br>déficit técnicos, por ineficiencias, por<br>negligencia, no comunica eso a sus<br>proveedores, en este caso, a quien envía<br>el mailing y el mailing le llega de<br>nuevo, ¿te fijas? Entonces, hay un<br>tratamiento de datos sin base licitud.<br>Eso es ya e o derechamente también puede<br>haber infracciones a e el ejercicio de<br>los derechos e en este caso si si pido<br>supresiones de datos, entonces eh tiene<br>que tener esa esa y por último tiene que<br>tener una integridad de la información,<br>digamos, una calidad de esa de ese de<br>ese consentimiento que está actualizado<br>debidamente. Yo creo que esos elementos<br>son claves. Entonces, ahora para eso hay<br>distintas soluciones. Por eso te decía,<br>eh, obviamente en la magnitud, yo yo<br>sugeriría un SAS, eh, creo que eso es<br>hay alternativa. Lo que pasa es que<br>claro, ahí uno empieza a visualizar el<br>costo de la gestión del consentimiento.<br>Ya. Ahora, si si son pocos<br>consentimientos, supongamos que es una<br>empresa B2B y tiene control e biométrico<br>de instalaciones, pero es para son 25<br>trabajadores. No, si son 25<br>consentimiento,<br>eso es fácil de gestionar legalmente y<br>documentalmente. Entonces, no te fijas,<br>eh, ojo con eso. Ya.<br>Ahora, si tú quieres apoyar en esa base<br>de licitud, en el consentimiento,<br>tu operación desde el punto de vista de<br>de tratamientos de datos, entonces<br>tienes que ponerle especial ojo, porque<br>a diferencia de otras,<br>tú tienes que recuperar el papelito, el<br>registro electrónico, lo que sea, la<br>evidencia. Ya, cuando yo digo que estoy<br>tratando un dato para<br>eh cumplir una obligación legal, es muy<br>distinto. Yo digo, esta es la obligación<br>legal, se me aplica por tales razones,<br>etcétera. Es es es un análisis de<br>calificación jurídica que puede ser más<br>o menos difícil, pero pero relativamente<br>sencillo y se y una vez que es correcta<br>se sanja, ¿te fijas? No tienes que<br>mostrar un papelito, copia y pega esa<br>fundamentación. Entonces, ese es el<br>punto de de los sistemas. Ya.<br>Gracias, Pablo. Eh, mencionabas por ahí<br>el tema de Bueno, yo creo que es<br>importante el volumen que lo que<br>comentabas de de bueno, ¿cuántos<br>consentimientos estamos estamos<br>tratando? Eh, ¿es un gran volumen o un<br>gran volumen? Y ahí quizás podemos pasar<br>del hacer este quiebre entre procesos<br>manuales y procesos que son apoyados con<br>plataformas, con sistemas más robustos<br>que te ayudan a mantener esta<br>trazabilidad y no ir a buscar el<br>papelito al al a la carpeta, sino eh<br>tener la información, tener la<br>trazabilidad de de cuándo se prestó ese<br>consentimiento, qué dónde.<br>Pero aunque tengamos el proceso manual,<br>como bien decía Pablo, aunque tengamos<br>esta opción de hacerlo más más simple,<br>no quiere decir que no tengamos que<br>rendir cuenta y no tengamos que tener<br>trazabilidad y no tengamos que tener<br>también claridad de quién dio<br>consentimiento, a qué dio<br>consentimiento,<br>a qué política está aplicando el día que<br>dio el consentimiento.<br>Entonces, son varias preguntas que se<br>nos van complicando también al final del<br>día, porque se necesita una persona que<br>esté o más de una persona que esté a<br>caballo con estos temas, que esté ahí,<br>oye, veamos bien dónde firmó el<br>documento, dónde prestó el<br>consentimiento, qué dice el texto legal<br>y un millón de etcétera.