Protección de Datos en la Práctica: del rol del DPO al cumplimiento sectorial

Name: Protección de Datos en la Práctica: del rol del DPO al cumplimiento sectorial
Uploaded: 2026-06-25 19:56:32.964069
Description: Análisis y extracción de conocimiento del video 'Protección de Datos en la Práctica: del rol del DPO al cumplimiento sectorial'

Vamos. Vamos a dar inicio a este seminario. Okay. Primero, muy buenos días a todas y a todos. En nombre de la Facultad de Derecho de la Universidad Diego Portales y de las instituciones que hacen posible esta jornada, les damos la más cordial bienvenida a este seminario titulado Protección de Datos en la práctica del rol del DPO al cumplimiento sectorial. Mi nombre es Martín González y estaré a cargo de la conducción de este evento. Permítame en primer lugar saludar y agradecer la presencia de quienes nos acompañan en esta actividad. Saludamos muy especialmente al decano de la Facultad de Derecho, profesor Jaime Couso, quien tendrá a su cargo el cierre de esta jornada. Saludamos asimismo a las instituciones que convocan y organizan este seminario, la Asociación Chilena de Ética y Compliance, la Asociación Gremial de Protección de Datos y DOE, junto a nuestra Facultad de Derecho. A todas ellas nuestro reconocimiento por hacer posible este encuentro. Extendemos también un afectuoso saludo a cada una y cada uno de ustedes que con su presencia dan realce a esta actividad. Dicho eso, para dar inicio formal a este seminario, tengo el agrado de invitar a la vicedecana de pregrado, profesora Magarena Vargas, para que dé unas palabras de bienvenida. Ahí mejor. Muy buenos días a todos y todas. Muchas gracias por estar acá. Les doy la más cordial bienvenida a nuestra facultad. Eh, para nosotros es un agrado tener una actividad que convoque a tanta gente. Teníamos más de 400 personas inscritas, así que es un éxito. En nombre de la facultad les doy la bienvenida a este seminario sobre protección de datos personales dedicado específicamente al rol del delegado de protección de datos. Tuve que buscar qué es lo que era el DPO porque no sabía. y el cumplimiento sectorial bajo la nueva ley 21,719 que moderniza y regula la protección de datos personales. Quisiera comenzar agradeciendo a las instituciones que hacen posible esta actividad, a la Asociación Chilena de Ética y Compliance, cuyo presidente es un exalumno de la facultad, Rodrigo Reyes. Así que muchas gracias, Rodrigo. La Asociación Gremial de Profesionales de Datos Personales, cuyo presidente es Marcelo Drago. Muchas gracias, Marcelo. y el DOOE, el Banco de Información de Chile, cuyo patrocinio y apoyo en esta organización y difusión ha sido fundamental para concretar esta actividad. Sabemos que la entrada en vigencia a esta nueva legislación hable una etapa especialmente desafiante para el mundo profesional. No se trata únicamente de incorporar nuevas obligaciones legales, que sí sabemos que vienen, y adaptar procesos organizacionales, sino que se trata de construir una cultura nueva, una cultura de protección de datos capaz de dialogar con los desafíos de nuestro tiempo, la transformación digital, la innovación tecnológica y el uso creciente de sistemas automatizados en el tratamiento de la información. Precisamente por ello, desde nuestra facultad, la Facultad de Derecho de la Universidad Diego Portales, valoramos especialmente la generación de espacios como este que combinan y hacen converger el derecho, la tecnología, las políticas públicas, la gestión de las organizaciones y sobre todo la experiencia de quienes están a cargo diariamente implementar estas nuevas exigencias regulatorias. Y creo que el formato en que se desarrollará esta jornada refleja esa convicción, ¿no? Eh, contaremos con académicos y académicas que presentarán distintos temas, pero también con profesionales que comentarán desde la práctica sobre esta nueva legislación. nos parece que combinar, ¿no?, eh la participación de distintas perspectivas desde el mundo académico, desde el mundo profesional, sobre todo cómo las normas luego se traducen en decisiones concretas y cómo se interpretan y cómo se aplican. es muy útil desde un punto de vista de la implementación de una nueva política pública. Además, está acompañar que proviene, como digo, del mundo académico, del sector público, de las empresas y de organización especializada nos permiten anticipar que tendremos una una conversación de muy alto nivel y que esperamos contribuya tanto al desarrollo de la disciplina como a la práctica profesional de quienes trabajan en esta área. Quiero agradecer especialmente a los profesores Valdo Artaza y a la profesora Alejandra Castillo por la organización de este evento y agradecerle a todos ustedes la presencia y el interés demostrado por estar hoy día en esta actividad. Y sin más, tengo el agrado de dejar entonces con ustedes eh al profesor Pablo Violier, abogada Senior Data Compliance, eh que nos nos va a dar una primera charla inaugural y les deseo una excelente jornada a todos y todas. Muchas gracias. Bueno, muchas gracias, vicedecana. Eh, antes de escuchar al profesor Biolier, dejo con ustedes a Mauricio Drago de la AGPD, Marcelo, perdón, Marcelo Drago de la AGPD, quien nos dará algunas palabras y luego escucharemos al profesor Biolíer. Tengo un primo hermano que se llama Mauricio, así que no es la primera vez que me pasa. Muy buenos días a todos. Eh, quiero partir agradeciendo a la Asociación Chilena de Ética y Compliance, especialmente a Rodrigo Reyes, que con quien nos hemos juntado reiteradamente, eh, y siempre me dice, "Hagamos algo en en conjunto las dos asociaciones, eh, y su insistencia, digamos, perseverancia hasta un punto ya sin resistencia. Eh, estamos aquí en la primera actividad en conjunto y por cierto agradecer a la Facultad de Derecho de la Universidad Diego Portales, eh, facultad más que acogió a mi hijo en su carrera profesional, mi hijo que está acá presente, pero no lo voy a apuntar para que no se avergüenza, eh, y por cierto, ADOE, que ha jugado un rol super relevante en el país para difundir materias jurídicas. Creo que no se ha hablado de eso, de realmente ha instalado una un canal de comunicación en nuestra actividad muy potente y creo que ha sido de beneficio para todos. Eh, que organizaciones distintas, la academia, los gremios, el mundo profesional se sientan en la misma mesa a pensar la protección de datos personales no es un detalle. Es en sí mismo una señal de que esta materia dejó de ser un asunto de especialistas para convertirse en una conversación de país. Protección de datos en la práctica, el rol del DPO y el cumplimiento sectorial. No venimos a hablar de la ley en abstracto, venimos a hablar de cómo se cumple en la realidad concreta de cada organización. Como me anunciaron, hablo un nombre de la AGPD, la Asociación Gremial de Profesionales en Protección de Dato. ¿Quiénes somos? ¿Quiénes son estos profesionales? Si me permites, somos bichos raros, somos pocos, pertenecemos a una disciplina con poco desarrollo en Chile, todavía joven, todavía pequeña. Somos abogados, ingenieros, auditores, administradores públicos, periodistas. Estamos en muchos lugares, en consultoras, en oficinas de abogado, hay profesionales injados o estamos en la académica, en el sector público. Somos bichos raros, pero en una disciplina cuya vigencia y cuya centralidad se acerca día a día a grandes pasos. La cuenta regresiva está en marcha, queda poco para el primero de diciembre. ¿Cuál es cuál debe ser nuestro rol en este proceso? Creo que la respuesta es una. Tenemos que convertirnos en puentes, en quienes abrimos camino. Y lo digo en un sentido muy preciso. El Chile que viene, Chile viene de un mundo de desregulación, un mundo en que los datos personales se recogen, se cruzan, se comparten, se explotan casi sin reglas, donde el límite lo ponía la capacidad técnica y no el respeto a los derechos de las personas. Ese mundo está terminando. Entramos en un mundo distinto, el mundo de las reglas, de la rendición de cuentas y del respeto a la la privacidad como un derecho. Nuestro papel es ser el puente entre ambos mundos. Tenemos que ayudar al país y las organizaciones a las que servimos o asesoramos a transitar desde la regulación a a esta nueva cultura sin que el tránsito se viva como una amenaza o una carga, sino como lo que es una manera más madura de relacionarse con las personas. En es ese es el sentido del puente y de liderar la construcción de una verdadera cultura de protección de datos dentro de nuestras organizaciones. Nuestro rol entonces será colaborar y persuadir. Persuadir para que la protección de datos se vea como lo que es un activo y no una carga. Algo nada de fácil. Lo fácil es tomar la privacidad como una carga más, más regulación, más con playlas, más papeles, más cumplimientos, más costos. Esa muchas veces es la lectura inicial y es la lectura equivocada y nosotros podemos ayudar a que eso sea distinto. Las personas son sus datos. La protección de datos personales es la protección de las personas, es respetarlas, es cuidarlas. Y cuando una organización cuida los datos que le confiaron, genera algo escaso y valioso. Confianza, transparencia, activos intangibles, pero enormemente valiosos para cualquier organización moderna. Ese es el puente que nos toca hacer de la obligación al valor. Cada uno de nosotros puede colaborar en esto. En el rol que cada cual le toque, podemos contribuir a que la privacidad se instale y se despliegue de la mano de la nueva ley y de la mano de la agencia. Somos pocos, por eso justamente tenemos que tener muy claro el rol que nos toca jugar. Este es el año de la preparación y la preparación necesita certezas. Debía haber agencia operando ya ahora en junio. Hay muchas definiciones que deben resolverse. Desde la GPD hemos señalado y lo reiteramos hoy, la importancia de que se despejen los obstáculos y se designe a los consejeros de la agencia lo antes posible. El sistema se está instalando y cada actor deberá y podrá hacer su contribución. En nuestro caso como profesionales de la privacidad, esa construcción será la construcción de una esa contribución será la construcción de una cultura de respeto y protección de los datos personales de todos. Permita que me detenga brevemente la figura que está en el centro de este seminario, el DPO o el DPD, el delegado de protección de datos. No se ha conversado mucho sobre algo que me parece esencial. El DPO tiene en realidad dos almas, dos roles que habitan en la misma persona y que hay que conciliar y empujar al mismo tiempo. Su primera alma es la de asesor y enlace. Es quien informa y asesora a la organización y a sus equipos sobre las obligaciones de la ley, que quien aconseja en el cumplimiento de esas obligaciones y de las políticas internas y quien se relaciona y coopera con la agencia. Actúa como un punto de contacto frente a ella. es, en suma, la persona que orienta a la alta administración, que traduce la ley en decisiones, que mira el conjunto y que da la cara frente al regulador. Su segunda alma es de es la de Privacy Manager, quien debe estar llevando el día a día la gestión del modelo cumplimiento, evaluando riesgos y brechas, aplicando la priidad por diseño y por defecto, elaborando evaluaciones de impacto y de interés legítimo y de tráfico transfronterizo, gestionando la respuesta de los derechos arcos, reaccionando y notificando ante incidentes de seguridad, cumpliendo el dilen de proveedores, capacitando y midiendo el despliegue de estos programas. Un alma asesora, la otra gestiona, pero las dos son indispensables y las organizaciones grandes y complejas, muy volcada a generar valor a partir de los datos. Esas dos almas muchas veces están separadas en personas y equipos distintos, pero esa no va a ser la realidad chilena. En la mayoría de los casos, naturalmente, ambos roles recaerán en una sola persona. Eh, y va a ser clave para incorporar el entrenamiento y la visión para los dos eh roles a la vez. No basta con saber derecho, ni basta con saber gestión o proceso. Hay que saber de ambos y hay que aprender a sostener esa tensión sin romperla. Aquí quiero ser preciso sobre lo que de verdad se le pide al DPO, porque en es el corazón de esta jornada. La protección de datos no un proyecto con fecha de término, es un marco de gestión continua. No se aprueba una vez y se archiva, se sostiene en el tiempo. Ese marco exige conocer los tratamientos, sus finalidades, flujos y plazos. Justificar cada uno con una base de ilicitud. Gobernar mediante políticas, contratos y resguardos. Operar procedimientos para responder derechos y gestionar brechas. Anticipar riesgo mediante evaluaciones de impacto y sobre todo demostrar con una evidencia documentada cada paso. La agencia no va a fiscalizar intenciones, fiscalizará registros. Ese ciclo continuo es el trabajo del DPO. Permítanme decirlo también al revés, porque la experiencia de las autoridades de control y las grandes consultoras nos enseñó los errores de estos procesos. Es un error partir por el RAT. Es un error partir por el registro de actividad de tratamiento. Hay que partir por un por un eh mapeo de datos. Eh, es un error partir por errar cuando la organización aún no entiende bien qué es un dato personal. Basta un mapeo de actividades de tratamiento. Es un error considerar la privacidad como un proyecto puntual y no de gestión permanente. Es un error cuando se confunde la privacidad con ciberseguridad, creyendo que una caja fuerte, segura, basta. Cuando ser el DPO es un timbre con un título sin recursos ni capacidad para influir. Es un error. Un error cuando se redactan políticas hermosas que nadie aplica. Es un error cuando la formación es una charla anual para la foto. Y es un error cuando sencillamente no se mide. Sin indicadores nadie puede demostrar que el programa funciona ni ante la organización ni ante el regulador. Voy terminando para los nervios de muchos. Somos pocos, somos una disciplina joven y tenemos por delante una responsabilidad grande. El rol de los especialistas en protección de datos en Chile en este momento preciso es los gestores de un cambio cultural, no los guardianes de un trámite, sino los constructores de una forma distinta de tratar a las personas. Y me gusta pensar nuestro oficio así como una obra en construcción. Hoy buena parte del país todavía transita por caminos viejos, los del mundo sin reglas, donde el respeto a las personas y a sus datos no tenía por dónde transitar. Nuestra tarea es desde nuestros lugares y funciones tender los puentes y abrir los caminos para que ese respeto si tenga paso. Puentes entre la ley y la práctica, entre la agencia y las organizaciones, entre el mundo que se va y el que recién comienza y caminos por los que la privacidad pueda llegar a cada empresa, a cada servicio público, a cada rincón en que se traten los datos de una persona. Si hacemos bien nuestros trabajos, esos puentes y esos caminos quedarán construidos y el respeto a las personas y a sus datos se abrirá paso de manera natural en Chile y en todas sus organizaciones. Esa es la obra a la que estamos convocados y para eso exactamente son jornadas como las que comenzamos hoy. Muchas gracias. Muchísimas gracias. Ahora dejo con ustedes al profesor Pablo Biolier que dará la charla inaugural de este seminario. Pablo Violier es abogado de la Universidad de Chile y Llm in Law and Digital Technologies de la Universidad de Leiden. Especialista en derecho y tecnología, protección de datos personales y ciberseguridad. Actualmente se desempeña como abogado senior de la consultora Data Compliance y es doctorando de la Universidad Central. Hola, buenos días. Eh, muchas gracias. Antes que nada, quiero agradecer a la universidad, a sus autoridades, eh a los organizadores del evento y al DOE por esta instancia. Creo que es una instancia muy provechosa para la comunidad en su conjunto y para todos aquellos interesados en adentrarse en esta disciplina. Yo tengo el privilegio de tener eh un pie en la academia, un pie en eh la actividad gremial en la GPD y otro, mi tercer pie en eh la actividad profesional en en una consultora. Eh, y por tanto eh creo que eso me ha dado una visión bien multidisciplinaria, bien global de eh los desafíos que la implementación de la ley 21719 y la modificación del régimen actual eh representa. Y eso es lo que quiero hacer en esta charla eh inaugural, dar un pequeño paneo de cuáles son estas grandes eh desafíos que luego las distintas charlas se van a ir eh profundizando. El primer desafío es que estamos ante una ley del todo, una ley que regula muchos ámbitos de nuestras vidas. Estamos acostumbrados en el derecho a que, bueno, el Código Tributario regula nuestra faceta como contribuyente. La ley electoral, bueno, regula nuestra faceta de ciudadano activo, de de del acto de sufragar, del acto de de ser candidato. Eh, la ley comercial, bueno, eh regula nuestros actos de comercio y sin embargo, nos encontramos esta esta ley, ley del todo, ley que regula todo lo que tenga que ver con un procesamiento de un dato. Bueno, pero la información está en prácticamente todos los ámbitos de nuestras vidas. Y si leemos el artículo 1 de la ley, la verdad es que la los los ámbitos de la vida de un ser humano que están exentos de la aplicación de la ley son extremadamente restrictivos. Bueno, para efectos de la actividad de la actividad personal, eh la excepción doméstica y para efectos del ejercicio de la libertad de emitir opinión y de informar. Y los medios de no es que estén exentos los medios de comunicación, están exentos los medios de comunicación en el ámbito de emitir opinión o de informar, recursos humanos, se siguen aplicando. Y por tanto estamos ante una ley que aplica a los organismos públicos, a los organismos privados, a los organismos con fines de lucro, sin fines de lucro, a las organizaciones internacionales, a las organizaciones religiosas. Yo pongo un club de aviones a radiocontrol y ese club de aviones a radiocontrol tiene que cumplir con la legislación de protección de datos y por tanto nadie se salva. Eh, ¿y eso qué significa? Que la ley regula una infinidad de hipótesis. No es un no es una regulación sectorial que está eh fondo íntimamente ligada con aquel ámbito que regula, sino que tiene que regular una infinidad de distintas actividades que realizamos los seres humanos, todas las cuales desde el punto que parte participan personas que tienen un nombre eh tienen hasta cierto punto un tratamiento de datos personales. Y creo que en esta materia el rol de los principios va a ser fundamental. Los principios son el mortero que cuaja, por así decirlo, eh y permite la aplicación eh concreta, sistemática, eh flexible de esta regulación tan amplia a esta infinidad de hipótesis. Luego creo que otro principal desafío, particularmente aquellos que nos formamos al alero del Reglamento General de Protección de Datos de la Unión Europea, que la mayoría de los de los expertos en protección de datos formamos al alero del del reglamento como legislación, por así decirlo, eh inspiradora, es el hecho de que efectivamente la ley tiene una inspiración fuerte. Si uno ve los articulados, bueno, son principalmente los mismos, pero hay sutiles diferencias que hacen un mundo de diferencia. Y si uno no está consciente, no está atento de esas sutiles diferencias, la verdad es que la interpretación puede ser completamente distinta. Hay diferencias en el principio de proporcionalidad. Nosotros decimos que tiene que la que el tratamiento tiene que ser estrictamente necesario. Bueno, el hecho de que nosotros digamos estrictamente y la legislación europea no implica que el nuestro es un estándar mayor, tenemos diferencia en el consentimiento de niñas, niñas y adolescentes. La legislación europea permite el tratamiento en base a otras bases de ilicitud y nuestra legislación parece limitarlo únicamente al consentimiento entregado por los representantes o una autorización legal expresa. Bueno, y el estado entonces, ¿cuándo trata puede tratar datos de niños, niñas y adolescentes? Tenemos un problema ahí. Eh, las hipótesis para realizar evaluaciones de impacto. Bueno, realizar una evaluación de impacto en cada caso en donde se utiliza una excepción al consentimiento genera un sinfín de hipótesis. Tenemos diferencias importantes en materia de decisiones automatizadas clave para la emergencia de la inteligencia artificial. Nosotros fuimos más allá, aprendimos de la legislación, de la experiencia europea, consagramos el derecho en explicación, morigeramos el nivel de automatización de las decisiones, eh reducimos el nivel de impacto que se necesitan en las personas y por tanto nuestra regulación es mucho más protitular en materia de situaciones eh automatizadas, eh diferencias en materia de interés legítimo. En Europa hay un hay un hay una hay un énfasis en el hecho de que prevalezca un interés sobre el otro, una balanza, mientras que nosotros exigimos que no haya afectación de los derechos de las personas. ¿Eso nuestro régimen más estricto o no es más estricto? Y creo que en eso tenemos la gran ventaja de que existe una verdadera comunidad de profesionales en protección de datos personales. Yo no paso un día sin conversar por teléfono, sin conversar por WhatsApp, sin quebrarme la cabeza con un colegaendo, "Bueno, ¿y qué ves tú en esto? ¿Cómo interpretamos esto?" Eh, y en eso creo que se ha formado una solidaridad bien importante y esto no es solamente un asunto personal. Creo que el consenso que exista en la comunidad de profesionales y que exista en la academia va a moldear eh cuáles van a ser los criterios que eventualmente tenga la agencia. Y por tanto las discusiones que estemos dando, la mejor interpretación que le demos a aquellos conceptos que hoy presentan un nivel de incerteza importante, creo que van a tener un impacto directo en cuáles van a ser los criterios que tenga la agencia. ¿Y por qué? Porque hay partes de la ley que en donde uno la revisa y no da la impresión de que haya una respuesta satisfactoria. materia de consentimiento de niños, niñas y adolescentes, en materia de evaluación de impacto, en materia de tratamiento por partes de organismos estatales, hay preguntas que no tienen una solución satisfactoria y creo que nuestra misión como académicos, como profesionales, es dar una mejor interpretación posible y eh asesorar a las organizaciones a realizar un tratamiento, llegar a una solución que al menos demuestre buena fe en el tratamiento. Creo que el principio de licitud va a ser clave en esta materia. Marcelo ya lo mencionaba, pero esto es una ley que no solo implica un asesoramiento jurídico, sino que implica gestión. No es, nosotros somos somos profesionales de Microsoft Word y esta es una disciplina de Microsoft Excel y por tanto la capacidad no solamente de entregar la mejor interpretación jurídica posible, sino que hacer una asesoría, un acompañamiento, una auditoría que implique el levantamiento de información, la modificación de procesos, no solamente implica un asesoramiento jurídico, sino que implica el levantamiento de información, la recolección de evidencia, el entendimiento de los procesamientos y la modificación de inercias institucionales. Todas las instituciones tienen una inercia y modificar esa inercia es muy complicado porque no solamente implica modificar un protocolo, cambiar un documento, sino que implica cambiar una cultura organizacional. Y eso es un desafío eh evidente para quienes nos dedicamos a esta materia y nos damos cuenta de que esto no es un asunto meramente descritorio que se solucione con un documento y una capacitación, sino que requiere integrarse en los procesos de la organización y eso ocurre para el mundo público y también para el mundo privado. Y voy al último al último desafío, que esta es una ley que se interseca con otras disciplinas jurídicas, pero también con otras disciplinas eh a secas, por así decirlo. Eh, y eso implica que nosotros tenemos que como abogados ser capaces de estar codo a codo, bueno, con los ingenieros informáticos, pero principalmente nuestros principales aliados son los auditores y los prevencionistas de riesgo, respecto de los cuales eh necesariamente tiene que haber un un diálogo multidisciplinario que permita esta modificación de inercias. Ahora, incluso dentro del mundo del derecho, la una asesoría integral en materia de protección de datos personales necesariamente eh genera una intersección con otras áreas del derecho que el derecho internacional en materia de tráfico transfronterizo, derecho administrativo respecto de la de la responsabilidad infraccional eh en la comisión de infracciones y la imposición de multa por parte de la agencia. Hay materias de ciberseguridad, eh tengo que conversar con la ley marco de ciberseguridad. Eh, hay reportes que eh tienen que realizarse en función de distintas hipótesis en distintos plazos ante distintas agencias, eh delitos económicos, derecho laboral. Eh, el derecho laboral eh, evidentemente eh tiene que conectar, tiene que conversar con la protección de datos personales en distintas materias porque es un mundo intensivo en recolección y procesamiento de datos en todas las organizaciones. Eh, y por último, la evidente transposición regulatoria que la regulación de inteligencia artificial va a generar en materia de protección de datos personales, porque no todos los sistemas de inteligencia artificial procesan datos personales, pero muchos de ellos sí y por tanto van a haber distintas obligaciones que una va a venir del punto de vista de la gestión de riesgo, del punto de vista de la eh regulación del inteligencia artificial que va a tener que necesariamente conversar y acomodarse con una regulación desde una aproximación de derechos fundamentales como como la contenida en la regulación de protección de datos. Esto sumado a la regulación sectorial. Habamos hablado que esto es una ley del todo, ¿cierto? Y por tanto eh aplica organismos públicos, privados, organizaciones sin fines de lucro, ONG, organismos internacionales y cada una de esas organizaciones tiene una regulación de carácter sectorial y por tanto para para poder eh levantar cuáles son las autorizaciones legales que entreguen bases de ilicitud, bueno, hay que conocer la regulación sectorial. Quiero terminar con una con una nota alegre porque parece que heo esto es abrumante porque hasta cierto punto lo es, la incerteza, eh la tarea titánica de la recolección de información, e la la intersección con otras áreas del derecho. Pero al mismo punto esto hace que sea una materia infinitamente interesante. Eh, yo empecé a ver temas de protección de datos el año 2016. Eh, y en esa época me interesaba mucho más la la la propiedad intelectual. Yo veía la protección de datos, como está el tema árido de la menos las bases de datos, qué tan interesante puede ser, pero me ha encantado, me he enamorado de disciplina porque todos los días es un desafío distinto. Todos los días hay que leer, hay que estudiar y por tanto no es un asunto que uno simplemente se capacite, conozca una ley y sea un asunto resuelto, sino que eh implica un hambre de conocimiento, una hambre de resolución que creo que lo hace una disciplina extremadamente interesante, una disciplina extremadamente desafiante. que los invito a conocer, a adentrarse y sin duda este seminario va a entregar una múltiplicidad de visiones de profesionales, de académico que están en esta en esta en esta tarea de todos los días quebrarse la cabeza con sus colegas para generar esta visión, esta interpretación, la mejor interpretación posible respecto de esta materia. Así que bueno, les quería agradecer por la oportunidad de abrir este seminario. Eh, los dejo con los ponentes, eh, y muchas gracias por eh la invitación y la oportunidad. Muchas gracias. Bueno, muchas gracias, profesor. Como bien dijo, damos paso ahora a nuestro primer panel titulado Roles en el tratamiento de datos. Esta mesa estará integrada por Caerine Muñoz, Constanza Pasarín y Trinidad Lorde. La moderación de esta mesa estará a cargo de Leonor Herrera y eh cada ponente tendrá 15 minutos para exponer y al final de las exposiciones habrá una ronda de preguntas, preguntas que pueden hacer a través de los QRS, que ya podrán haber visto que están dispuestos en distintas partes del auditorio. Sin más, dejo a nuestros panelistas. Hola a todos y todas. Buenos días. Primero que todo, me gustaría agradecer la invitación a los coorganizadores, a la AGPD, a la SEC, obviamente, a a la UDP por la organización y también a DOE, que nos ayuda a que esto también puedan escucharlo y participar eh desde sus lugares de trabajo o incluso en regiones. Tengo el honor de presentar a estas tremendas profesionales que nos acompañan en el primer panel. Catherine Muñoz, Catherine, si puedes pasar, es abogada de la Universidad Central de Chile, tiene un LLM en derecho internacional por la, voy a intentar pronunciarlo bien, les pido disculpas. eh Ruprcht Carl Universal, inversiones, comercio y arbitraje de la Universidad de Chile. Es también directora de la AGPD, Asociación Gremial de Protección de Atos. Caterine, un aplauso para Caterine. También nos acompaña Constanza Pasarín, que es abogada de la Universidad Adolfo Iváñez con Máster en Propiedad Intelectual, tecnologías de la comunicación y redes sociales por ESADE Business and Law School de Barcelona. Es manager de compliance y protección de ATOS Nij Chile y también es directora de la AGPD y socia de la ASEC. Un aplauso para la CONI. Y finalmente nos acompaña en este panel Trinidad La Borde, que es abogada de la Pontificia Universidad Católica de Chile y Máster en Derecho y Tecnología por Tilburg University. Cuenta con diplomas en protección de datos personales, compliance y ciberseguridad y certificación SIP. Actualmente se desempeña como manager de protección de datos y compliance en SEJAT Chile. Un aplauso para Trinidad. Como se señaló anteriormente, tienen 15 minutos para hacer su exposición. Yo me voy a sentar abajo para no interrumpirlas y como no tengo micrófono les voy a levantar la mano y les voy a avisar a los 5 minutos y después a los 2 minutos, pero les agradecería que me hagan una seña cuando ya me vieron la mano levantada para poder estar segura que lo escucharon. Así que Catherine, eh, te dejo el micrófono. No importa, no está bien. Hola, ¿cómo están? Eh, un gusto estar aquí con ustedes. E, bueno, como decía un poco Pablo, también esta tema de eh protección de datos es bastante abrumador, dijo esa palabra. La ha escuchado varias veces, eh, y sí lo es. E no es algo inabordable, pero es una ley que es compleja por varias por varias razones, ¿verdad? Y quizás es muy importante e entender quizás el origen, ¿verdad? Si uno entiende el origen eh del nosotros tomamos de base para esta ley, el GPR, puede entender lo que les vengo a hablar ahora, que es del rol del DPO. Ya llegó. Ya vamos. Ya. Okay. Perdón, disculpen. Eh, ¿y por qué es importante entender el origen de la ley? A ver, eh, el GPR viene de un lugar bien humilde o bien vulnerable, que es la Segunda Guerra Mundial, ¿verdad? eh donde en posguerra, en época de posguerra ah las personas se dieron cuenta de que los datos personales en malas manos podían provocar mucho daño, eh mucho daño hasta el punto de, verdad, afectar derechos fundamentales de las personas. Ustedes puedan conocer, ¿verdad?, estas historias eh de las del tratamiento automatizado, los primeros tratamientos automatizados del censo por el ejército nazi, etcétera. Entonces, eh toda esta construcción, ¿verdad? Y lo que puede llegar a ser un tratamiento de datos malabidos, ¿verdad? eh se dieron cuenta que puede afectar todo el catálogo de derechos fundamentales. Entonces, e la la protección de datos que viene de Alemania, o sea, se originó en Alemania propiamente tal, ¿verdad? Eh, es una ley de derechos fundamentales. La norma local que recoge es toda esta estructura, ¿verdad?, entiende que existe un desequilibrio de poder e información sobre las personas. Entonces, eh en Alemania, como en los años 70, donde se originó la primera ley de protección de datos, empezaron a tener la sobre todo en lo en los en el sector público, ¿verdad? Se empezaron a poner nerviosos porque empezaron a comprar estos computadores enormes, ¿verdad? Y eh y tenían la memoria a flor de piel. Entonces, no, bueno, vamos a hacer una tenemos que hacer una nueva norma. eh y se originó la primera ley de protección de datos por los años 70. En esa época eh existía, ¿verdad?, una autoridad de protección de datos, pero eh alguien se dio cuenta que se llamaba Spiro Simity, que eh la ley llegaba siempre tarde porque la ley llegaba cuando el daño ya se había ya se había provocado. S, gracias. La ley llegaba cuando el daño se había provocado. Por lo tanto, dijeron, tiene que haber alguien dentro de las empresas, ¿verdad?, que eh que evite esto, porque si son una ley de derechos fundamentales, lo que lo que lo que tenemos que hacer no es sancionar, es evitar, ¿verdad?, que se produzca un daño, se produzca un daño en en los derechos fundamentales de las personas. Por lo tanto, de ahí nació la figura del DPO. Es super importante. Eh, bueno, ¿y quién es el DPO? No sé si han visto, pero es como un unicornio. Hay avisos, ¿verdad?, que piden eh, no sé, 15 años de experiencia es un cargo imposible que tienen que saber eh ingeniería, ¿verdad? Hacker, ninja, hacker ninja. Y también por otro lado tiene que ser super bueno para los negocios porque tiene que habilitar el negocio, etcétera. Entonces, primero, no sé quién tiene 15 años de experiencia en esto, pero eh yo lo he visto, lo hemos visto, ¿verdad? Eh, y nadie sabe para qué es. Y los gerentes se preguntan, "Bueno, ¿y por qué tengo que pagarle esta persona? ¿Por qué no puede ser el oficial de cumplimiento? Que el oficial de cumplimiento ya está haciendo otras cosas también, ¿verdad? Entonces, eh, ¿qué qué es el DPO? Y volvamos al origen, el DPO es aquella persona que tiene que evitar que se provoque un daño en la afectación de los derechos fundamentales de las personas. ¿Trabaja para la empresa? Sí, claro que sí, pero su función es más bien orquestador, es ah un punto medio, ¿verdad? Eh, un un punto de contacto entre la autoridad y las personas y eh más bien es un puente, es un puente que les ayuda a la a las empresas a construir confianza, etcétera, pero no es un defensor de la empresa propiamente tal, ni no es un auditor ni es un asesor jurídico, ¿verdad? Eh, ni es un oficial de seguridad un ciso. Eso eso está muy eh bueno, eso ya se los conté. Entonces, ¿es obligatorio tener un DPO? ¿Ustedes saben la respuesta? No, no depende. Sí, la ley dice que no, no obligatorio, pero yo tengo que hacer una gestión de riesgo, ¿verdad? Cuando yo hago una gestión de riesgo, depende de la empresa. Tener un DPO de por sí es una mitigación de riesgo. Si yo quiero hacer una buena gestión de riesgo, ¿verdad? Eh, tener un DPO es una mitigación en sí misma. Hay organizaciones que por su estructura lo necesitan. No, no es obligatorio legalmente, pero si yo quiero cumplir, ¿verdad?, con todas las obligaciones de la ley, en muchos casos sí lo es, así que hay que tener mucho ojo con eso, ¿verdad? Eh, ¿y cuándo lo es? Porque yo adopté el modelo de prevención de infracciones o porque yo considero de acuerdo a mis matrizes de riesgo, ¿verdad?, y a mis análisis y calibración de riesgo, que es necesario, tiene un cierto estatuto porque así como supongo que acá hay varios oficiales de cumplimiento, ¿verdad? Eh, necesitan independencia. Necesitan independencia y una una vía directa a el directorio, ¿verdad? Es muy importante. Entonces, este unicornio tiene que tener una comprensión jurídica. Evidentemente, no necesariamente un DPO tiene que ser un abogado, puede ser perfectamente cualquier otra profesión, eh, siempre y cuando con tenga una comprensión jurídica, tenga una comprensión técnica y una visión de negocio. Es super importante. Esos son como los tres elementos esenciales. A veces hay empresas que le se se se tiran más para un lado o para otro, pero en general siempre un DPO tiene que tener estas tres variables. Entonces, ¿qué significa? Significa que si es un abogado tiene que estudiar temas técnicos, tiene que saber perfectamente cómo funciona un data discovery, la encriptación, cuál cómo es la eh cómo está cuáles son las medidas seguridad de los de los datos de tránsito, de los datos eh almacenados, etcétera. ¿Cómo yo tengo que tratar los datos sensibles y cuáles son las medidas técnicas para tratar los datos sensibles, ¿verdad? Y además tiene que tener una visión de negocio, tiene que habilitar el negocio. Yo no conozco ninguna empresa, no importa el sector que no tenga un negocio con que esté no esté relacionado con datos personales. Entonces, eh tiene que habilitar el negocio, pero dentro del contexto del cumplimiento de la ley, ¿verdad? Ahora, como les decía, no necesariamente tiene que ser abogado. Aquí no nos tomamos el monopolio de los DPO, ¿vale? Eh, tiene que tener un conocimi evidentemente como acá no tenemos ninguna base, ¿verdad?, el DPR y todas las construcción que se ha hecho en Europa, si bien es para otro contexto, no para el nuestro, es donde nosotros que trabajamos en esto, ¿verdad?, nos eh nos basamos nuestro trabajo. Básicamente acá no hay interpretaciones porque no hay una autoridad, recordemos, ¿verdad? Por lo tanto, tenemos que hacer un malavarismo y un equilibrismo técnico en contraer normativas, sentencias, teorías, etcétera, de Europa a un contexto que es totalmente distinto, que es en Chile. ¿Okay? Ya. Bueno, eh las funciones principales del IPO, ya me voy a ir super rápido, eh informar, obviamente, asesorar sobre el cumplimiento de la ley, supervisar el cumplimiento, ¿verdad? La promoción de la cultura es super importante. La cooperación con la autoridad, la autoridad se relaciona exclusivamente con el DPO, ¿verdad? Asesorar las evaluaciones de impacto, asesorar los RAT, el DPO no les va a hacer el RAT, no les va a hacer las evaluaciones de impacto. No debería porque no puede ser super, o sea, no puede ser juez y parte, ¿verdad? Entonces, el rol de supervisor es super importante y entenderlo desde esa manera. eh coordinar los derechos ARSOP, ¿verdad? Eh, coordinar, no hacer toda la pega detrás, sino que coordinarlo porque evidentemente una de sus funciones es ser el punto de contacto entre las personas naturales y las empresas. ¿Okay? Ah, como les digo, en en conclusión, el DPO es el e dirige la orquesta. Ya, eso es super importante porque acá eh muchas empresas pueden creer que el DPO puede cumplir otras funciones o que el DPO yo lo contrato, ¿verdad? Y tiene que básicamente implementar toda la ley de protección de datos y luego ejercer el cumplimiento continuo y no es así. Okay. Entonces, ¿qué nos hace el de Pó? No puede definir políticas, ¿verdad? Puede proponer, pero no puede definir estrategias ni políticas porque no es el que toma las decisiones. Recordemos que la ley dice que el responsable del tratamiento es la empresa, es la empresa la que toma las decisiones, no el DPO. ¿Okay? eh no puede implementar medidas técnicas iniciativas, no puede ejercer la representación judicial porque no representa los intereses de la empresa, tiene que representar, ¿verdad? O sea, si bien trabaja para la empresa, ¿verdad? no puede tener un conflicto de interés en materias judiciales, etcétera. Eh, tiene que tener una independencia y una estructura ah que le permita ejercer exclusivamente sus funciones. No puede, como les decía, ejecutar las evaluaciones de impacto, ni aprobarla, ni asumir la auditoría, ni eh ser el oficial de cumplimiento. Con esto quiero cerrar. No puede ser el oficial de cumplimiento porque se se producen conflictos de interés. El oficial de cumplimiento necesita no conformidades, ¿verdad? Anda buscando las no conformidades. El DPO no debería importarle si existen no conformidades. Lo que necesita, ¿verdad?, y lo que busca y su objetivo es que se cumpla la ley, independiente si hay o no