<br>Rosario, para complementar también un<br>poco lo que lo que nos decía Pablo,<br>quizás tú lo has visto un poco más con<br>entidades reguladas que o entidades que<br>también tienen una ciertas directrices<br>que hay que cumplir más aparte de la<br>normativa de protección de datos. Eh,<br>¿cómo has visto tú este proceso de<br>migrar un poco a plataformas que te<br>ayudan a gestionar el consentimiento y y<br>que te y que en el fondo te ayudan a<br>cumplir con todo este montón de<br>obligación y este trazabilidad,<br>rendición de cuenta y todo lo que<br>estábamos hablando. Eh, ¿cómo es ese<br>proceso de migración? Y y bueno, amplio<br>la pregunta para ambos también, que<br>yo creo que le ha tocado ver a<br>organizaciones que es como, ya, bueno,<br>sabes que no se nos escapó de las manos,<br>no lo podemos gestionar de forma manual,<br>vamos a tener una multa y esta es la<br>multa grave que decía Pablo, eh, ¿cómo<br>han visto este proceso de migración y y<br>qué recomiendan también durante este<br>proceso?<br>Sí. Bueno, eh lo que decía Pablo es<br>clave, o sea, eh distinguir entre si<br>tienes eh cuántos usuarios, cuántos<br>tratamientos, eh la cantidad, si tienes,<br>no sé, más allá de de una determinada<br>cantidad, se hace imposible gestionarlo<br>de manera manual. O sea, eh<br>sencillamente eh es muy eh difícil eh<br>tener la trazabilidad y si sumamos a lo<br>que decías tú, Ignacio, que no hay una<br>persona, no tenemos todavía este rol del<br>delegado de protección de datos<br>instalado eh en las empresas que no hay<br>una persona encargada, especializada, o<br>sea, eh el apoyo de plataformas, el<br>apoyo de de temas que puedan automatizar<br>estos datos y asegurarnos una<br>trazabilidad para cumplir con este<br>principio que repito, muchas veces<br>durante el webinar, pero que es la base<br>de esta ley, el principio de<br>responsabilidad proactiva, se necesita<br>tener esto en<br>sistemas<br>que que puedan acreditar el<br>cumplimiento, tener la trazabilidad. Eh,<br>y y bueno, si todavía tenemos va a<br>empezar a surgir la figura de este<br>delegado de protección de datos<br>personales, que tampoco es obligatorio<br>eh en la ley eh en Europa, en el<br>Reglamento de Protección de Datos<br>Personales tampoco es obligatorio,<br>solamente a partir de una determinada<br>cantidad de trabajadores ya se pide esta<br>figura, pero también es es fundamental y<br>y con el modelo de prevención de<br>infracciones sí van a va a requerir un<br>delegado de de protección de datos<br>personales y que y que tenga tenga a<br>cargo toda esta gestión de de<br>tratamiento de datos, porque eh no es<br>simple, no es como ya tengo el<br>consentimiento, tengo la base legal,<br>primero hacer todo ese ese mapeo, todo<br>ese RAT que tiene una parte jurídica muy<br>importante y y que también requiere de<br>de de esta de este diagnóstico, de estar<br>con todas las áreas. Este es un tema<br>transversal a todas las áreas. Entonces,<br>eh tiene que existir por un lado este<br>este apoyo eh tecnológico que que que si<br>no se hace imposible si tienes muchos<br>tratamientos. Eh aparte que que la ley<br>lo menciona expresamente en el artículo<br>10 e en el ejercicio de derechos de los<br>titulares, la ley establece que los<br>responsables tienen que establecer<br>métodos, medios tecnológicos y eficaces<br>para eh que los titulares puedan ejercer<br>sus derechos. Entonces, eh más claro<br>echarle agua.<br>Claro. Ahí hay una clave, una pista que<br>nos da la ley que muy bien, usted puede<br>hacerlo como usted quiera, pero si había<br>un medio que era el adecuado, usted<br>tiene que tomarlo y vos explicarme por<br>qué no lo tomó.<br>Pablo, eh, bueno, quiero primero<br>agradecerte por por haber asistido a<br>este webinar. Pablo tiene otros<br>compromisos, así que nos va a dejar un<br>poquito antes. Eh, no va a poder<br>responder la cantidad de preguntas del<br>público que tenemos, así que<br>hacemos otro. Después<br>hacemos otro, te la mandamos por interno<br>y las publicamos.<br>Eh, pero solo para cerrar este este<br>último punto que estamos hablando de de<br>cómo migramos a estas plataformas, cómo<br>vamos migrando y a gestionar estos<br>consentimientos de manera más<br>automatizada, de forma más<br>tecnologizada.<br>¿Qué recomiendas tú? ¿Cómo lo ves tú?<br>¿Qué qué nos puede aportar desde tu<br>experiencia?