conformidades. Entonces, a veces los intereses y los incentivos son distintos. Por lo tanto, el cumplimiento de otros roles propiamente tal es bastante difícil. Por eso es una es un cargo que es un cargo que es complejo, que es un poco entendido, pero es muy necesario. Finalmente está usted aquí eh cumplir con la ley y evitar sanciones el premio consuelo. Esto es super importante que lo tengan presente, es un premio consuelo, evitar sanciones. Acá lo importante es buscar la ventaja competitiva, ¿verdad? eh buscar básicamente honrar la confianza y y aquí la la moneda de cambio siempre es la confianza en los negocios, ¿verdad? Y entonces el es aquella persona que les va a ayudar, ayuda a todas las empresas a hacer eso. Entonces, es eh no lo miren, no le teman, no le miren a mal, no lo teman, sino que eh compartan la el conocimiento también y la función del DPO, sobre todo para por una parte proteger a las personas, proteger la confianza, proteger los activos de una empresa, ¿verdad? Y también promover la innovación y habilitar los negocios. Gracias. Muchas gracias, Catherine, por tu exposición, muy eficiente además, así que vamos a tener tiempo para preguntas. Ahora los dejo con Pasarín y la ponencia, un segundo que tengo aquí está la ponencia diferencias entre responsable y encargado. Muchas gracias, Leonor. Muy buenos días a todos. Muchas gracias por venir a participar de este seminario. Estamos muy contentos de poder compartir experiencias eh y como bien decía Pablo, dolores de cabeza diarios en cuanto a los profesionales de esta materia. Eh hay que hacer malabares muchas veces para interpretar. Así que hoy día, bueno, hoy día vamos a hablar de un de un tema recurrente y conocido, yo diría, que son los roles de el responsable del tratamiento y el encargado. E si bien vamos a conversar un poco de lo que sucede en la ley, también mi idea es que podamos solventar temas prácticos y que queden en claro ciertas funciones y también quizás algunas eh superposiciones que se pueden quizás confundir en la práctica para que queden más claros el día de hoy. Primero eh ah tengo acá el dos roles, dos régimenes distintos. Sabemos que el responsable del tratamiento de datos es la entidad o la persona natural o jurídica que decide el para qué y el cómo del tratamiento. Esos son los elementos claves. Es decir, cuando nosotros nos preguntamos qué rol estamos cumpliendo, tenemos que hacernos esta pregunta. ¿Para qué y cómo eh se tratan los datos? ¿Lo estamos definiendo nosotros como entidad? Por ejemplo, ejemplos básicos. Si yo soy una empresa cualquiera que decido contratar un software que me ayude a la gestión del recurso humano, probablemente voy a ser el responsable, pues mi nómina de trabajadores eh yo la decido, yo la manejo y voy a a buscar un tercero que me ayude en esa función. Por tanto, ese tercero va a recibir órdenes de mías como responsable. Luego, un banco, por ejemplo, que otorga un crédito de consumo, una universidad que gestiona los datos de su alumno, clínicas que trata datos sus pacientes, etcétera. O sea, los ejemplos más evidentes son cuando estamos ante una situación donde nos tenemos que preguntar, ¿nosotros definimos qué estamos haciendo con esta información o el tercero? Si la respuesta es nosotros somos responsables. Por otro lado, el encargado, que es el otro rol que estamos conversando el día de hoy, trata los datos por cuenta del responsable, es decir, recibe instrucciones. Ya ahí en este caso tenemos el proveedor de recursos humanos, por ejemplo, clásico ejemplo, Book, WordC y todos los que Talana, todos los que usan las empresas hoy en día. Por ejemplo, un call center que puede recibir e instrucciones de un cliente para que gestione gestione los la cartera de cliente y llame para efectos de cobranza, por ejemplo, sería un responsable. O la nube donde se alojan los datos como AWS, Asure o otros. Ya, aquí la distinción básica es que el encargado del tratamiento puede adoptar todas las decisiones organizativas y operacionales necesarias para la prestación del servicio que tenga contratado. Es decir, puede decidir cómo lo va a hacer en cuanto a las operación eh y los sistemas, etcétera, que puede usar, pero en ningún caso va a variar las finalidades de la instrucción que le entregó el responsable, ya, ni los usos de los datos que le pidió hacer, ni los puede utilizar para otras finalidades. ¿Por qué? porque si lo hace va a actuar como responsable respecto de ese tratamiento. Por eso es super importante cuando nosotros hablamos con los clientes en general de que formalicen sus contratos eh de encargo, que bueno, vamos a hablar también que va más allá del papel e porque se definen responsabilidades y nosotros podemos después delimitar en caso de que el encargado se extralimite en lo que nosotros le pedimos, porque en esos casos va a actuar como un responsable de ese tratamiento. Entonces, es super importante definir estas responsabilidades. ¿Cómo saber si un tercero es responsable encargado? Ya lo dijimos antes. Primero, ¿quién decide el propósito? Si lo decidimos nosotros, somos responsables. ¿Quién elige los medios esenciales? es decir, qué datos se tratan, cuáles son las categorías, cuánto tiempo, para qué, etcétera, somos responsables. Si el tercero eh se actúa bajo instrucciones, bueno, va a ser encargado y quien respondea al titular siempre va a ser el responsable. Si nosotros en el fondo mandatamos un servicio, un tercero actúa nuestro nombre, eh nuestro nombre como encargado y luego ese tercero mete la pata, que ya vamos a ver un caso, el que va a responder es el responsable. Entonces es muy importante eh esa distinción. ¿Qué debe hacer cada organización según su rol? El responsable tiene obligaciones eh esenciales que son, ya les comenté antes, celebrar el contrato en cargo con menciones mínimas obligatorias que indica el 15 bis de la nueva ley de la 19,628 modificada por la 21,719. Elegir siempre un encargado que ofrezca garantías suficientes. Ya, eso es super importante. Eh, auditar y supervisar al encargado. Esto lo vamos a conversar a raíz del caso, pero yo cuando estuve en Europa me tocó ver muchas veces los contratos de encargo donde poníamos esta cláusula maravillosa de auditar y supervisar. Y yo me decía, yo les preguntaba, ¿alguna vez hemos auditado algún encargado? No. Y y ¿por qué? Porque no se puede, porque qué nos van no nos van a dejar, ¿cómo vamos a hacerlo? Y era como, sí, pues efectivamente es raro, pero estaban todos los contratos de encargo. Ya. Eh, registrar las actividades del tratamiento según el rol obviamente eh que que hagamos. el el encar el responsable va a tener que notificar eh brechas a la agencia eventualmente y al titular cuando corresponda, ya en caso de que el tercero meta la pata, como les decía antes, y eh responder, obviamente, al de titular, eh aunque el error sea del encargado. Y por otro lado, el encargado solo debería tratar los datos bajo las instrucciones que le entregó el responsable. debería siempre mantener la confidencialidad, es decir, solamente debería comprometer en el tratamiento del personal autorizado para aquel tratamiento, ya no a toda la organización. Siempre debería eh eh estar pendiente de que no se eh no se vulneraran las medidas de confidencialidad. En ese sentido tiene que aplicar medidas de seguridad apropiadas al riesgo de los datos que estamos tratando. Efectivamente, si estamos frente a un tratamiento de datos sensible, las medidas de seguridad aplicables a ese tratamiento deberían ser más elevadas si es que son datos comunes. Por ejemplo, eh notificar siempre las brechas al responsable sin dilaciones indebidas. Ahí tenemos de nuevo eh interpretación sin delaciones indebidas. ¿Qué es eso? No sé, no sé cuánto, cuánto tiempo será eh en la práctica. No subcontratar sin autorización prueba y el responsable. Esto es super importante. Si es que el tercero utiliza proveedores, por ejemplo, subencargados para proveer su servicio, debería siempre avisarle al responsable que lo está haciendo. Entonces, eh en los contratos de encargo, esto debería estar siempre plasmado. Eh nuestra sugerencia siempre es como dejarlo un poco abierto porque evidentemente los encargados van a tener sus encargados, pero eh hay casos quizás que es más complejo y se podría ir viendo caso a caso si lo vamos a prohibir a priori o no. y obviamente registrar las actividades propias del tratamiento en caso que sea encargado, porque también me sirve de evidencia y para saber cuáles son en este caso e mis responsables a los cuales yo les tengo que responder ya. ¿Qué puede qué puede hacer Chile hoy según la experiencia de la Agencia española de Protección de Datos? Ya mirando un poco para fuera, eh obviamente eh formalizar los contratos de encargo del tratamiento con todos los terceros encargados que tenga. Eh en la ley nuestra dice que la agencia va a proponerem cláusula en este tipo, contratos tipo, etcétera, no hay hoy en día. Entonces podemos mirar lo que publicó la EPD en su momento y adaptarlos a la realidad local para empezar a gestionar esto hoy. Después, la supervisión material no solo formal, esto es super importante porque la Agencia en España sancionó a empresas que confiaron solo en los cuestionarios o en los contratos sin verificar realmente lo que hacía el tercero. Ya. Entonces ahí nos da una elección de que nosotros como responsables no tenemos una mera obligación formal. sino que también eh práctica, digamos así, proactiva también. Eh hoy día se puede definir en estos contratos que estábamos hablando eh eh quién notifica en qué, o sea, cuándo va a notificar el encargado, en qué plazo. Ya dijimos que la normativa chilena dice sin delaciones endebidas, pero eso tiene que estar supercrato de encargo para que no tengamos pues problema. También, por ejemplo, en el caso de los derechos arco podríamos poner o Barsop, que nosotros le decimos porque siempre se olvidan del bloqueo, debo decirlo todo. Usted se olvidan del bloqueo Barsop, eh, es que e deberíamos el encargado podría también responder frente a estos derechos de los titulares si nosotros lo dejamos así en el contrato. O sea, son cosas que se pueden ir gestionando ya. E como les dije antes, si el encargado no sigue instrucciones del responsable, eh, frente a esos tratamientos será responsable. Y también deberíamos exigir medidas técnicas mínimas en los contratos de encargo, como por ejemplo cifrados, pseudonimización, accesos, eh disponibilidad, plan de recuperación, etcétera. Ya, esto es super importante que lo dejemos bien plasmado por lo que vamos a revisar ahora. Caso práctico. Iberia fue multado por un condoro del encargado. ¿Qué pasó? En enero del 2023, un atacante externo explotó un DOS con vulnerabilidades conocidas ya desde el 2017 y 2019 en sistemas del encargado del tratamiento. Ya ahí lo que dice la resolución es que existían parches para en fondo eh arreglar este esta vulnerabilidad y no se aplicaron. Ya, el encargado en febrero de 2023 notificó a Iberia del incidente. Ya se confirmó el acceso no autorizado a los datos de los empleados y otros representantes del cliente. En febrero del 2023 también Iberia notifica la brecha a la agencia y en ese momento ya había certeza de filtración de datos personales. La investigación confirmó que efectivamente se filtraron nombres, email, teléfonos, credenciales, datos de vuelo, etcétera, etcétera, etcétera. La agencia investigó y concluyó que efectivamente Iberia no ejerció un análisis de riesgo adecuado ni supervisión real respecto del encargado, ya que las vulnerabilidades, por un lado, eran conocidas públicamente y que no hicieron nada. Entonces, ¿qué razonó la agencia? dijo primero que la responsabilidad no se traslada al encargado. Ya el responsable siempre responde, aunque sea un error del proveedor. Y Veria era responsable de este tratamiento y por tanto debía garantizar la seguridad de esos datos. La supervisión es formal, es decir, tiene que haber una supervisión real. Lo que yo les decía antes, es verdad esta cuestión. En la práctica siempre se quedaba con el papel y todos nos quedamos tranquilos con que el contrato estaba firmado, listo, podíamos auditar, nunca se auditaba. Pero en este caso particular, la autoridad dijo, la autoridad, perdón, dijo, "Bueno, no basta con que usted confíe en que su proveedor le contestó el cuestionario de medidas de seguridad aplicables, que tiene certificaciones ISO, etcétera. Si usted en el fondo pone en el contrato de encargo que lo va a auditar y no lo audita, ten un problema. Ya también dijo que había vulnerabilidades desconocidas por Iberia y que esto obviamente era una negligencia grave. Y por último, e en el fondo, si bien los documentos de análisis no identificaban algún riesgo, había que responder con medidas formales. Ya en estos casos eh sancionó a Iberia con 650,000 € por infracción del 5.1F del GDPR, integridad y confidencialidad. Es una sanción muy grave y bueno, medidas correctivas, adoptar medidas de seguridad adecuadan 6 meses más, obviamente la multa. ¿Qué podemos aprender de este caso? Seis lecciones que nos dejan. Primero, que cuando somos encargados nos basta con firmar el contrato. Eso no te exime, digamos, de verificar que el el encargado está cumpliendo con lo que te dijo en el contrato. Ya hay una supervisión proactiva, no solo documental. El análisis de riesgo, en caso de que sea necesario hacerlo, siempre debe tener sustancia real. Eh, si las vulnerabilidades son conocidas por el responsable, también son problemas del responsable, en este caso lo era y la autoridad en el fondo enfatizó en eso. Las certificaciones ISO u otras no eliminan la responsabilidad del responsable. Ya el el responsable debe verificar que esto simplemente de verdad. Eh, la decisión porque en este caso también Iberia decidió no notificar a los titulares, ya porque dijo que había implementado medidas de mitigación suficientes para que el daño no se provocara. Bueno, en este caso la autoría dijo que eh no fue suficiente y lo sancionó también por eso. Entonces siempre la recomendación es si tenemos duda en cuanto a la notificación a los titulares, ya que no siempre va a ser en todos los casos, eh mejor notificar y el encargado y el responsable al final son la misma cara ante el titular, ante al regulador eventualmente y deberán coordinar su funcionamiento para efectos del cumplimiento en estos casos. Conclusiones. El rol no lo crea el contrato, lo crea la realidad. Entonces, es muy importante analizar bien lo que se está pidiendo y qué se hace en la práctica. El contrato de cargo igual debe siempre formalizarse y algo que deberíamos estar haciendo hoy. Olvídense del NDA, por favor, me da un ataque cardíaco cada vez que dice, "No, tenemos no el contrato de encargo. El responsable no se exime por error del encargado, supervise de verdad a sus proveedores y bueno, en caso de Iberia nos muestra que las certificaciones de papel o la certificación, la pegatina que decimos nosotros es suficiente. Siempre hay que verificar qué se está haciendo eso. Muchas gracias. Muchas gracias, Constanza. Les recuerdo que tenemos el espacio de preguntas al final. Tenemos aquí un panel muy eficiente, así que aprovechen de enviar las preguntas al QR. Y finalmente le doy la palabra a Trinidad la Borde, que nos va a hablar sobre el compliance Officer y cuál es su rol ahora. Ahí está. Vale, muchas gracias, Leonor, muchas gracias a todos. Eh, bueno, vamos a hablar hoy día eh del mundo perfecto. Ya. A mí siempre me gusta partir haciendo esta aclaración eh porque me parece que es un dolor del que se habla. Siempre acá hablamos de nos imaginamos una entidad que tiene un CISO, un compliance officer, un DPO, un encargado que notifica la WAF, así increíble. Y tú decís, "¿Y y quiénes tienen eso?" 97% de las empresas en Chile son pymes, entonces tenemos esa capacidad de tener esa cantidad de gente. Tenemos un organigrama así de grande. Yo me he topado con muy pocos clientes que lo tienen ya. Entonces creo que es un dolor grande del que se habla y e y saber empezar con con esa teniendo presente que vamos a hablar eso del mundo ideal. ¿Por qué? A pesar de que es tan difícil tener este mundo ideal, vamos a hablar de todas maneras del mundo ideal, porque eh si llegamos a tener una entidad, una organización en la que vamos a asignarle dos roles a una persona, Dios no lo quiera, pero puede ser así, eh, o simplemente no vamos a tener roles asignados, sino que una persona se va a hacer cargo de todo. Es muy importante que esa persona sepa dónde están los límites, eh desde dónde se tiene que mover, cuándo tendría que eh eh cambiarse un poco este rol y entender desde qué mirada eh abarcar cada tema que tiene eh por delante. Ya. Entonces, a pesar de que no estamos en el mundo perfecto, eh vamos a hablar de este mundo perfecto para que la gente que no lo vive sepa cómo debería ser y eh se enfrenta a la realidad de esa manera. Ya. Eh, el título es el compliance officer. Ahora, ¿cuál es el rol ahora? Eh, porque es el ahora. Eh, la ley 20,393 eh estableció esta figura del del encargado de prevención de delitos hace ya muchos años. Eh, este encargado cambió bastante su eh su rol o su sus funciones o en el fondo se le dio este segundo aire, por así decirlo, con las modificaciones de la ley 21,595, eh, que incluyó modificaciones a la ley 21393 Y, eh, el pobre compliance officer como que logró subirse a este carro eh el 2024 y y dijo, "Ya tengo controlado todos estos delitos de la 21,595." De repente le dicen sorpresa, protección de datos 21,719, modificaciones a la 19628 y el pobre compañ dice, "¿Y ahora qué?" Entonces, el ahora qué e es lo que vamos a a ver. ¿Por qué es importante? Porque gran parte de las funciones que cumple el compliance officer la hace con datos, con datos personales. ¿Ya? Entonces, aquí vamos a hablar eh vamos a tocar principalmente dos temas. Por una parte, e esta pregunta que suelen hacernos en la oficina que es como, "Oye, ¿y podría ser el compra official el DPO también?" Y la segunda pregunta es, "Oye, ¿y puedo poner la matriz de riesgos de protección de datos en la matriz de riesgos de compliance?" Entonces, vamos a hablar de eso y de cómo esto toca también al compliance officer. ¿Ya? Entonces, eh si se van a ir de acá con una idea después de esta presentación, al menos la mía, por favor, sepan que el mundo penal y el mundo de protección de datos, no los mezclen, no los junten, no van juntos, ya van por vía separada. ¿Por qué van por vía separada? Hay una diferencia de espíritu normativo, ¿ya? Hay que entender eso. Eh, ¿qué es lo que hace el compliance penal? evita eh conductas prohibidas. Ya. Eh, en datos lo que intentamos hacer es habilitar el tratamiento de datos, o sea, que se pueda hacer tratamiento de datos dentro de márgenes determinados con protección de los derechos fundamentales, eh, etcétera. Entonces, eh es eh e son mundos superdintto. E el éxito cuando estamos hablando de compliance penal es evitar que el delito pase. El éxito cuando hablamos de protección de datos es lograr tratar el dato correctamente. ¿Ya? Entonces, en síntesis, compliance penal prohíbe la protección de datos habilita bajo ciertas condiciones. ¿Ya? Entonces, cuando hablamos ya derecha de la matriz integrada, ya esta pregunta de, "Oye, las junto las dos, ya podemos tener aquí una matriz integrada entre comillas, pero con módulos separados, ¿ya? Porque la consecuencia práctica de reconocer estas lógicas distintas es que no podemos aplicar la mentalidad de gestión de riesgos penal al tratamiento de datos personales. ¿Ya? E entonces vamos a tener, por ejemplo, algunas cosas que conviven juntas, ¿ya? gobernanza corporativa junta, eh trazabilidad, registros, canales, eso en el fondo eh tienen en común, ya van a convivir en ese sentido. Eh, pero la matriz penal mira fundamentalmente el riesgo de la comisión de una conducta penalmente relevante y la exposición de la organización frente al riesgo penal. Cuando hablamos de protección de datos personales, no estamos hablando de la exposición de la organización un poco, pero principalmente estamos hablando de la exposición del titular de los datos. ¿Ya? Entonces, por una parte, yo estoy viendo cómo protejo a la empresa de este ataque penal, entre comillas, eh, ya sea que venga de dentro o venga de fuera. Y cuando hablamos de protección de datos, estamos viendo cómo protejo a la persona natural, al titular, a mi cliente, a mi trabajador, etcétera. ¿Ya? Entonces, eh cuando por eso cuando alguien mete los riesgos penal eh los riesgos de protección de datos en la matriz penal, a mí lo que me preocupa cuando hablamos con clientes y muchas veces también cuando escucho a otros colegas hablando de esto es eh importar esta mentalidad penal a un terreno que no corresponde. Ya. Eh y lo que empezamos a hacer es hacer un tratamiento de datos como si fuera un delito evitar. Entonces, como no, el dato no lo trates, no, no, bórralo, bórralo, bórralo y y no es la idea, o sea, nunca fue la idea de la ley de protección de datos. Ya. Eh, terminar zorra restringiendo, bloqueando tratamientos perfectamente legítimos eh y aplicando una lógica eh de cero riesgo e a a una ley que en realidad quiso habilitar tratamiento. Ya, esto des virtud de la norma de datos y va a ser que se aplique mal. Eh, y la segunda pregunta, ¿el dó puede ser el compliance officer? El DPO no puede ser el compliance officer. No debería hacerlo ya. Eh, ¿por qué? Hay dos razones principales. Una cosa eh funcional de de capacidad, el compliance officer es una persona que detecta riesgos, previene riesgo, establece controles, eh etcétera. Lo que hace el DPO, como bien dijo la CTI, eh es muy distinto, ¿ya? E y esta persona por ley tiene que tener ciertas habilidades, eh, como está ahí requisitos de idoneedad, etcétera, experiencia técnica, entre otras, ¿ya? O sea, ya el perfil va a ser distinto de la persona que estoy buscando. Y segundo, lo que hace el compliance Officer es tener intentar tener más datas para tomar mejores decisiones, para tener una mayor claridad de lo que está pasando dentro de la organización para prevenir este delito. Es perfectamente está perfecto que quiera tener más datos y eso pega. lo que quiere hacer en compliance eh el el DPO o en compliance protección de datos, por así decirlo, es siempre minimizar datos, tener la menor cantidad posible, tenerlas por el menor tiempo posible, etcétera. Ya. Entonces es son como, o sea, sería como un choque. Si está si esto viviera junto en una misma persona, tendría como dos almas chocando, como dame los datos, dame los datos, no, no, no, bórralos. Entonces como que tenía una una dualidad ahí muy muy un alma fragmentada. de pobre persona. Eh, entonces me dicen, "Entonces está prohibido?" No, no está prohibido. No, no. En ninguna parte de la ley dice que está prohibido. Y si y claro, y reitero, si una pyme lo va a terminar haciendo de una u otra forma, que por favor conozca esta es como alma fragmentada que va a tener que como levantarse un lunes y ser como un DPO y el martes y compliance officer y bueno, vamos a ver cómo lo hace este mártir de la regulación. Sí. E entonces, eh, ya concretamente, ¿qué debe considerar el e el compliance Officer en su día a día? Ya vamos a ver tres casos prácticos de eh de cosas a las que se enfrenta el compliance officer eh en donde podrían haber datos. ¿Ya? Y aquí vamos a ver por qué esta en el fondo, por qué es tan evidente es que es complicado cumplir estos dos roles a la vez o juntar estas dos matrices, etcétera. Ya. La plataforma de du diligence en general todos los compan Officer tienen esta plataforma de du diligence para gestionar conflictos de interés, para chequear a terceros, proveedores, colaboradores e revisar conflicto de interés, hacer screening contralistas, lo que sea. Aquí en general hay varias preguntas que tenemos que hacernos cuando nos enfrentamos a este tratamiento específico. O sea, nosotros dentro de protección de datos vemos ese tratamiento en el RAT y nos preguntamos muchas cosas. base de licitud, finalidad, eh qué datos tengo, etcétera. Pero hay hay tres preguntas como que se repiten harto en los clientes y que de repente son un poco más desafiantes de contestar, puede ser. Entonces las puse acá ya. Primera que es como no te preocupís si es de fuente de acceso público, todo esto está público. Ya. Entonces, primera cosa que hay que saber, eh no es una base de licitud la fuente de acceso público. Que esté en una fuente de acceso público no significa que yo puedo llegar y tratarlo, eh, etcétera. ¿Ya? Entonces, cuando tu proveedor de eh este servicio de du diligencia dice, tiene acceso público, no me relajo y digo, "Listo, ya me olvidé." No. Eh, de todas maneras tengo que tener una base de licitud que probablemente va a ser el interés legítimo y probablemente, o sea, y por tanto voy a tener que hacer un análisis de interés legítimo, una lía. Ya. Eh, segunda cosa, voy a tener que definir si esta persona es encargado o responsable. Ya, por defecto te van a decir, "No, es encargado." Probablemente va a ser encargado, pero ¿qué pasa si este proveedor además está usando esta data para tomar decisiones propias, para hacer alguna gestión propia? eh define estos perfiles que va a hacer, que te va a entregar, etcétera. Eh podría haber un caso de que la persona sea responsable. Entonces, no es como que digamos, "Ah, ya lo miro encargado, listo, ya es otro proveedor más, va a mi lista de encargado." Analicemos el caso a caso, analicemos qué es lo que se hace con cada una de la información que está manejando este tercero. Y lo último, eh, ¿qué medidas de seguridad vamos a tener? Ya, si vamos a tener en el fondo e un montón de información, volúmenes altos de información, vamos a tener que eh establecer alguna medida mayor de seguridad. Si vamos a tener eh data de repente un poco más eh riesgos eh como puede ser una condición socioeconómica de una persona, eh una afiliación sindical, una afiliación política, vamos a tener que tener medidas de seguridad eh extra. Entonces, eh en estos casos, en este caso, cuatro medidas concretas, e hacer esta avaluación de interés legítimo, si es que vamos a hacer base licitud de interés legítimo. hacer esta ponderación, eh hacer una evaluación de impacto en caso de que el tratamiento sea alto riesgo, una de pía, si es que vamos a hacer el tratamiento de altos volúmenes, vamos a hacer un perfilamiento, eh asegurarnos que este tercero que me está prohibiendo este servicio tenga política de privacidad en la plataforma, eh que cumpla con el principio de transparencia e y finalmente si es que va a ser un encargado efectivamente y procede eh tener un contrato de encargo robusto con finalidades, con eh con previsiones de reutilización de información, eh con trazabilidad, con seguridad, eh con una auditoría de papel, ojalá no como decía la Coni. E eso el segundo caso que vamos a ver donde el el compliance officer se enfrenta a estos desafíos en el canal de denuncia, ¿ya? Eh, va a contener datos personales del denunciante, del denunciado de terceros, puede incluir específica especialmente datos eh sensibles, información de la vida sexual, de salud, de afilación política o sindical, etcétera. ¿Ya? ¿Qué es lo que pasa acá? El riesgo es un poco más acotado. ¿Por qué? Porque ya desde compliance existe esta cultura de protección del denunciante, de protección del dato, del dato e de anonimización del canal de denuncia. Entonces, ya con desde compliance esto está un poco armado eh pensando en proporcionalidad y confidencialidad, pero de todas formas nos podríamos enfrentar algunos desafíos que están acá. Eh, almacenar demás, eh, acceso por diversos perfiles y, por supuesto, el tratamiento de datos sensibles que siempre va a ser un riesgo. ¿Ya? ¿Qué podemos hacer? segmentar perfiles e eh limitar acceso eh eh ay encriptar, eh dejar trazabilidad de quién accede a esta información, etcétera. Ya. Y el último caso son las investigaciones internas eh y el monitoreo. Eh este caso nuevamente podría ser considerado de bajo riesgo porque inherentemente está diseñado nuevamente considerando el debido proceso, etcétera. confidencialidad, anonimización, anonimidad, expectativa de privacidad de de de la de las que las personas que participan en la investigación, etcétera. Eh, de todas maneras, el complement ofice va a necesitar investigar, documentar, etcétera. Y aquí cuando vemos que de nuevo este caso como que e igual que el canal de denuncia presenta menos desafío, vemos que se acerca un poco a protección de datos. Entonces, como que volvemos a la tesis inicial. ¿Por qué? Porque acá con el objeto de asegurar el éxito de la investigación, el compliance officer está velando especialmente por los derechos de los titulares. Entonces ahí está atendiendo un poquito más a como su arista de protección de datos. Por eso aquí como que sí se juntan un poco más los controles y las medidas de seguridad. Entonces aquí vemos como que este como que se acercan estos dos mundos, ¿verdad? E bueno, y aquí los resguardos que el complement de implementar, definir finalidad, base licitud antes de iniciar cualquier investigación, aplicar proporcionalidad en el alcance de la búsqueda, acotar el periodo revisado, etcétera. Entonces, en síntesis, estos tres casos demuestran como distintas racionalidades en acción y estas como múltiples almas que van a vivir en en el en el corazón del compleyo de Soficer. E y desde y cómo desde complalógica por defecto va a ser un poco acumular información y prevenir eh tener más por si acaso y desde e datos va a ser un fondo menos información e limitarla, etcétera. E para cerrar, la esencia del compliance officer no cambió, ya sigue siendo prevenir delitos. Lo que cambió es el terreno donde se mueve. Ya hoy cada control que diseña, cada control que mantiene tiene que estar dentro de eh la protección de datos. ya eh tiene que estar adecuado a la normativa de protección de datos, tiene que ser un un socio estratégico del DPO, eh tiene que levantarle al DPO las dudas y decirle, "Oye, eh puede ser que acá tengamos una un problema, ¿cómo loamos?" etcétera. ¿Ya? Y eh bueno, para las pymes cuya estructura eh de repente no es capaz de aguantar esta estructura organizacional tan grande y esta pobre persona se tiene que hacer cargo de todo. La invitación es a distinguir eh conscientemente eh qué sombrero, qué alma voy a tener ese día e y entender los límites y roles de cada función y cómo estos dos mundos eh de repente se acercan, de repente se alejan, pero tienen racionalidades, metodologías y visiones superdintas. y es clave e entenderlo así. Eso. Muchas gracias. Muchas, muchas gracias, Trinidad, Catherine y Constanza. Ahora entiendo que tenemos un espacio para preguntas que vienen corriendo por ahí, pero es necesario usar este mejor eh tiene sueño. Ya vamos, tenemos varias preguntas, así que voy a hacer correr el tiempo un segundo y tengo aquí mucha tecnología en mis manos. Tengo dos micrófonos, dos iPad y no sé si soy tan hábil. Así que veamos primero el tiempo. Eh, voy a apagar este micrófono. Y acá una de las preguntas dice, ¿se escucha? La teoría de las funciones que hace el DPO está muy distante de la realidad. Ah, no sé si una pregunta o un comentario más en un contexto en que el conocimiento está tan incipiente y probablemente nadie más conozca de esto en las organizaciones. Ya, la pregunta es es bien compleja. Así que, ¿cómo se ejecuta esto en la práctica? Es bien difícil, es bien difícil ejecutarlo. Y acá hay que tener un, a ver, eh, como decía la Trini, en un mundo ideal, todo esto, esta ley está estructurada para un mundo ideal. Eh, en Europa, nosotros que tenemos de base, ¿verdad?, el GPR, eh cuando el GPR entró entró en vigencia en el año eh 2018, tuvo 2 años de vacancia legal, igual que nosotros, pero eh la autoridad española, la autoridad alemana, la autoridad francesa existían hace 20 años, o sea, hace 20 años estaban haciendo RAT. El GPR vino a perfeccionar, a dar más funciones, ¿verdad? A dar más obligaciones, pero eh toda la estructura existía. Nosotros no tenemos nada. Okay. Eh, eso eso es importante e considerarlo. Eh, por lo tanto, es un tremendo desafío y no hay una comparación, ¿verdad?, con lo que pasó en Europa, que igual a Europa le costó cumplir el JDPR, pero es que acá ni siquiera hay nada antes. Entonces, es un abismo, ¿verdad?, de eh falta de información y también de falta de práctica y de certeza jurídica hasta el día de hoy. Entonces, por una parte, ¿cómo se hace esto? O sea, bueno, acá es muy importante que la nueva agencia de protección de datos, ¿verdad? Además de su rol de fiscalizador, no hay que olvidar que tiene otro rol y quizás el más importante que es el de eh informar, ¿verdad? capacitar eh cambiar la cultura de un país, porque eso es necesario, ¿verdad? Acá eh es puesta entender que esta ley es una ley usuariocéntrica, ¿verdad? Como decía también la Trini, que eh eh hay que ponerse desde la perspectiva de los titulares, son los derechos de los titulares, ¿verdad? los que están en juego, los que los que calibran los riesgos, etcétera. Eh, y a partir de ahí entender la figura del DPO es difícil porque ya a una empresa le cuesta ponerse eh en en el riesgo del otro, ¿verdad? Entonces, eh en la práctica se necesita primero una conciencia y y primero una conciencia del negocio también. Eh, a veces las empresas eh pueden eh pueden entender como que esto es un eh paraliza el negocio, ¿verdad? Eh porque claro, hay que proteger los derechos de las personas y por lo tanto alguien puede decir, "¿Sabes que ya no podemos hacer seguir con este proceso de negocio porque es muy riesgoso." Eh, pero hay que buscar la forma, ¿verdad?, de encontrar, insisto, no nos podemos quedar con eh solo evitar sanciones, tenemos que ganar, ¿verdad? a buscar la ganancia en esta ley. Y la ganancia en esta ley está en sero de su sector, en seraja competitiva, en que si son una empresa B2B, sea una empresa B2B fácil de trabajar, ¿verdad? Porque tienen un programa de cumplimiento de protección de datos robustos. Si son una empresa B2C que tienen el un sello, ¿verdad?, de de confianza y la y de que honran la confianza eh de sus clientes y eso se traduce en dinero, en ingresos, ¿verdad? Y el DPO efectivamente ayuda a eso. O sea, sin sin un DPO es bien difícil lograr eh este nivel que les digo que va más allá de de del de evitar sanciones, sino que básicamente lograr, ¿verdad?, eh posicionarse, posicionar una marca, etcétera, como e protectora de derecho, ¿verdad? Muchas gracias, Kaat, porque alcamos hacer algunas preguntas muy interesantes. Oye, yo quería decir que qué fascinada con la idea de este mundo ideal donde en el 2024 todos los oficiales de cumplimiento tenían listo como el control de de todos los delitos de la ley 21,595. Lo encontré maravilloso. Eh, otra pregunta es, ¿cuáles son los límites de actuación del DPO respecto de la toma de decisiones sobre tratamiento de datos personales y funciones y responsabilidades que le corresponden al DPO durante la evaluación e implementación de la plataforma? Eh, la pregunta también es un poco compleja, pero quedémonos con cuáles son los límites de actuación del DPO respecto de la toma de decisiones sobre tratamientos. Pero Kati, dejemos que conteste la coniola y la estinca do yo. Dale. Eh, vale. El DPO no tiene que decidir sobre la, o sea, la finalidad propiamente tal de la del tratamiento de datos. Eh, eso lo va a definir cada una de las áreas y el DPO tiene que coordinar esta e o sea, esta estructura. Ya. Pero el DPO no te va a decir, "Oye, la finalidad del tratamiento de datos en este caso eh compliance officer es que tú hagas tus investigaciones de conflicto de interés." Eso lo tiene que determinar cada área. Si cada área sabe para qué usa los datos que tiene. Eh, el DPO va a coordinar los esfuerzos, eh, va va a decirle, "Tienes que tener una finalidad." Sí. Okay. Tu finalidad eh va a caer, eh lo puede guiar de repente, mira, dentro de eh de esta finalidad eh eh vamos a usar esta baseitud eh etcétera, pero no va a definir los fines eh y medios del tratamiento. Ya. Muchísimas gracias. Aquí hay otra pregunta. Yo sé que las personas del público pueden tener preguntas. Porfa, consíganse el QR. La soledad puede levantar la mano para que alguien que tenga un QR al frente le mande un papel, por favor. Gracias. Ya. Entonces, ¿cómo deberían regularse el tratamiento en el caso de encargados que llevan actividades de almacenamiento en el extranjero? ¿Cómo podría ser una nube dado que en rigor sería una transferencia internacional? Eh, gracias. Sí, efectivamente, en esos casos, cuando el proveedor está en el extranjero y el el tratamiento de datos se hace por encargo, en ese sentido, también hay que considerar las transferencias internacionales en ese caso. Y antes de iniciar una transferencia internacional, siempre es recomendable hacer la tía la tía famosa o la evaluación de riesgo en cuanto esta transferencia para determinar si estamos hablando de un país adecuado o no y si no es un país adecuado poner otras salvaguardas que la ley no nos da para poder en el fondo legitimar ese tratamiento. Pero efectivamente también hay que considerarlo dentro del encargo si es que esto va a ser así y deberíamos plasmarlo también así formalmente en ese sentido. Ya. Hay otra pregunta que yo creo que más o menos como que fue el enfoque de las ponencias, pero de repente podríamos como enfocarla en el sector público. Ya ahí está más o menos dirigida la pregunta. ¿Cómo ven ustedes la doble función que tendrán responsables de riesgos? O sea, segunda línea, lo que hablábamos, el encargado de aprensión de delito, el compliance officer, etcétera, con el DPO de nuevo en el sector público, ¿no? El que el sector público tiene que tener eh designado una persona que se haga a cargo de esto separado de de la de la otra de la segunda línea. O sea, en sector público debería tener un un encargado de PO eh por separado de todo lo que es gestión de otros riesgos. Eso no no va no va a poder convivir el sector público, esa pequeña pyme del sector público sí va a tener que tener los dos. Yo tenía una pregunta también, Kate, ahí sí me queríis contestar. En el caso en en el que señalaste que las políticas no las definía el DPO y que las definen en el fondo la empresa, ¿cuál es la autoridad o en el fondo cuál sería como las facultades que tiene el DPO dentro de una organización si no da las directrices? A ver, eh la idea de que el DPO sea un asesor y un supervisor, ¿verdad?, del cumplimiento de la ley. Por lo tanto, eh la ley también dice que quién quién es el responsable, el sujeto obligado de la ley, ¿verdad? La el responsable del tratamiento es quien determina los fines y los medios. Por lo tanto, no es una función del DPO, ¿verdad? determinar ni los fines ni los medios del tratamiento, ni cómo eh y ni cómo se dentro de los de los medios, ¿verdad? El para qué y el cómo, el cómo tampoco lo determina el DPO y dentro de eso están todas las políticas. Evidentemente que eh esa es una función de gestión y quién lo hace, bueno, ahí depende de cada empresa, pero en general o puede ser un directorio, un comité, ¿verdad?, o el gerente general, eh pero eh la función es netamente de gestión propiamente tal, no es la función del IPO. Sú eh otra pregunta es, ¿qué pasa cuando los establecimientos educacionales contratan una plataforma como Microsoft, pero no directamente, sino a través de una empresa que actúa como intermediario o reseller? Me encanta esa pregunta. Eh, no, ahí efectivamente mi papá justamente es reseller, entonces yo me metí a esas estos temas por él básicamente y efectivamente ahí general, bueno, es complejo igual, pero va a ser generalmente un encargado, el partner que te implementa el software de Microsoft 365, no sé qué, y va a actuar de la misma manera. O sea, generalmente esta persona, esto, esta empresa va a seguir instrucciones del responsable porque lo que va a hacer es configurar la plataforma, va a hacer todo el, por ejemplo, la la implementación del RP o el CRM o lo que