<br>Sí, yo creo que eh es que, a ver, hay<br>empresas, hay organizaciones que<br>entendieron prontamente cuando se<br>publica esta ley el desafío que importa<br>esto. Ya hay empresas que recién ahora<br>quieren hacer un diagnóstico. Eh,<br>entonces estamos hablando que esto entra<br>en vigor pasado mañana, digamos.<br>Entonces, cuando recién vamos a ver, ah,<br>nos sirve este consentimiento, tenemos<br>que actualizarlo, tenemos que volver a<br>pedir consentim, entonces es un es un<br>problema. Ya. E y en respecto de ese<br>punto e<br>eh aquí es buena la el es super bueno el<br>match entre una asesoría jurídica<br>que no te hace incurrir en costos<br>necesarios<br>eh y un soporte tecnológico que te<br>acompaña en la implementación.<br>Si eso es eh eh ese matrimonio, digamos,<br>eh<br>facilita<br>implementar esta ley y ejecutarla en la<br>práctica. Ya e a mí me ha pasado que yo<br>veo algunas cuestiones, algunas<br>apreciaciones y me dicen, "Sí, y aquí<br>vamos a tener que sacar consentimiento."<br>Y yo les digo, "¿Y pero para qué?" O<br>sea, esto les va a costar. y y<br>eh con riesgo bajo o muy bajo o casi<br>nada, les queda muy bien esta base de<br>licitud, digamos, eh sobre todo en un<br>comienzo. Entonces, claro, ahí y y<br>claro, cuando hay consentimiento<br>importante, la herramienta tecnológica<br>es clave, es clave porque te ordena,<br>porque ahora esto siempre tiene un<br>problema que las organizaciones primero<br>no quieren otra capa más de compliance,<br>otro software más. Entonces ahí las<br>herramientas tecnológicas tienen que<br>conversar, tienen que ser bien dúctiles.<br>Eh, porque efectivamente el estrés<br>regulatorio en términos de compliance ha<br>sido alto en muchas organizaciones,<br>delito económico, ley caring, algunas<br>tienen libre competencia y ambiental. Y<br>si además sumamos, digamos, algunas son<br>ley marcos cibers seguridad, pero ahora<br>llega al final cuando ya hay poca<br>energía, digamos, hay pocos recursos,<br>además, llega el único compliance que se<br>le aplica a todos,<br>a los organismos públicos, a los<br>organismos privados, con fines de lucro,<br>sin fines de lucro. Da lo mismo. Si eres<br>B2B, da lo mismo. No hay ninguna empresa<br>que esté hecha solo por robots o<br>computadores, que le ofrezca productos,<br>o servicio a robots y computadores. No,<br>siempre hay un ser humano detrás. Hay un<br>representante legal, hay un trabajador,<br>hay un contratista. Entonces este<br>compliance que llega al final con una<br>agencia que va a fiscalizar a todo el<br>sector privado y a toda la<br>administración del Estado, fíjense, no<br>hay ningún regulador<br>que tiene tantos sujetos obligados como<br>la futura Agencia de Protección de<br>Datos. No lo tiene la Contraloría, no lo<br>tiene la ANSI, no lo tiene ninguna<br>superintendencia.<br>Este es el único compliance, a mi<br>juicio,<br>de carácter realmente universal.<br>Porque hoy es imposible operar sin datos<br>personales.<br>Entonces, en ese contexto, obviamente<br>necesitas un acompañamiento legal y<br>técnico que te facilite, digamos, la<br>implementación y minimice los riesgos de<br>infracción.<br>Gracias, Pablo. Qué buena frase de<br>cierre sacaste que este es un compliance<br>universal. Voy a tomar nota si me<br>permites robártela.<br>Si me citas, no, no hay problema.<br>Si te citas.<br>Oye, Ignacio Rodrigo, muchas gracias por<br>la invitación. Me tengo que retirar,<br>pero fue un gustazo. Ah, y compartí con<br>Rosario. Ah, creo que estamos muy de<br>acuerdo en muchas cosas.<br>Gracias a ti, Pablo, por aceptar la<br>invitación y eres eres libre de<br>retirarte y te invitaremos.<br>Tremenda clase. Buenísima.<br>Bueno, Pablo hace clases también, así<br>que a los que quieran tomar un curso con<br>él, bienvenido. Rosario, ¿te puedes<br>quedar unos minutitos para responder?<br>Tenemos muchas preguntas, la verdad<br>quiero agradecer a todos los que la<br>gente que ha preguntado.<br>Está<br>te quedaste sin auditó el audio.<br>Habíamos dicho, tengo hasta las 125<br>también. Ya, 5 minutos.