sea, pero el que realmente toma la toma las decisiones de la inform de la respecto a la información que ahí se carga es el responsable y muchas veces este este tercero ni siquiera tiene acceso a los datos a menos que el encargad el responsable le dé acceso, por ejemplo, en una vulnerabilidad o cuando haya que hacer algo en específico, porque se trabaja muchas muchas veces en ambientes de prueba con datos que no son ni siquiera de la empresa. Entonces, al final funciona como encargado. Muchas gracias y eso sería todo para este panel. Les pido que por favor le vuelvan a dar un aplauso. Muchísimas gracias, Catherine, Trinidad y Constanza. una parada, pero pero acá atrás o acá adelante. ¿Qué está pasando? No es el tres. Una, dos, más. Bueno, No. Bueno, muchas gracias a quienes participaron en nuestro primer panel. Ahora, gracias. Ahora tendrá lugar el segundo panel titulado Desafíos para el sector privado. Esta mesa estará integrada por Oliver Ortiz, Ignacio Gallardo, Luis Emilio Ríos y Nicole Figueroa. Y la moderación estará a cargo de Joaquín Gana. Muchas gracias. Hola, buenos días. Les pido a los panelistas que se vayan acercando, por favor, para poder presentarlos. Mi nombre es Joaquín Gana y tengo el honor acá de moderar eh un tremendo panel donde conversaremos un poco de los desafíos desde el punto de vista del sector privado. Voy a ir presentando a cada uno de nuestros distinguidos ponentes. Eh, comenzaré por don Oliver Ortiz, quien es abogado de la Universidad de Chile, diplomado en datos personales de la misma casa de estudio y certificado como SIP por la International Association of Privacy Professionals. es gerente senior y líder del área de intangibles data y tecnología de legal. Por favor, también tenemos a don Ignacio Gallardo Astorga que es abogado de la Universidad de Chile y magíster en derecho digital por la Universidad de Barcelona. es chief legal officer de Ley de Datos, de la cual también es cofundador, coordinador en Chile del Foro Iberoamericano de Derechos Digitales y del Comité de Protección de Datos de la AGPD Chile. Por favor, tercera persona de nuestro panel. Vamos a tener cuatro cuatro profesionales acá. Don Luis Emilio Ríos es ingeniero civil industrial de la Universidad Técnica Federico Santa María y actualmente se desempeña como data protection officer y subgerente de riesgos transversales en Banco Estado. Además también es miembro de la AGPD. por favor, me mire. Y para completar nuestro segmento, tenemos a doña Nicole Figueroa Oviedo, quien es abogada con un LLM y magister en derecho de los negocios de la Universidad Adolfo Iváñez. Actualmente se desempeña como jefa de crédito, cobranzas y recaudación de Lipy Gas y forma también parte de nuestra querida AGPD. Por favor, bienvenida. Como tuvimos un panel ejemplar en el uso del tiempo, yo acá traje mi ayudante, que se los presento. Esta libretita tiene mucha tecnología, tiene acá el cinco. Les voy a avisar eh en dos momentos. Voy a tratar de ser super respesetuoso del uso del tiempo. Eh, les voy a avisar cuando queden 5 minutos y les voy a avisar cuando queden un minuto. Me voy a sentar ahí, pero obviamente la polenta y el sabor lo ponen ustedes. E comenzaremos con don Oliver Ortiz, que nos comentará un poco los desafíos de los datos transfronterizos, contratación internacional con países no adecuados. ¿Es Estados Unidos hoy adecuado? por favor. Don Hola, ¿cómo están? Muy buen día. Eh, bueno, estoy muy muy contento, muy honrado de compartir el panel con grandes profesionales. Eh, veo acá a muchas caras conocidas, algunos colegas, hasta clientes por ahí. Eh, nada, eh, me siento muy muy contento de estar acá. Eh, la última vez que estuve también con Ignacio compartiendo, hablamos recién, fue en otra mesa, en la estamos compartiendo eh, representando a la a la GPD y frente a Marcelo, que está ahí sentado en la primera línea, como Marcelo como parte de la comisión de implementación. Así que nada, están están acá los más grandes de los grandes. Eh, s, entonces eh les pido disculpas porque esta esta presentación es un poco más se llama eh Datos Personales en la práctica. Eh, justo me me tocó una una pregunta que es más teórica. Eh, ¿es Estados Unidos una jurisdicción adecuada para la transferencia internacional de datos personales de Chile? Bueno, eh es pregunta difícil de responder. Voy a hacer mi mejor intento en 15 minutos, e así que avanzamos. Bueno, para comenzar, quiero comentar que el día de ayer estaba hablando con una colega especializada en protección de datos. Mi hijo eh, al saber el tema que iba a exponer, me indica, "¿Para qué vas a torturar al público en 15 minutos sobre toda la historia entre Estados Unidos y Europa? la doctrina trá de las transferencias internacionales de datos personales. Dile simplemente que lo más probable es que Estados Unidos no sea adecuado y que la Agencia Chilena de Protección de Datos Personales lo más probable es que tenga que recurrir a otras cosas como las cláusulas contractuales modelo u otras garantías adecuadas. La verdad es que pensé hacerlo, pero en ese caso me habrían sobrado 14 minutos, entonces los voy a utilizar. La transferencia transfronteriza de datos personales es una necesidad en el mundo globalizado en que vivimos. Cada vez que subimos datos a la nube, estos datos suelen estar ubicados en servidor en el extranjero, produciéndose, aunque no nos demos cuenta, una transferencia internacional de datos personales. Lo mismo sucede toda vez que en una misma compañía invita envía datos a un proveedor con servidor en el extranjero o a una filial de grupo ubicada en el extranjero. Por lo anterior, uno de los objetivos declarados en el Reglamento General de Protección de Datos Europeo es permitir la libre circulación de datos personales entre los Estados miembros de la Unión Europea sobre la base de principios acordados sobre la protección de datos personales. Siguiendo esa lógica, el el RGPD también reconoce por su parte que la transferencia de datos personales a terceros países requiere una consideración especial. un tema más anecdótico que justamente el capítulo quinto del GDPR habla de transferencias internacionales y el título quinto de la ley 21719 habla también de transferencias internacionales. Coincidencia, el primer peldaño, el primer peldaño en en análisis ya para poder realizar transferencias internacionales de acuerdo a Bueno, ¿y por qué hablamos del GPR? Obviamente porque la ley chilena sigue de alguna forma esa lógica, aunque con ciertas distinciones. Tres vías lícitas y tres peldaños que establece el el reglamento europeo, ¿cierto? Es primeramente la existencia de una decisión de adecuación. Eh, de alguna forma la dirección de adecuación permite, cierto, cuando eh la Comisión Europea realiza un análisis de ciertas jurisdicciones y cuáles son las garantías, el estado de derecho y un montón de otras de otros elementos, permite establecerse acaso el nivel de equivalencia del país receptor va a ser más o menos adecuado al de la Unión Europea. Algo muy similar establece la ley chilena, pero con ciertas diferencias. Vamos a ver rápidamente, por ejemplo, el estándar ya eh de adecuación. Recuerdo al Reglamento General de Protección de ATO, establece que para que un a una entidad se una una un país sea considerado eh adecuado, debe ser esencialmente equivalente al GDPR. Lo que lo que dice el artícul el considerando 104 del reglamento es que en consonancia con los valores fundamentales en los que se hace la unión, en particular la protección de los derechos humanos, la comisión en su evaluación de tercer país de un territorio, un sector específico un tercer país debe tener en cuenta de qué manera se respetan en ese país el estado de derecho, el acceso a la justicia, las normas de criterios internacional en materia de derechos humanos, su derecho general y sectorial, incluida la legislación eh relativa a la seguridad pública, la defensa, seguridad nacional, etcétera. Mientras tanto, Chile solamente analiza que existan principios de tratamiento en el país receptor de los datos, que existan derechos para los titulares, que exista una autoridad de control judicial o administrativa, que ex que se cumplan los deberes de información y seguridad para los titulares de los datos y que si es que alguien infringe estas normas que alguien responda, que exista responsabilidad en caso de infracciones. En ese sentido, el estándar europeo es mucho más alto. ¿Por qué? Porque el estándar europeo eh viene ya de todo lo que hemos visto ya tiene relación con una larga historia, ya que no la vamos a profundizar toda, pero para poder decir eh de alguna forma el estándar europeo se basa en que establecer que el país receptor sea adecuado. si el país receptor es Estados Unidos. Bueno, esto fue varias veces cuestionado ya por la Corte de Justicia de la Unión Europea estableciendo que eh el el acuerdo inicial en el año 2000, el Safe Harvard era inválido. Eso se establece en en el caso Trems 1 en 2015, un poco de historia. Después se establece otro marco de transferencia entre Estados Unidos y Europa que el Privacy Shield, que nuevamente es invalidado por Trams 2. ¿Y por qué razones es invalidado? Bueno, porque de alguna forma las eh se descubre y ahí para los que gustan las películas, hay una película del 2016 que se llama Snowden, que habla cierto de Edward Snowden. Ahí me hacen los especialistas me hacen así que que la vieron. Eh, si quieres eh si quieres meter a alguien en tema de datos personales y la importancia de este tema es que vean esa película, porque después van a ver que andan todos tapando las cámaras y perseguidos por su protección de datos, lo cual de alguna forma en la sociedad que estamos debiera ser así. Eh, y cuando vemos eh sale el caso Snowden es el es el es el caso paradigmático, el punto de inflexión, porque nos damos cuenta que Estados Unidos de alguna forma eh estaba eh sus autoridades eh la NSA, National Security Agency y varias otras realizaban una vigilancia masiva de las transferencias de datos entre Estados Unidos y Europa. y no había una tutela judicial, no había a quién recurrir. Ahí el el Safe Harbor establecía una figura, el privacy Shield establecía una figura del omban, eh y distintas distintas figuras, bueno, finalmente y en virtud de distintas órdenes ejecutivas se llega a el data privacy framework y lo que dice este este acuerdo actualmente es que la las empresas se pueden Estados Unidos no puede ser considerado adecuado en su totalidad, no tiene una ley federal de protección de datos. La normativa de datos en Estados Unidos está desperdigada por Estado, ¿cierto? Y también de forma sectorial en ámbito de derecho al consumidor, salud y otros. Por otro lado, eh tampoco se se puede se puede decir que tenga Estados Unidos tenga una autoridad única y centralizada para a quién recurrir. Esas dos cosas principalmente. A ver, voy a ver si puedo encontrar la slide. vigilancia desproporcionada y la falta de una tutela judicial son las cuales de alguna forma hacen decirle a decir la la Corte Judicial de la Unión Europea, Estados Unidos no es adecuado. ¿Qué pasa en Chile? ¿Y qué es lo que era decir Chile? Ya. Bueno, superaría entonces si no si bien actualmente no existe una entidad única en Estados Unidos, no existe una ley federal de datos personales, la normativa está fragmentada, eh no hay exactamente a quién recurrir. El privacy data privacy framework, el acuerdo actual entre Estados Unidos y Europa establece una mecanismo de autocertificación de los organismos, pero de nuevo no es algo sistemático, no no no es algo completo, digamos, integral. Entonces, en ese sentido, la pregunta es, bueno, ¿cuál es cuál es el estándar que establecería Chile y que irá la agencia? La respuesta no lo sé porque todavía la agencia no existe ya, pero sí tenemos argumentos a favor y en contra y ahí muchas gracias ahí al profesor Pablo Violer que gentilmente me me prestó alguno alguno de estos pensamientos. Eh, argumento a favor. Bueno, el estándar chileno es principalmente principalista, o sea, el estándar chileno exige más, no no no no nos exige que revisemos si por ejemplo vamos a transferir los datos de Chile a Perú, si acaso en Perú hay eh vigilancia por parte de la autoridad pública de los de los datos. Lo que establece es que eh el país receptor, por ejemplo, Perú, tenga principios de protección de datos personales. Eso es un argumento a favor. Ahora el mismo argumento puede jugar en contra porque eh la ley chilena exige la existencia de principios, pero Estados Unidos parecieran tener principios declarados a nivel federal de protección de datos personales. De nuevo, la normativa está fragmentada y no existe una declaración de principios clara como si lo tiene, ¿cierto? La nuestra ley eh 21719. Por otro lado, argumento a favor para decir que Estados Unidos es adecuado. Eh, bueno, no se exige expresamente este test de vigilancia y tutela judicial en Chile. El estándar chileno es más bajo, solamente establece que existan principios y una entidad certificada bajo el esquema entre Europa y Estados Unidos podría quizás satisfacer los la exigencia del artículo 28 de la Ley Protección de Datos Personales, quizás. Pero para eso eh habría que hacer un análisis propio, porque el acuerdo es entre Estados Unidos y Europa, no es directamente extrapolable a Chile. Sí. Y argumento en contra, bueno, la ley chilena exige la existencia de principios. La autoridad nacional eh se exige una autoridad de control. Estados Unidos no tiene una única autoridad de control y son sistemas diferentes. Ahí solamente para para demuestra un botón. E dos profesores que estimo mucho en este tema, Paul Schwartz y Daniel Soló dicen esto, dicen la legislación en materia de privacidad en Estados Unidos y de la Unión Europea y vergen considerablemente. Chile sigue la de la Unión Europea de alguna forma. A nivel fundamental difieren en su filosofía subyacente. En Estados Unidos la legislación en materia de privacidad se centra en reparar los perjuicios causados de los consumidores y en equilibrar la privacidad con la eficacia de las transacciones comerciales. O sea, la privacidad en Estados Unidos es más bien transaccional, mientras que en Europa la privacidad se considera un derecho fundamental que puede prevalecer sobre otros intereses, incluso en el nivel más básico. Determinar qué información está cubierta por la normativa Estados Unidos y la Unión Europea difieren significativamente. Por otro lado, tema anecdótico, aprovechando ahí que me quedan 2 minutos, eh, efectivamente hay alguna distintas voces que indican que podría haber un caso Trams 3 que viniera a echar abajo, digamos, eh la el data privacy framework, que es el el framework actual que que tiene Estados Unidos y Europa para la transferencia de datos. Eh, esto principalmente porque eh claro, el data privacy framework de alguna forma se basa en una orden ejecutiva. Esa orden ejecutiva es completamente revocable, no da mucha certeza jurídica y eh se dice que es una copia de los acuerdos anteriores del Safe Harvard y del Privacy Childer. ¿Ya? E entonces, ¿qué alternativas le quedan a la agencia? Eh, bueno, como dijimos, está Chile sigue este sistema escalonado, ¿cierto? de adecuación me permite una especie de chive libre me permite transferir datos personales a ciertos países porque esos países tienen derechos, tienen instituciones, a responsabilidad. Si no, tanto Chile como grupo establecen esto, si no existe una decisión de adecuación, puedo utilizar garantías adecuadas, cláusulas contractuales, modelo, eh normas corporativas vinculantes, eh modelos de certificación, mecanismos, ¿cierto? eh mecanismos de certificación y y modelos de cumplimiento. Y si es que no puedo utilizar eso, puedo utilizar excepciones. Ya. Entonces, bueno, si no es adecuado, entonces, ¿qué alternativas le queda a la agencia? Entonces, algunas alternativas son, bueno, promover la existencia de garantías adecuadas. Ya ahí Marcelo también fue uno de los grandes impulsores de la aprobación por la parte del Ministerio de Economía, ¿cierto? eh de de las cláusuras contractuales, modelo de la red iberamericana, ¿cierto? Eh, promover que sea esto, pero esto también eh utilizar las cláusulas con actuales modelos de alguna forma también va a requerir una intervención de la agencia eh una vez que entre en vigencia la ley. Podría establecerse quizás un data privacy framework, este acuerdo entre Estados Unidos y Europa, ahora entre Estados Unidos y Chile, un data privacy framework a la chilena. podría ser una opción. Ahora no sabemos si Chile tiene realmente el peso negociador o realmente la relevancia para Estados Unidos como para entrar a negociar con nosotros, un acuerdo que rija, cierto, todas las transferencias. Quizás lo mismo va a querer Ecuador que tiene una normativa sólida en temas de datos personales o Perú, eh de ahí que entre a a a negociar con todos los países. Difícil utilizar las excepciones del artículo 27, que es la tercera opción, ¿cierto?, de este de este triada decisión de adecuación, garantías adecuadas o excepciones. Podría ser, pero las excepciones que establece la el artículo 27 28 de la ley son esos son específicamente eh para circunstancias extraordinarias. Por ejemplo, estoy enfermo, necesito que eh se se me realice un examen en el extranjero, se envían, se puede acordar por razones sanitarias. razones médicas, eh una transferencia internacional de datos por consentimiento, por eh materias relacionadas con tratados internacionales, etcétera, pero es excepcional, circunstancial y es para situaciones no habituales. Las excepciones no permiten eh validar o sustentar una relación económica. ¿Ya? Entonces, la respuesta es, esto deberá ser una tarea para determinar para que deb agencia de protección de datos personales. Lo más probable es que quizás podría optar por garantías adecuadas si acaso es o no e adecuado a Estados Unidos. Lo más probable, en mi visión es que no. Sin embargo, es un tema que deberá determinar la agencia. Muchas gracias. Muchas gracias, Oliver, por una sólida ponencia. Continuamos con Ignacio Gallardo, que también nos va a hablar un poco sobre la relación ahí con con Tercero. Por favor, Ignacio. Muchas gracias, Joaquín. Primero tengo que hacer un disclaimer porque tenemos una presentación compartida junto con Nicole. Entonces quiero pedirle la autorización a Joaquín si es que podemos pasar después con Nicole directamente para que no quede fragmentada. El consentimiento tiene que ser a Emilio o puede partir o puede partir Emil Emilio. Perfecto. Si quieres para no perder el hilo. Si es netamente por eso. Estamos separados. Ahora sí vamos con Luis Emilio Río, por favor. Perfecto. E bueno, muchos buenos días a todos. Muchas gracias por la invitación, ¿no? Es cierto honrado, ¿cierto? De estar formando parte de este panel. Vengo en representación también de Banco Estado. Hoy día, como bien se mencionó al principio, tengo el cargo delegado protección de datos y trabajo en coordinación con las nuevas empresas del grupo. Bien. E se escucha bien. Sí, más fuerte todavía. Ya. Bueno, como primer el tema en realidad que hoy día queríamos discutir era el consentimiento interés legítimo como punto de inflexión. Hoy día mucho se habla, ¿cierto? Y ya de conocimiento general de todos los que estamos acá. Estoy medio resfriado, se me hace complejo esto, pero eh como ya es de conocimiento general, la necesidad es que cada uno de los tratamientos efectivamente tenga una base de licitud, ¿cierto? Ya mencionar eso como algo evidente. Sin duda, la regulación identifica varios tipos. podemos invocar eh una obligación legal, la ejecución de un contrato, pero ya después se nos pone más complejo y vamos viendo, oye, ¿qué es lo que podríamos invocar para algún tipo de tratamiento cuando se me pone un poco más complejo para poder justificar este tipo de tratamientos? Bueno, ahí empieza estas dicotomías decir, si tengo más de una base de licitud, bueno, voy a poder invocar o la existencia de un consentimiento o de un interés legítimo. Cuando una organización es tan grande, eh, hay surge la necesidad de tener algún tipo de un orden de prelación, ¿no? Un orden de prelación de cómo voy a ir invocando estas bases de licitud. Y en ese sentido, eh lo que muchas instituciones hoy día eh es por la que han optado es partir, por supuesto, que dar cumplimiento con una obligación legal. En segundo lugar, la ejecución de un contrato, pero después hablamos de el interés legítimo como una tercera opción y en un cuarto punto estamos viendo la necesidad de ir por un consentimiento. Y ustedes dirán, bueno, pero ¿por qué si el consentimiento lo están viendo como una base de licitud residual? Bueno, por lo complejo y lo difícil que es, ya sea de obtener, pero también de administrar, porque si vamos a la definición del consentimiento, es toda manifestación de voluntad, cierto, libre, que no esté condicionado, que sea específica, es decir, donde le informe al titular qué es lo que voy a hacer con sus datos, con qué finalidad, por cuánto tiempo lo voy a eh mantener y que sea inequívoco e informado. O sea, tiene varios títulos, apellidos que hace complejo el hacer la captura y también la gestión de este de esta base de licitud. Entonces, por eso también a modo de conveniencia es que muchas instituciones a la hora de tener que eh hacer la gestión previamente tal, están yendo por esa eh teniendo esta este orden de prelación. Y por otro lado, cuando hablamos del interés legítimo, bueno, sabemos las complicaciones que esto tiene, que si bien se puede se nos puede caer en cualquier momento del tiempo por las características propias. ¿Por qué? Porque dice, mira, cuando el tratamiento sea necesario para la satisfacción de interés legítimo del responsable o de un tercero, siempre que con ello no afecte los derechos y libertades del titular, es como bien cuestionable. O sea, si me preguntan a mí, yo el papel aguanta mucho, podemos eh justificarlo, pero sin duda requiere siempre una prueba de sopesamiento y es por eso también la necesidad de que esto quede bien sustentado y pensando en que efectivamente esto lo haga el responsable del tratamiento dato, pero siempre con la mirada, ojalá la participación de un equipo de riesgo, de un equipo de eh la fiscalía, h quien tenga también la interpretación legal. Ahora, cuando nos vamos a ver y y empezamos a a analizar, oye, las instituciones que están utilizando este criterio, este orden de prelación, ¿con qué se están encontrando? Bueno, la mayoría de ellos en que el consentimiento lo están utilizando principalmente con fines de eh para sustentar los tratamientos enfocados en qué, en la mercadotecnia. Para las empresas comerciales hoy día la mercadotecnia es el corazón. Si yo no hago ofertas proactivas, si ustedes piensan en una compañía de seguro, en un banco, eh en empresa en general de financiamiento, el dato, es cierto, es la sangre. Sin dato yo no puedo perfilar, sin datos yo no puedo identificar y generar una oferta de valor hecha en la medida del titular. Y si vamos a ver la jurisdicción, ¿cierto? lo que como pasa como pasó en España hoy día. Eh, e el carácter de marketing, las actividades de marketing en general están sustentadas o hacen alusión a la existencia de un consentimiento, salvo la existencia, los casos excepcionales podrán invocar un interés legítimo, pero que estén debidamente justificados. debidamente justificado nos hace complejo, lo hace complejo. Entonces, por eso también la necesidad de eh ver la todo lo que tenga que ver con mercadotecnia que vaya cierto por una línea eh invocando el consentimiento. ¿Y por qué consentimiento? Porque cuando yo voy a generar una oferta proactiva, ¿cierto? Cuando hablamos de marketing, el la esencia del marketing es llegar con una oferta hecha a la medida, no vender un producto estándar. Entonces, para generar una un producto hecho la medida, yo tengo que perfilar al titular. Y perfilar, ¿qué implica? Que yo supe y analicé sus gustos, sus preferencias, dónde compra, el nivel de endeudamiento, eh el nivel de ingreso y y así una serie de otros elementos, porque mientras más datos tengo, más rica es la propuesta que yo puedo llegar a generar al final del día. Entonces eso si voy a tratar datos sensibles en el perfilamiento, eso me requiere que yo le pida el consentimiento al titular. Entonces, hoy día estamos en una zona un poco gris porque hay algunos consentimientos, eh, perdón, hay algunos tratamientos y yo hablo del marketing y vuelvo con temas de mercadotecnia que podríamos invocar el interés legítimo. Sí, solo sí, no hay medidas intrusivas, pero el momento que yo soy intrusivo, que yo analizo al titular de principio a fin y lo cruzo con una serie de variables, como hoy día y en general se ha venido realizando a través del tiempo, si debise ser más consciente e ir por un análisis de pedir el consentimiento. Tenemos dos tipos de consentimiento, lo que habláamos principalmente del marketing y también identificamos otras situaciones que son consentimientos más de tipo operativo. Y cuando hablamos del consentimiento más operativo, ¿qué es lo que se les viene a la cabeza en general? Es pensar, oye, eh son eh un consentimiento enfocado en que eh una en que podamos realizar ciertas transacciones, ciertas actividades en forma segura y y que la operación se pueda realizar. Por ejemplo, cuando nos piden el consentimiento para tener acceso a nuestro al micrófono, el micrófono del teléfono, a la cámara, es en el momento, nace y muere en la situación, a diferencia del marketing de mercadotecnia, que yo necesito que me dé un consentimiento por un plazo superior a fin de obtener mayor cantidad de datos en a través del tiempo. Hm. Entonces, haciendo esa distinción, son dos casuísticas con las cuales sí o sí nos encontramos en nuestro diario vivir, en las operaciones que al menos tenemos e en las empresas del grupo e y con las cuales sí o sí vemos la necesidad de tener también una herramienta tecnológica en la cual ampararnos. Aquí veo algunos representantes, pero eh en el mercado hay mucho, da lo mismo. ¿Cuál? Lo importante es que sea segura, ¿cierto? confiable, eh, y que nos dé las garantías de que pueda atender las características propias que tiene el consentimiento. Si hoy día lo estoy pidiendo a través de un canal, bueno, que sea proporcional y que también lo pueda revocar a través del mismo, así como cuando van a abrir una cuenta eh una cuenta corriente, una cuenta de ahorro. Oye, lo puedo abrir hoy día por cinco, ah, por tres, cuatro canales, pero a la hora que lo van a cerrar, por Dios, que es complejo. Hm. Eso mismo es lo que estamos tratando de buscar, que sea una medida proporcional a la hora de administrar y gestionar los consentimientos. Otro elemento importante, considerar la experiencia de usuario, porque la definición del consentimiento dice que tiene que ser explícita, inequívoca, pero cuando tengo una empresa, hay una compañía tan grande donde tiene 80, 90 tipos de tratamiento que invocan el consentimiento, le voy a presentar al titular los 70, 80 tipos de finalidades. Entonces ahí empieza también a jugar la práctica y decir, ¿cómo hago convivir estas dos realidades? Porque la teoría es una, pero la práctica es otra, muy diferente. Y es por eso que también tengo que tener la necesidad de definir, no digo con consentimiento universal, pero sí irando quizás familias de consentimiento y que también si me dan el consentimiento pueda tener trazado a cada una de estas finalidades más particulares. Em, con respecto a la normativa, ¿cierto? A nivel local, lo que vemos es que efectivamente tanto nuestra regulación como la española, bueno, el GDPR europeo, pero en general eh allá se se reconoce el consentimiento como la base para los fines de mercadotecnia. Hoy día eh en la Agencia española y en el caso particular de España reconoce que el el la base deitud principal en este caso, insisto, el consentimiento, pero en Chile no hay un establecimiento claro en el sentido de que hoy día todavía hay zonas grises. Lo llevo un caso particular. Si me enfoco nuevamente en el tema de un banco, no es lo mismo que yo generé una oferta y le digo, "Señor Marcelo Drago, usted tiene un crédito preaprobado por 60 millones de de pesos eh pagadero en 5 años con cuotas del orden de 1,232,000 y empieza a pagar en dos, en tres, cu meses más. Esa oferta es totalmente personalizada. distinto es que le envíe una oferta diciendo de que tiene eh que puede acceder a un crédito eh eh perdón, a un seguro, por ejemplo, a un SOAP, que el SOAP es un seguro estándar, que si yo aplico algunos filtros puedo llegar a una masa crítica, ¿cierto? Sin identificar al titular. Entonces, ese tipo de características son las que eh las distintas empresas hoy día cuando tengan que entrar a jugar y a definir y dar lineamiento respecto de los tratamientos asociados a mercadotecnia, tienen que ser capaces de de delimitar. Y por último, quiero dejar una e una vista general y abriendo todo lo que tenga que ver con mercadotecnia. Aquí hay un ejemplo, por ejemplo, está asociado a fines de marketing, la creación de perfiles comerciales y de riesgo, ofertar productos, servicios financieros y también actividades promocionales. Oye, eso es algo propio de lo que se hace con actividades de mercadotecnia. Sí, pero después se agrega otro otro elemento muy relevante que es, oye, pero considera si se lo está enviando a un cliente, un no a un no cliente, a un prospecto o a un excliente, porque en algunos casos yo podría invocar finalidades compatibles. Si hay finalidades compatibles no necesario un consentimiento, podríamos invocar un interés legítimo. Distinto es si no es cliente, qué tipo de comunicación le puedo hacer, hasta qué nivel de profundidad. O sea, ¿qué quiero establecer y dejar en claro con esto? que efectivamente, como ya se ha venido comentando a través de la eh del seminario, la protección de la ley de protección de datos tiene zonas grises en cada una de sus eh verticales, o sea, en cada materia que vayamos a analizar podemos encontrarnos con estas directrices y eso es lo que hace también lo complejo que sea en su implementación. En el banco todo el tiempo no tenemos distintas eh nos llama y nos dicen, "Bueno, pero dime, pero dime, ¿qué es lo que puedo hacer?" Oye, si yo leyera, o sea, si leyera tarot, cierto, fuera tan fácil, no estaría aquí, estaría asesorando en la agencia. Ah, pero no es, insisto, cada uno de los tratamientos tiene que tener un análisis per sé s y el llamado es a eso, a que nos abramos, a que consideremos que eh cada uno de los análisis tiene que ser eh en forma individual e y no tomar este tema a la ligera y principalmente al considerando que el punto de inflexión que hay que considerar es cuán intrusivo, al menos pensando en mercadotecnia, cuán eh intrusivo voy a llegar hacer con el tratamiento de los datos personales. Muchas gracias. Muchas gracias, Lu Emilio. Muy bien, muy bien en el tiempo también. E ahora continuaremos con un dúo. Va Ignacio y Nicole. ¿Quién va primero? Yo. Perfecto. Ahora sí. Entonces, Ignacio, el deber de verificación respecto de subcontratistas y contrapartes contractuales, por favor. ¿Cómo? Bueno, mientras tanto me vuelvo a presentar. Este esta presentación la vamos a hacer en conjunto con Nicole, eh, y para hacerle un un contexto de cómo la vamos a a presentar, yo me voy a referir al deber de verificación antes de contratar con alguna contraparte y Nicole se va a referir el día después, ¿qué pasa cuando ella contratee? Así que me voy a poner acá un cronómetro independiente de que nos van a estar avisando porque se darán cuenta que mi tiempo es más acotado que los 15 minutos. Así que vamos a ir directamente al grano. E primero va partir que este concepto de que este título de subcontratista y contrapartes contractuales tiene dos trampas. Los subcontratistas. En la en las exposiciones anteriores se ha hablado un poco de la figura del encargado del tratamiento, pero contraparte contractual no necesariamente estamos hablando de un encargado del tratamiento. Podría ser alguien que yo le estoy cediendo unos datos o podría ser alguien con la que yo estoy compartiendo el tratamiento un dato, un corresponsable, que es una figura que no recoge muy específicamente la ley, pero también la también se debe considerar. Entonces, aquí lo que nosotros est queremos abordar un poco, sin perjuicio que nos vamos a hablar de los de los encargados del tratamiento es eh todo este universo de stakeholders, todo este universo de terceros con los que nosotros una organización se empieza a interactuar, interactúa no solo a nivel comercial, sino vamos a ir a empezar a ver qué datos personales estamos compartiendo, qué datos personales estamos cediendo, qué datos personales estamos tratando de forma conjunta. Y aquí el universo es amplio, o sea, ya no solamente estamos hablando de clientes proveedores, vamos a empezar a hablar de alianzas comerciales, vamos a empezar a hablar de Joinventure, vamos a empezar a hablar de programas de fidelización de marcas que son totalmente distintas, son empresas totalmente distintas y que comparten una base de datos o dos bases de datos distintas o miles de bases de datos distintas y allí ya se nos complica un poco el tema. No sé para qué lado era. Ahí está. Entonces, la figura, eh, ¿qué qué pasa? ¿Por qué no importa eh quién trata los datos por nosotros? me voy a referir específicamente de los encargados ahora, pero la ley habla de esta figura del encargado del tratamiento y el mensaje aquí es que delegar la responsabilidad eh delegar el tratamiento no delega necesariamente la responsabilidad por ningún motivo. El responsable es responsable tanto por la elección del encargado que va va a tratar estos datos y va a ser responsable también de las instrucciones que le va a dar ese encargado. Como decían por ahí en una exposición, el quien define los fines y los medios del tratamiento. Esa esa es la figura del responsable, pero el encargado del tratamiento va a ser quien va a final del día va a realizar todas estas actividades respecto a los datos personales. Y entrando derechamente en lo que es la verificación de los subcontratisas y contrapartes, hay un estudio de Garner que señala que el 80% 83% de las organizaciones identifica los riesgos de los terceros después de haber efectuado un proceso de divilidence. Noten la cifra. 83% después de haber contratado, recién se empieza a verificar si el la elección fue la correcta, si es que la persona, la entidad, quien sea que esté tratando los datos personales, es eh cumple con el estándar que el responsable le tiene que fijar. Eh, esa es la esa es la el diagnóstico y también un poco por qué nos interesa hacer de diligenence antes. Eh, ay, no, ahí. Entonces, tenemos este todo este marco normativo y aquí obviamente hay muchas personas vinculadas con el el mundo del derecho que le interesará por qué, de dónde está, dónde están todas estas normas. Obviamente tenemos la ley de protección de datos, la 21,719, pero esto no es nuevo. Todo lo que es eh evaluación de contraparte, due diligence, son conceptos que vienen ya desde el compliance penal, son conceptos que vienen eh que incorpora también la ley eh la ley marco de ciberseguridad y que las normativas sectoriales también las consideran. Eh, tenemos la CMF, tenemos la Wav, la WAF, ahí tenemos un un contenido muy importante en lo que es due diligenence propiamente tal directrices. Eh, todo esto es un marco que es muy nutritivo que va a va a apoyar lo que es la normativa de protección de datos y todo este marco está enfocado en una normativa que va más allá, que habla de la gestión de riesgo. ¿Cómo vamos a gestionar el riesgo? Avanzando un poquito, la Ley de Protección de Datos eh establece distintas artículos dentro de su contenido y señala que el responsable puede tratar los datos directamente a través de un mandatario. Eso es el principio del artículo 15 bis, que es la es que le permite al responsable delegar sus facultades. Tenemos que tener tiene que cumplir con sus instrucciones, eh tiene que establecerse los fines y aquí se habla del contrato de encargado del tratamiento. Ese contrato es un contrato que se tiene que suscribir entre entre responsable y encargado y que es el que finalmente va a regular toda la relación que los va los va a proteger. Tenemos también las protección, el artículo 14 cucción desde el diseño por defecto y esto introduce eh este concepto de que la privacidad tenemos que incorporarla desde el minuto uno. Por eso estoy hablando del deber de verificación desde el día antes. Desde allí tengo que incorporar estos criterios de de privacidad. Y esto se relaciona también con el principio de responsabilidad proactiva, que es un principio que incorpora también nuestra normativa. Eh, y el artículo 14 Kinkenes habla del deber de seguridad y el deber de seguridad es el que nos va a dar las pistas de cómo yo tengo que hacer este esta debida diligencia respecto de un tercero, qué me interesa realmente el tercero que va a tratar mis datos. me interesa la seguridad y esa es tener claro las medidas técnicas y organizativas que sean apropiadas al nivel de riesgo que yo le estoy encargando. Eso es lo que nos interesa. El GDPR en esta misma materia señala que ese tercero, el responsable tiene que seleccionar a una persona, a un a un encargado que dé garantías suficientes, que ofrezca garantías suficientes respecto de las medidas técnicas y iniciativas que va a aplicar en temas de seguridad. Entonces pone el GDPR, que lo podemos extraponer extrapolar a al estándar chileno, pone dentro en al responsable la obligación de seleccionar de seleccionar a quién va a finalmente tratar esos datos y esa selección tiene que ser respecto de una persona que me dé garantías, que me dé garantías respecto del tratamiento. Y esto siempre considerando las técnicas, el estado de la técnica, los costos, la naturaleza, alcance y el contexto, el fin del tratamiento, todos estos conceptos que incorpora la ley. También tenemos lo que la ley no dice. Y lo que la ley no dice es, bueno, tenemos todas estas obligaciones. ¿Qué documentación voy a pedir al contratar? ¿Qué certificaciones o evidencias voy a exigir al contratar? Eh, ¿cuál es el nivel de diligencia de vida suficiente? ¿Cómo tengo que hasta hasta qué punto tengo que llegar? ¿Tengo que hacer una auditoría a mi contraparte? Tengo, me conformo con una declaración jurada de que todo está bien. No hay una respuesta única, va a vender. Eh, ¿cómo voy graduando al final del día esa verificación según el riesgo? Y aquí, como yo sé que hay mucha gente del mundo del del compliance, eh, les traje una matriz de riesgo. Eh, y finalmente la matriz de riesgo, si para no detenerme aquí ya por el por el tiempo y tengo que darle pase a Nicole, eh, lo que nos va a interesar respecto a una matriz de riesgo es eh dos ejes, en particular de esta matriz que ustedes pueden replicarla si es que les parece. La sensibilidad del dato. Muy importante. La sensibilidad del dato. Para entender qué dato está va este encargado tratar, tengo que saber qué tan sensibles son y si son sensibles, va aumentando mi riesgo. Y por otro lado, el eje del volumen y la criticidad criticidad del dato del tratamiento, del tratamiento mismo. El volumen es el volumen de dato. La criticidad del tratamiento va enfocado a qué tan importante es ese tratamiento. para mí le estoy confiando el corazón de mi negocio, le estoy confiando la relación con mis colaboradores, le estoy confiando eh qué le estoy confiando al final del día y en qué volumen, a qué escala. Estas dos verticales, eh estos dos ejes pueden permitirle a ustedes un poco cómo vamos a evaluar al a estos terceros. Eh, y también aquí muy importante eh tener en cuenta que estos tres niveles de diligencia eh ustedes los pueden incorporar, las organizaciones los pueden incorporar en sus propios procesos de homologación de proveedores. No es necesario hacer un cuestionario o un due diligence por separado de los due diligence que ya tenemos hoy