<br>Ya. Entonces, sí, por eso solamente te<br>voy a hacer una dos lo que alcancemos a<br>contestar, ¿eh?<br>Y bueno, y agradecer también a la gente<br>que pregunta y veo que cada vez el nivel<br>de pregunta, el detalle se nota que<br>están sufriendo con con la<br>implementación de esta de este compra<br>universal.<br>Sí, ahí Pablo Pablo escapó de las<br>preguntas que yo también estaba viendo<br>el detalle de preguntas est<br>Mira, no solamente para para agarrar<br>algunas, hay algunas bien interesantes.<br>Eh, esta me parece bien importante<br>responderla respecto a los sujetos<br>obligados ante la WF. Eh, ¿cómo cómo<br>pasa? ¿Qué pasa ahí con el<br>consentimiento? Creo que hay también un<br>tema conceptual que hay que abordar.<br>Sí. Bueno, eh como hablábamos eh eh hay<br>que hacer el levantamiento de las fases<br>de tratamiento y las obligaciones de la<br>UAF responden a una ley. Entonces en ese<br>caso, la base legal sería la ley y ahí<br>no necesitamos el consentimiento y es<br>mucho mejor porque la WAF establece eh<br>un plazo de a lo menos 5 años para de<br>conservar estos datos eh una vez<br>terminada la relación. Entonces, eh es<br>importante porque con el consentimiento<br>muchas veces es que es revocable, ¿no?<br>No se pueden estas cosas, lo que no<br>implica tener esta base legal, lo que no<br>implica que que no se deban cumplir los<br>principios de la ley, la<br>confidencialidad, la seguridad,<br>etcétera. Entonces, que que no sea el<br>consentimiento de la base legal, sino<br>que sea la ley, no significa que se<br>puede mantener de cualquier forma. Igual<br>hay que eh mantenerlo con las eh los<br>principios y obligaciones que establece<br>algo.<br>Claro. Ahí. Bueno, nuevamente nos hizo<br>la pregunta eh Imón. Sí. Eh ahí<br>nuevamente la invitación es a revisar<br>qué procesos qué se está realizando<br>respecto en específico cumplimiento de<br>la normativa de la web.<br>el R, revisar la norma, cuáles son los<br>norma, cuáles son los datos que te pide<br>datos que te pide y que y qué datos de<br>y que y qué datos de eso responden a lo<br>eso responden a lo que son<br>que son<br>exactamente hay cosas que van a caer de<br>exactamente hay cosas que van a caer de<br>cajón dentro de la norma, otras temas<br>cajón dentro de la norma, otras temas<br>que las empresas también realizan y<br>que las empresas también realizan y<br>claro que salen de de esa esfera y sería<br>claro que salen de de esa esfera y sería<br>entramos al consentimiento, interés<br>entramos al consentimiento, interés<br>legítimo,<br>legítimo,<br>lo que lo lo que no sea consentimiento,<br>lo que lo lo que no sea consentimiento,<br>claro, pero un tema relevante porque<br>claro, pero un tema relevante porque<br>este tipo de preguntas que se tienen que<br>este tipo de preguntas que se tienen que<br>hacer la organización el R, revisar la<br>hacer la organización ones eh en se o se<br>tenían que haber estado haciendo hace un<br>rato atrás, pero que se pueden hacer<br>seguir haciendo de aquí en adelante.<br>Una última pregunta de Sebastián, que de<br>las últimas que tengo acá, respecto de<br>la biometría con trabajadores,<br>e si tengo la obligación de mantener un<br>solo tipo de registro de asistencia<br>y no tengo el consentimiento<br>de todos los trabajadores, entiendo aquí<br>en este caso, tendría que cambiar el el<br>tipo de registro de asistencia, ya no<br>puedo tener biometría si no tengo los<br>consentimientos, creo que esa es la<br>pregunta de fondo. Ya, a ver, no, si yo,<br>o sea, si yo la la biometría no es una<br>obligación como como de del estos<br>sistema de control y asistencia, no es<br>una obligación, sino que está habilitado<br>por la DT. Y hay que ver qué qué<br>directrices va a entregar la nueva<br>agencia respecto de de estos usos, la<br>nueva agencia con respecto a la ley de<br>protección de datos, porque la la los<br>instructivos de la ET siempre se