en día. se pueden homologar, hay que incorporar, cierto, por cierto, un checklist más, por decirlo, respecto de lo que es la privacidad. Eh, pero hay que integrar estos criterios, hay que considerar estos flujos, eh, no hay que crear procesos paralelos, eso es super importante porque esto esto al final también es carga administrativa para las organizaciones. Eh, y quiero detenerme un poquito en esto. Eh, ¿qué pasa con los que no puedo negociar? ¿Qué pasa con los que no puedo hacer? Ellos ponen las reglas y ahí, bueno, la imagen señala que tenemos un elefante en la sala respecto a estos proveedores que no negocian. Eh, ¿cómo lo hago? ¿Cómo gestione con estos proveedores? Y la ley lo que le interesa es que ustedes hagan debida a diligencia. Le interesa que verifiquen que este proveedor que probablemente tiene políticas preredactadas, que yo solamente me adhiero un término y condiciones, tengo que entender si qué certificaciones tiene están públicas estas certificaciones, qué políticas de seguridad y privacidad él tiene y un tema muy importante y relacionado con lo que señalaba Oriver, eh, la jurisdicción del almacenamiento de los datos y las transferencias internacionales. ¿Dónde estoy compartiendo estos datos? ¿Dónde están los eh los centros de datos de estas eh de estas grandes corporaciones que finalmente van a ser los que yo quizás voy a estar vinculado al tratamiento. Por ahí también en una exposición señalaban que puede haber un encargado que realiza eh nosotros en Ley de datos somos una plataforma que realizamos en ciertos casos, dependiendo del módulo, eh gestión de encargado del tratamiento, pero también nos relacionamos con estas personas y también tenemos que hacer esta esta debida diligencia de documentar y entender perfectamente dónde están los datos, si están en Estados Unidos, si están en Santiago, en Brasil, hay distintas características dependiendo del proveedor. Y para darle el pase a Nicole, me pasé un poquito el tiempo, perdón. Esta es la parte de la evaluación documentada y Nicole nos va a exponer respecto a Tiene micrófono ahí respecto de lo que pasa después del día de la selección del proveedor. Asignación. Buenos días a todos. Eh, honrada de estar acá en el panel. me hizo mucho sentido lo que decía Marcelo hoy en la mañana respecto a ser un raro y me haré cargo de mi rareza también soy una abogada, pero me dedico todo el día a revisar procesos, controles, KI y desde esa mirada yo quiero tomar la protección de datos y plantearles una idea, que el deber de verificación respecto a los proveedores y subcontratistas no puede entenderse como un acto meramente contractual. tenemos que ir un poco más allá, ya que durante años el deber de verificación se entendió de una forma bastante limitada, revisar el proveedor al inicio, pedirles el root, quizás firmar el contrato y dejar toda la evidencia documental guardado en una carpeta. Ese es el paradigma del papel. No voy a volver sobre la evaluación exante, ya la hizo mi partner Ignacio. Mi foco estará en lo que ocurre después, cómo esa evaluación inicial se convierte en un control continuo, trazable y que me permita tener una evidencia cuando lo necesite. Y acá está el cambio relevante. El contrato abre la relación, pero no agota el deber de verificación. El responsable debe poder demostrar que entregó instrucciones claras, que estas instrucciones están escritas, que supervisó al proveedor, que registró los accesos relevantes y que puede reconstruir todo lo que ha ocurrido con la vida del dato. Eh, este punto ya tiene consecuencias reales en Europa. Eh, CONI ya presentó uno de los eh casos. Yo vengo también con un caso de Vodafone en junio del 2025 donde fue multado por 4,5 millones de euros. Eh, y esa multa se vinculó con no haber revisado y monitoreado adecuadamente eh a quién gestionaba contratos en su nombre. La elección de este caso es directa para nosotros. El servicio se puede externalizar, pero la vigilancia no desaparece. Por eso, verificar ya no es solo contratar. Verificar requiere controlar, registrar y demostrar lo que estamos haciendo con nuestros proveedores. Desde esa lógica, el primer paso ya no es técnico, sino que más bien jurídico y de gobernanza. En una organización moderna, los datos rara vez permanecen en una sola entidad. Actualmente participan proveedores SAS, servicios Cloud, call center, empresas de cobranza, plataformas de pago, soportes tecnológicos y muchos otros terceros. Entonces, la pregunta crítica que nos tenemos que hacer en este momento, ¿estamos frente a un encargado de tratamiento o estamos frente a una sesión de datos? Esa calificación no es una formalidad. Si califico mal el tercero, controlo mal el tratamiento completo. Y si controlo mal el tratamiento, no valió de nada haber tenido un contrato muy lindo, como lo que señalaba Ignacio. En el marco chileno, esta distinción se vuelve especialmente relevante porque el responsable debe ordenar su relación con terceros mediante acuerdos claros, instrucciones documentadas y darle los límites precisos respecto al tratamiento de datos que realizará. Es simple. Antes de controlar, primero tengo que saber jurídicamente a quién estoy controlando. Una vez que el tercero está correctamente identificado y calificado, comienza el verdadero control activo que nosotros debemos hacer. Controlar no significa intervenir en cada operación diaria del proveedor y estar encima de ellos y hablarle todos los días. sino que como pueden ver acá en el esquema, controlar es no es una idea abstracta, sino que hay un detalle de muchos pasos que debemos ir cumpliendo, porque aquí es donde está la falla más común, conformarse con una cláusula en el contrato que nosotros creemos que el proveedor va a cumplir no basta. Eso es una declaración de intenciones, pero no es un verdadero control que nosotros tenemos que ejercer. El estándar real nos exige ir mucho más allá. ya que el proveedor debe saber qué datos está autorizando, cuál es la finalidad, por cuánto tiempo, por qué canales, quiénes pueden acceder a esos datos, quiénes son los terceros autorizados, qué se debe hacer en caso de enfrentar un incidente o que algún titular quiera ejercer sus derechos. Finalmente, este control se debe integrar siempre con otras normativas. No podemos verlo esto como una isla dentro de nuestra organización. Por ejemplo, la protección de datos puede dialogar directamente con el derecho del consumidor. A mí me toca día a día y puedo dar el ejemplo de un proveedor de cobranza. no solamente debe proteger el dato personal y resguardar el tratamiento de él, sino que también debe cumplir con la normativa del consumidor, señalando los canales y los horarios que realmente puede contactar a los clientes. Por eso, una buena gobernanza de proveedores no mira el dato de forma aislada, no podemos trabajar en silos, sino que lo mira como parte del sistema general del riesgo de la organización. Por último, y porque yo sé que todos quieren ir al cofe, eh, controlar no basta si no lo puedo probar. Y es eso la trazabilidad. Trazabilidad significa poder reconstruir con evidencia el recorrido total del dato. ¿Qué se entregó? ¿A quiénes se entregó? ¿Bajo qué instrucciones? ¿Quiénes accedieron, dónde se almesanó? ¿Cómo se gestionó el incidente? ¿Y cómo terminó mi relación con ese tercero? Eh, frente a una fiscalización, una brecha de seguridad o una reclamación de un titular, no podemos defendernos como organización diciendo que tenemos un contrato con el proveedor, sino que tenemos que defendernos mediante el control que nosotros ejercimos frente a ese proveedor. Esa evidencia no se improvisa al final, sino que se construye desde el inicio del tratamiento. Por eso, sin trazabilidad, el deber de verificación es solo una declaración. La conclusión es esta y que me gustaría que se quedaran con esta idea en específico. El nuevo estándar exige tres elementos que tienen que trabajar en conjunto. Uno es el control activo, darle reglas claras y supervisar a nuestros proveedores y subcontratistas. Dos, una trazabilidad. tenemos que tener la capacidad de reconstruir lo ocurrido y tres, la contability. tenemos que tener un cumplimiento demostrables e ir un poco más allá de lo que íbamos quizás el año pasado. Y por último, eh y como lo digo acá, la responsabilidad puede delegarse operativamente de todas las gestiones, pero nunca jurídicamente. Podemos contratar proveedores, externalizar nuestros servicios, apoyarnos de plataformas diversas, pero no podemos externalizar la responsabilidad de gobernar el tratamiento de datos personales y ahí está la diferencia entre confiar que un proveedor cumple y poder demostrar que efectivamente lo hace. Gracias. Buenísimo. Muchas gracias, Nicole. Muchas gracias, Ignacio. E tenemos espacio para un par de preguntas que aquí vienen. Recuerden que las pueden formular por los QRs que están adosados en las paredes. Bueno, dos micrófonos, un panel. Vamos. E les pido también ahí eh lo más preciso posible a los panelistas para no separar a la gente de un merecido café. Entonces, vamos con la primera pregunta del público. ¿Cómo ven ustedes la doble función que tendremos muchos responsables? Ah, perdón, esa era la segunda. Esa era del plano anterior. Ahora sí me entendieron una trampa. ¿Qué pasa cuando los la 13? Aquí está. Ya, ahora sí diga a Oliver. viene con destinatario. El Tribunal Europeo paralizó la contratación con Estados Unidos después del caso Chems Is. ¿Creen que la Agencia chilena tenga tal poder en Chile? En el caso de que algún titular presente una reclamación en contra, por ejemplo, de WhatsApp. Estados Unidos sigue teniendo el Acta Patriótica Patriot Act. No, siguiente pregunta. Vale, maravilloso. Una oda a la simpleza. Okay. Siguiente pregunta. Ante proveedores que ya están ubicados en Estados Unidos, puedo por vía contractual establecer que se basará en la legislación chilena y la jurisdicción también será la chilena con el objeto de saltarse la poca adecuación de Estados Unidos. Creo que esta también va más para bolar. O sea, en estricto rigor se el papel aguanta lo que sea, pero de ahí a que lo vayan a aceptar, digamos, la contraparte americana es bastante bastante difícil, ¿eh? el el mecanismo, esto es discutido, sé que no todos están de acuerdo, pero el el mecanismo, por lo menos que me parece a mí hoy día más el único que tiene una una un pronunciamiento de la autoridad, las cláusulas contractuales modelos que aprobó el Ministerio de Economía y lo cual requerirá, si se utilizan es esos modelos eh antes de la entrada en vigencia de la ley, eh la la aprobación, negociación entre las partes, esa esas cláusulas igual suelen tener extensos tiempos de negociación, etcétera. Entonces, no no no suele salvarse solamente poniendo se sujetará la jurisdicción chilena. Entonces, es posible, pero lógicamente esto requiere una negociación y vamos a tener que escuchar que es lo que dice también la agencia cuando entre funcionamiento. Muchas gracias, Oliver. Para el señor Ríos, así titula la carta, ¿cómo se conjuga el tratamiento de datos sensibles cuando estamos hablando de los datos biométricos para realizar el marcaje? Porque la relación es asimétrica entre empleador y trabajador. Entonces, ¿cómo se puede solucionar que la organización utilice el marcaje de horas mediante registro fotográfico del rostro de sus trabajadores? ¿Bastaría con que firmen un anexo de contrato donde consientan? Qué buena pregunta. Eh, bueno, e es algo que en definitiva yo estoy totalmente en contra de efectivamente utilizar datos biométricos eh para hacer el marcaje de los del personal, ¿cierto? Las personas que tengan que ingresar a trabajar. lo mismo a la hora de ir a retirar un el almuerzo. Oye, es que ahora la la tendencia, la tecnología, fíjate, que es utilizar el escaneo facial para dar un ticket a retirar el almuerzo. O sea, pero qué medida más desproporcionada. Si aquí la idea es que el tratamiento siempre sea proporcional, ¿cierto? el riesgo eh respecto de de la finalidad, ¿cierto?, que se quiere cumplir y en este caso claramente me produce me me parece que es totalmente desproporcionado. Entonces, yo te digo que sí, estoy totalmente en contra del uso de datos biométricos para ese tipo de finalidades. Distinto sería si yo tengo que identificar a la persona porque le voy a pagar un cheque de 70 m000ones. Entonces, necesito identificar que es la persona quien dice ser. Eh, y así evito también cualquier tipo de suplantación o al menos voy a tener cómo demostrar que vino eh que le pagué a quién correspondía. Entonces, insisto, cada uno de los tratamientos hay que analizarlos en forma independiente. Me parece que no es eh no puede existir una regla general, pero si en este caso particular me lo plantean, yo te diría que no que no aplicaría eh utilizar eh datos biométricos y y por supuesto eh o sea, eso es como la base, no no trano en ese punto. Perfecto, muchas gracias. Y para redondear, hay muchas preguntas. Una de ellas era si podían compartir las presentaciones porque estuvieron muy buenas, pero la letra estaba muy chica. Probablemente viene de Eso tiene otro precio. Dígale, ¿no? Sí, pero una que aquí quiero eh para Ignacio eh es el por ejemplo el cómo se debe medir la cantidad de datos. Por ejemplo, si en una base de datos cuento con el nombre completo, root y teléfono de varias personas, se cuenta cada dato individualmente, independientemente de la misma persona o se agrupan al final del día los datos de una persona como un todo. Bueno, una pregunta que tiene puede tener varias respuestas. Una forma de medir que es bastante útil la base de datos es primero verificar cuánto es el volumen de la base de datos en a nivel de terabytes, saber cuántos terabes estamos a tenemos eh información. Pero por otro lado, y es super importante que la las personas, o sea, los datos personales de una persona estén agrupada o evidenciadas respecto de esa persona. Son va a depender del tratamiento, obviamente. Si yo, por ejemplo, como hablaban acá, el consentimiento, si me dieron consentimiento para datos personales en particular y comparto ciertos datos personales, eh tengo que trazar qué datos personales compartí en relación a ese consentimiento que autorreg y ahí sí tendría que agruparlo, pero también tengo que clasificar los datos personales. Tengo que saber que un sistema o una base tiene una gran una cantidad determinada de datos personales y en ese caso particular no está necesariamente relacionado una persona, sino a la cantidad de datos que tiene esa base. Entonces es una pregunta que puede tener varias respuestas dependiendo, yo creo que acá al final lo que manda es la actividad, la actividad de tratamiento que esté detrás es lo que va a mandar eh cómo es el enfoque que yo podría tendría que tener respecto de esa de cómo medir la cantidad de datos que tengo. Perfecto. Y una, voy a tomar ahí una última pregunta para para Nicole para canalizar un poquito. Eh, la transferencia de datos personales entre empresas del grupo, cuando esta tiene filiales en el extranjero, ¿no? Eh, si mi cliente aceptó el compartir sus datos, eh, es válido, no es válido. Qué difícil, qué difícil, porque pueden pertenecer al mismo grupo, pero tener eh un giro o un interés muy diverso. Hay muchas cosas que la ley nos queda dando vuelta y que necesitamos a la agencia que nos haga un esclarecimiento sobre algunos temas de, por ejemplo, es específico necesariamente que cuando me dan el consentimiento se nombren las entidades con nombre y apellido. Podemos decir que sí, podemos decir que no. Eh, si pertenecen al mismo grupo, eh, pueden pertenecer a giros muy distintos y se pueden estar utilizando los datos no solamente con una finalidad en sí para cobrar una deuda, sino porque hay un mercadeo de seguros. Entonces, yo creo que todavía no hay una respuesta muy clara respecto a ello. Buenísimo. Muchas gracias, Nicole. Les pido por favor un fuerte aplauso para este tremendo panel que lo odio todo. Eh, les invitamos aquí a tomar una fotito. Adelante. Y eh también el coffee break. Pasamos a hacer un break. Son 15 minutos, me parece de de coffee break. Muchas gracias. que la otra vez nos juntamos y me dijo, "Te regalar una carpeta y ahora está buscando carpeta y tengo la carpeta de la car este van a tener que ponérselo en la foto Ahora vamos con el tercer panel titulado Desafíos sectoriales. Esta mesa estará integrada por Patricia López, cuya ponencia será comentada por Liy Siman, Alberto Cudú, cuya ponencia será comentada por Cinntia Gajardo y Carolina Riveros, con los comentarios de Ricardo Troncoso y la moderación de esta mesa estará a cargo de Andrés Huevas. Bueno, ya podemos partir, me imagino. Bueno, primero que todo, muchas gracias a la organización por haberme dado la posibilidad de estar acá. Yo soy exalumno a la facultad, de hecho no venía hace 20 años, así que también es un es un es un honor estar acá. Eh, bueno, los yo creo que ya presentaron a los panelistas, no creo que valga valga la pena volver, digamos, a repetir lo que ya lo que ya se dijo. A los que estén ingresando, por favor, ingresen por este lado, por el lado izquierdo de su por el lado izquierdo para no eh tapar, digamos, la cámara. Entonces, el primer bloque parte con Patricia López, quien es doctora en derecho a la Pontificia Universidad Católica, profesora de derecho privado de la UDP y coordinadora de investigación de la Facultad de Derecho de esta universidad y la fundación Fuello, autora de diversas publicaciones en derecho a consumo. y va a comentar Lyis Siman, abogado de la Universidad de Chile, el LM de la Universidad de Nueva York, directoraa protección de datos, ciberseguridad e inteligencia artificial de y profesora de derecho administrativo de la UDP. Así que por favor adelante. Bueno, muchas gracias por la por la invitación. E este es un tema que nos convoca a todos y es de distintas aristas del derecho, ¿no? Y esta mesa sí lo refleja. Como es bien sabido, esta ley 21,719 que motiva este seminario, cuya entrada en vigencia está programada para el primero de diciembre del año 2026, por eso estamos acá. En su artículo tercero deroga el artículo 15 bis de la Ley de Protección de Consumidores y no solamente impacta el articulado de la ley, sino que también el derecho de consumo, la facultad de CERNAC y la tutela de los derechos de los consumidores. Y es que el actual artículo 15 bis, cuya redacción fue criticada desde un principio, fue incorporada por la denominada ley proconsumidor el 24 de diciembre del año 2021 y tuvo por objeto elevar el estándar de protección en el tratamiento de los datos personales por parte de las empresas, evitando que las empresas pudieran lucrar con estos datos sin el consentimiento explícito del consumidor. La norma no estaba contenida en el proyecto original y su incorporación se propició, de acuerdo a la historia fidedigna de establecimiento de la ley, a partir de la seguridad de la información en las relaciones de consumo, persiguiendo establecer una obligación de los proveedores de reportar fallas el tratamiento de datos personales en materia de seguridad en el consumo y eso explica la ubicación del 15 bis porque viene a continuación del artículo 15 y en el fondo está perpetuando estas obligaciones de seguridad y vigilancia de los proveedores. Sin embargo, esta justificación de su ubicación se diluyó porque el tenor de la norma cambió en el segundo trámite constitucional del Senado y se indicó que la norma inicial era muy restrictiva, que había que ampliarla porque había ausencia de una autoridad de control en materia de protección de datos personales en las relaciones de consumo y por lo mismo eh se propuso en el fondo abordar un tenor literal mucho más amplio y en esta medida se facultó al CERNAC como una autoridad de control en materia cierto de relaciones de consumo se discutieron las facultades o competencias que se le estaban otorgando al CERNC, pero como pasa mucho en nuestro país, a pesar de la discusión, la norma quedó exactamente igual. ¿Qué es lo que dice la