remiten<br>a la ley de protección de datos también<br>que que tienen que dar cumplimiento. Si<br>una persona no acepta tratar sus datos<br>vía biometría, tendrá que volver al un<br>medio menos invasivo respecto de esta<br>persona, ya sea incluso si no es por<br>medios digitales, se tendría que volver<br>incluso a puño y letra si esta persona<br>lo requiere de esta forma,<br>porque un consentimiento es base para<br>poder cumplir con la<br>Exacto. Hay normativa de la inspección<br>de trabajo en este sentido. Y ahora y lo<br>que va a pasar de aquí hasta diciembre y<br>y más es que todavía va a faltar que<br>diga la Agencia de Protección de Dato<br>porque bueno, para todo la Agencia de<br>Protección de Dato se va a pronunciar<br>sobre estos temas y va a ser el ente<br>técnico llamado a resolverlo.<br>Exactamente.<br>Entonces está<br>y además claro es un tema de biometría<br>que con la nueva ley es un dato<br>expresamente declarado sensible.<br>necesita eh aparte de la base legal, un<br>consentimiento eh explícito eh y también<br>tiene que ser libre, o sea, frente a la<br>biometría siempre hay que ver si no hay<br>un un método menos invasivo y tener<br>alternativas porque ese consentimiento<br>en ningún caso va a ser libre si no<br>tenemos otra alternativa.<br>Exacto. Y ahí después vienen otros<br>conceptos de webinar que hemos hablado<br>antes como la evaluación de impacto.<br>Ya, o sea, también eso eso ya eso ya es<br>específico ya para dato ya eso ya es<br>poner los refinados, pero es lo que<br>viene también, o sea, efectivamente<br>ex Entonces no se agota solamente si<br>tengo o no tengo el consentimiento<br>también. Claro, si vamos a tratar datos<br>sensibles, si vamos a tratar datos a<br>gran escala, eh se va a tener que hacer<br>una evaluación de impacto, ¿no? Si esto<br>es un tema que no es como cumplo acá<br>puntualmente, es un sistema de<br>cumplimiento en vivo y como decía Pablo,<br>¿cuál es la frase? Que es como el<br>sistema de cumplimiento más eh<br>universal, compliance universal.<br>Claro. Así que<br>y tiene un punto porque la agencia va a<br>fiscalizar a todos.<br>Claro. Y puede fiscalizar de oficio, o<br>sea, ni siquiera por un reclamo del<br>titular, imagínate.<br>Oye, quiero agradecerte, Rosario, por tu<br>tiempo, por aceptar nuestra invitación.<br>Estuvo muy entretenida la conversa, así<br>que ojalá poder repetirla en otra<br>ocasión.<br>Sí, ¿no? Muchas gracias a ti, Ignacio.<br>Muchas gracias, Rodrigo. Pablo también<br>increíble su su exposición del tema,<br>superinesante el tema. Dio para muchos y<br>bueno, muchas gracias por la difusión<br>que hacen los webinar. son muy buenos y<br>yo siempre los estoy mirando, así que<br>gracias Rosario. Bueno, eso intentamos<br>siempre desde Ley de Atost poner estos<br>temas sobre la mesa y también ir con<br>recogiendo los dolores que también<br>nuestros clientes tienen, irlo<br>recogiendo y llevarlo a un webinar para<br>para poder conversar sobre estos temas y<br>y que al final son eh son las realidades<br>que está viviendo cada organización. O<br>sea, tú lo ves por tu lado con tu con<br>las personas con las que tú trabajas,<br>nosotros lo vemos por nuestro lado, eh<br>nuestro público también lo hace presente<br>con la cantidad de preguntas. Así que eh<br>estamos muy contentos de hacer estas<br>instancias. Así que solo para cerrar eh<br>invito a todos a visitar nuestra página<br>web eh leydedatos.com<br>eh agendar una demo para conocer nuestro<br>gestor de consentimiento y las demás<br>soluciones que tiene ley de datos.<br>También tenemos cursos de capacitación<br>respecto de la nueva ley y obviamente<br>para cerrar este video va a quedar en<br>nuestro canal de YouTube donde pueden<br>visitarlo, revisitarlo y estudiar todo<br>lo que se conversó acá. Eh, contamos con<br>el consentimiento de Rosario para<br>publicar en YouTube, pero puedes<br>revocarlo cuando quieras.<br>Ya. Muchas gracias a todos. Hasta luego.