norma? Ya. Y es la norma en el fondo conflictiva. Dice lo siguiente: "Las disposiciones contenidas en los artículos 2 bis, letra B, 58 y 58 bis de la Ley de protección de Consumidores, serán aplicables respecto de los datos personales de los consumidores. Aquí una pequeña crítica, porque más de datos personales el tratamiento de los datos personales de los consumidores en el marco de las relaciones de consumo, salvo que las facultades contenidas en dichos artículos se encuentran en el ámbito de competencias legales de otro órgano. Fíjense bien acá que es como que si el legislador hubiera supuesto que esto se iba a producir, que en algún minuto iba a entrar un órgano con mejores competencias o más competencia y el CERNAC iba a quedar, cierto, eh, ahí en el limbo. ¿Cuál es el objeto en el fondo de esta de esta ponencia? Analizar cuál es el contenido de este artículo 15 bis. Yo creo que el problema no está en la incorporación del 15 bis ni en la derogación del 15 bis. El problema es anterior, el problema es por el 2 bis, ¿ya? porque a partir del artículo 2 bis entra a regir en forma complementaria la ley de protección de consumidor a la ley de datos personales. Sobre eso me voy a dedicar, cierto, en estos minutos. El desafío es importante, pero vamos a tratar de ajustarnos al tiempo. Entonces, como lo han comentado de dos profesores, principalmente, cierto, Pablo Contreras, que está aquí presente, este artículo lo que hace es contener una exigencia, se también se pronuncia respecto al ámbito de aplicación de la ley y también alude a ciertas competencias del CERNEC. ¿Cuál es la exigencia? La exigencia de este artículo que yo les leí lo que hace es reafirmar la vigencia de principios del tratamiento de datos personales exigibles a los proveedores. O sea, usted proveedor trate los datos de acuerdo al principio de finalidad, de proporcionalidad, de transparencia si usted quiere, ¿cierto? Y aparte de eso de finalidad. Eso es lo primero. O sea, nos está reiterando la vigencia de una ley que está vigente, evidentemente en Chile. Lo segundo, el ámbito de aplicación. Si ustedes se fijan, el artículo se refiere al 2 bis B de la Ley de Protección de Consumidor. Esto constituye una redacción expresa frente a jurisprudencia contradictoria de la Corte Suprema en materia de tratamiento cláusulas abusivas. Lo que ocurrió a propósito de las cláusulas de política de privacidad del sitio web del proveedor es que en algún minuto la Corte Suprema dijo que por el solo ingreso en el sitio web el consumero estaba consintiendo el tratamiento de sus datos personales. Esto pasó específicamente en Ticket Master y en criterios de organización y finanzas. Por lo tanto, entendía que era aplicable la LPC porque se estarían tutelando intereses colectivos y se estarían entonces procediendo a las acciones colectivas. Pero la Corte posteriormente negó su procedencia y lo que señaló fue que la ley de protección de datos regula una cuestión esencialmente individual, por lo tanto el procedimiento es individual y no sería objeto de acciones colectivas. ¿Ya? Entonces, la norma lo que lo que se explica es que, mire, se hace alusión al artículo 2 bis, letra B, para evitar esta contradicción de la Corte Suprema. ¿Ya? Lo tercero es que se le confieren competencias al CERNAC, todas las competencias y potestades respecto al tratamiento de datos personales en las relaciones de consumo. Esto es super importante porque podría parecer redundante que se le otorgaran competencias respecto a los consumidores en las relaciones de consumo, pero es una competencia particular solamente relaciones de consumo, o sea, entre un proveedor y un consumidor, no respecto tercero. Esta cuestión es bien importante, la voy a retomar al final, ya porque en el fondo CERNAC sería una autoridad, si ustedes quieran, sectorial, pero solamente respecto de los consumidores. ¿Cuáles son estas facultades que se le otorgan de acuerdo al artículo 58 bis? Bueno, la primera es iniciar procedimientos colectivos, ¿cierto? por interés difuso, interés colectivo, solicitar la indemnización en esos procedimientos y todas las funciones del artículo 58, o sea, el SENA que estaría fiscalizando, interpretando la ley, normando, vigilando el cumplimiento de la LPC en materia de relaciones consumo en tratamiento de datos personales y además de eso, la facultad del 58 bis, o sea, el registro de sentencias en el fondo iniciadas por infracción de la LPC. Entonces, hasta ahora, o por lo menos hasta el primero de diciembre de 2026, nadie va a discutir que el CERNAC pueda fiscalizar la licitud de los tratamientos de datos personales, ni eh examinar el estándar de seguridad a la información, ni verificar la el acceso a la información del titular, ni tampoco van se va a cuestionar que fiscalice cómo se han respondido a las solicitudes, ¿cierto?, o reclamos de de este titular de su tratamiento de datos personales. Fue precisamente en razón de esta de esta función interpretativa del CERNAC y normativa que se dictó una circular sobre protección de los derechos de los consumidores el 18 de enero del 2022 frente al uso de sistemas de inteligencia artificial que exige el tratamiento cierto, de datos personales y no utilizar estos sistemas para manipularnos o perjudicarnos como consumidores. De hecho, hay todo un estudio y ahí se reconoce que el empleo de la IA nos lleva a la explotación intencional de los sesjos de los consumidores. Todos somos consumidores, lo sabemos acá que hay prácticas de perfilamiento de clientes, también todos somos consumidores y sabemos que perfilan, ¿cierto? Y nos dirige publicidad en razón de eso y manipulación a través de patrones oscuros de publicidad y la generación de resultados injustos o discriminatorios respecto al consumidor. Aquí estamos todos, ¿cierto?, en la misma vereda y todos hemos sido víctimas de las mismas prácticas. La misma circular dice algo muy interesante. Establece que los datos sobre comportamientos, preferencias y hábitos personales recabados a través del sistema de inteligencia artificial son datos sensibles y los proveedores tienen que extremar las medidas para la seguridad a través de medidas, si ustedes quieran, de protección de seguridad o medidas organizativas para que se garantice la confidencialidad, la integridad y la disponibilidad de nuestros datos personales. A ello se agrega una cuestión super importante. El CERNAC es el encargado de fiscalizar los algoritmos. Tiene una unidad especializada que es una unidad, si ustedes quieran, de fiscalización de prácticas comerciales digitales del CERNAC y realiza ciertos monitoreos, analiza los sitios web, cierto, las redes sociales y finalmente establece este mecanismo de alerta ciudadana en que yo puedo levantar el reclamo si yo me siento en realidad perfilado, ¿cierto? O objeto de de persecución a través de estos de estos algoritmos. Bueno, en esta es la realidad ahora en lo que refiere a funciones del CERNAC. No obstante lo cual en su minuto esta regla que la vamos a retomar fue objeto de críticas. La primera crítica es que la competencia sectorial que se estaba dando al CERNAC carecía de los estándares y se quiere cierto independencia a las agencias de protección de datos y tampoco tiene facultad de sancionatoria. Lo primero. La segunda crítica es la ubicación sistemática a la norma, ¿ya? Porque en realidad, como es de ámbito de aplicación, debería estar en el título, si ustedes quieren, primero del libro primero, a propósito del ámbito de aplicación, el LPC y no en el párrafo tercero de las obligaciones de los proveedores. La tercera, que es muy relevante, y aquí voy a focalizar eh la conclusión a la que voy a llegar es la inteligencia de la norma. La norma es confusa porque la norma en el fondo remite el 15 bis remite al 2 bis y en realidad no era necesario que remitiera al 2 bis porque si el 15 bis no estuviera el 2 bis ya está. Por lo tanto, igualmente entra la ley de eh protección de consumidores como subsidiaria si ustedes quieran o complementaria de la LPC. Entonces la primera indica es por qué se refirió al 2 bis no necesitábamos refiero al 2 bis y la segunda es que además se refiere al 2 bis B, o sea, excluir la letra A y la letra C. Lo que me hace pensar entonces que la letra A como no aplica, no sería aplicable a la ley de protección de consumidores en aquellas materias que la ley de protección de datos no regula y eso no puede ser. Y como no aplica la letra C, tampoco se podrían deducir acciones indemnizatorias de interés individual, por ejemplo, en cláusulas abusivas en materia de tratamiento de datos personales. O sea, todo mal, ¿cierto? El dos no debería haberse remitido por ningún motivo al dos bis. Y la cuarta, que es como dice Pablo Contrera, cierto, al un fraccionamiento del enforia de tratamiento de datos personales. Claro, porque al final habría como muchas agencias con distintas facultades, no hay una coordinación, no hay una organización, que es lo que nos va a pasar ahora a partir del primero de diciembre del año 2026. ¿Cuál es el problema real? Yo creo que el problema real no es que yo haya incorporado el 15 bis o lo haya derogado, el problema es anterior, el problema es que está el artículo 2 bis, o sea, aunque no tuviéramos la derogación del 15 bis, estaríamos en estas mismas condiciones ahora. Y la la pregunta es la siguiente, ¿existe alguna superposición real entre las facultades que tiene el CERNAC en materia de tratamientos de datos personales de los consumidores en relaciones de consumo y la agencia? Porque claro, fue una pregunta que se hicieron los comentaristas en su minuto. ¿Qué va a ocurrir entonces cuando se crea una agencia de datos personales o una agencia cierto, nacional que regule esto? Y la pregunta, la primera pregunta si hay una supusión real. Si nosotros vamos al artículo 30 de la ley, sabemos que su función es velar por la garantía de estos derechos, cierto, protección de la vía privada y de tratamiento de datos personales de lo de las personas en general. Y el 30 bis establece funciones que son funciones de dictar instrucciones y normas para la agencia, una función interpretativa, una función de fiscalizar el cumplimiento de las normas relativas a tratamiento de actos personales, otra determinar eh infracciones incumplimientos, otra de resolver solicitudes, cierto, y reclamos. Hasta ahí estamos exactamente igual que el CERNAC, funciones normativas, funciones interpretativas, funciones de fiscalización, funciones de resolver reclamos. ¿Dónde está el cambio? en que la agencia tendría funciones sancionadoras que el setpank no tiene ya y aplicaría una multa de 5,000 a 20,000 UTM según el caso. Entonces, existe una superposición en parte existe una superposición pero es sectorial. La pregunta si esa superposición es correcta y como ha dicho Francisca Barriento y Juan Pablo González ya en varias columnas, parece artificioso pensar que no habrá datos de consumidores involucrados en contratos de consumo en publicidad comercial o en el comercio electrónico. Ya. Y en definitiva, lo que ocurre es que el CERNAC está llamado a defender los derechos de los consumidores y resulta aplicable la LPC cada vez que existan consumidores por el dos bis primero, ya en en forma complementaria a la ley de la ley de protección de datos. Segundo, porque hay un principio proconsumidor que ahora está expresamente en la ley de producción consumidor. Tercero, hay un derecho de seguridad a consumidores que tenemos todos nosotros y lo que implica un deber de los proveedores de poder, cierto, rutear bien estas medidas de seguridad, el tratamiento de datos personales en materia de consumo y aparte de eso, el CERNAC tiene que fiscalizar el deber de profesionalidad de todos estos proveedores. Entonces, ¿por qué es importante? Porque hay facultades que el CERNAC tiene que la agencia no va a tener. Por lo tanto, hay una superposición, si ustedes quieren, parcial. La pregunta es si hay una superposición útil. Yo creo que es una superposición útil porque en definitiva la agencia va a tener solamente funciones para multar a beneficio fiscal, pero toda la tutela civil que se puede perseguir en cláusulas abusivas, iniciación de procedimientos colectivos o procedimientos voluntarios colectivos es de resuelta del CERNAC. Están mejor entrenados que la agencia en esa materia. Pensemos en dos cuestiones relevantes para ir terminando en materia de datos personales en consumidor. Las cláusulas abusivas, lo que pasó, cierto, les decía yo en Ticket Master, que el solo ingreso a el sitio implicado el consentimiento de mis datos. Y una cuestión de la que todos somos el fondo víctima, no nos damos cuenta, la publicidad agresiva. A través de datos personales es posible que perfilen a los clientes y nos dirige en publicidad. nos dirigen publicidad a través del algoritmo de Instagram, nos dirigen publicidad de diferentes formas, a través de WhatsApp, a través de mails y de llamadas telefónicas. Ese es como el sistema tradicional, pero hay un sistema más modernos que es a través del algoritmo en que perfilan, hacen un perfilamiento de clientes, aunque ustedes no lo creen. Y lo que ocurre es que este perfilamiento depende de la edad, del lugar en que vivan, ¿cierto? de la profesión, etcétera, etcétera. O sea, estamos siendo objeto de publicidad agresiva a través de datos personales que los hemos proporcionado a nosotros o nos han tratado como deberían tratarse. Por lo tanto, hay una superposición parcial, sería una superposición útil porque hay cosas que la agencia va a poder hacer y otras cosas que el CERNAC debería hacer. Y la pregunta que resta entonces es obviamente cómo vamos a lograr coordinar estas competencias que son distintas. Deberíamos hablar a coordinarlas porque la tutela integral del consumidor se va a lograr en la medida que el CERNC en definitiva intervenga. Ya. Y el CERNAC a partir del artículo 50, por aplicación del artículo 50 tiene funciones, si ustedes quieren, para dictar la para promover estas cláusulas abusivas, la reparación, la indemnización. Yo creo y con esto termino, que lo que queda pendiente y yo estuve averiguando ahí el CERNAC y todavía según lo que me dijeron a mí no está muy claro lo que se va a hacer. Lo que debería hacerse es que la agencia, teniendo esas potestades generales, reconduciera antecedentes de infracción de derechos de consumidores como cláusulas abusivas o publicidad agresiva al CERNAC y el CERNAC a través de los procedimientos colectivos o bien de los PVC pudiera tutelar íntegramente al consumidor. Eso es lo que debería ocurrir, una coordinación de competencias en el fondo funcional. Pero para eso vamos a tener que esperar un tiempo más a que se dicte alguna regulación que permita a la agencia destrabar no solamente en esta materia sino en otras, para en este caso lograr una efectiva tutela, cierto, del consumidor y de todos nosotros que estamos en este minuto en este seminario. Muchas gracias. Bueno, muchas gracias por la presentación. Se les recuerda que si quieren hacer preguntas hay un código QR a disposición. Eh, bueno, ahora comenta esta presentación Liisy, por favor. Gracias. Muchas gracias e por la invitación a este seminario. E muchas felicidades también por la organización. Es muy importante conversar sobre estos temas a tan poco tiempo de la entrada en vigencia de la Ley de Protección de Datos Personales. Eh, bueno, me corresponde comentar la e sí, gracias. me corresponde comentar eh la ponencia de de Patricia, si bien creo que hay muchos puntos muy interesantes que uno podría en los que uno podría detenerse. Eh quisiera resaltar em eh solo un par de cosas. Eh, primero que me parece muy interesante, cierto, como eh, como uno puede constatar a través de la lectura de diversas normas de la Ley de Protección al Consumidor y especialmente, yo creo, de la Ley de Protección de Datos Personales, como el legislador venía adelantándose, ¿cierto?, previendo, eh esperando, aunque era el mismo legislar el que tenía que aprobar la ley, ¿cierto? eh que que la ley de protección de datos se aprobara y que existiera un regulador eh especializado en en esta materia, ¿no? Entonces, eso yo creo que pasa en en otras normas también, pero pero es muy interesante el ejemplo que eh que da Patricia, ¿cierto?, a propósito del artículo 15 bis, ¿no? Y claro, si uno reconstruye hacia se hace una breve cronología eh hacia atrás, eh hay distintos casos eh judiciales en que el CERNAC intervino específicamente para la protección de los derechos y de la protección de datos personales de los consumidores, ¿cierto? Patricia mencionaba algunos, pero eh tenemos, ¿verdad?, caso de Banco de Chile en el año 2012, ¿no? Claro, en el año 2013, Ticket Master, Ticketec, Correos de Chile también y todos, la mayor parte de esos casos tuvo lugar e por cierto antes de la incorporación del artículo 15 bis, la ley eh de derechos del Consumidor y también incluso antes de que se iniciara formalmente la discusión del proyecto de ley que dio lugar a la ley 21719 que nos tiene acá reunidos. hoy. Entonces, probablemente esa e eh esa mención, cierto, que hace el artículo 15 bis hasta que no exista una que es bien es bien evidente, ¿cierto? Eh, claro. Sí. Eh, justamente se explica porque ya obviamente eso pasó, eh, la ley se aprobó en el año 2021 y el proyecto de ley de protección de datos estaba discutiendo desde antes, pero formalmente desde el año eh 2017, ¿no? Entonces eh el legislador a veces intenta ser coherente, prever algunas eh eh algunos eh hechos o algunas normas que va a dictar él mismo en el futuro y termina eh con buenas intenciones, ¿cierto? Dejándonos en en estos problemas. Eh, eso por una parte y por otra parte, bueno, el el tema de la coordinación, cierto, que tanto se ha eh que tanto se discutió durante la tramitación de la ley de datos, de hecho fue uno de los de los puntos que eh que persiguieron la discusión de esta ley, yo diría desde desde el inicio hasta su último día. Eh eh es un tema difícil, pero no es un tema difícil específicamente en materia de protección de datos, sino que en general los organismos de la de la administración, sobre todo los organismos fiscalizadores, se encuentran con este problema de superposición de competencias, ¿no? Una declaración o varias declaraciones generales de eh la necesidad, los deberes de actuar con eficiencia, eficacia coordinadamente, pero a la vez un legislador que crea eh correctamente a mi parecer eh organismos fiscalizadores, ¿verdad?, que pueden enfrentarse con esta con esta superposición de competencia. Ahora, yo diría que más allá de que la propia ley de protección de datos eh fue también muy consciente en intentar eh no no digo resolver, pero abordar este problema estableciendo distintas normas de eh de coordinación, una coordinación con el Consejo para la Transparencia, lo que de nuevo se explica porque durante mucho tiempo se se pensó que el Consejo para Transparencia fuera la autoridad de protección de datos. podría no estar esa norma y estarían de todas maneras las normas generales, un poco parecido a lo que pasó con el 15 bis, ¿no? Eh, entonces tenemos eh por ese lado esa norma, una norma de coordinación general que tienen todos los organismos de la administración, también podría no estar porque está la ley de bases de procedimiento, pero bueno, se incorporó también en en la ley de protección de datos. E y y acá, claro, es es poco lo que la ley puede hacer, sino que hay que estar, ¿verdad?, a a cómo se conduzcan institucionalmente estos organismos. Ahora, yo sé que esto puede quizás ser, no sé si problemático, pero me parece un punto interesante discutir, pero yo creería que en el caso de un organismo nuevo con una ley, una regulación totalmente nueva como la Agencia de Protección de Datos, que tiene muy poco presupuesto, que no, lamentablemente ni siquiera ha podido constituirse, debiendo ya hacerlo hace casi un mes, ¿no? esta e quiero diría superposición, pero esta necesidad de de eh trabajar tan estrechamente o de coordinarse especialmente porque existen otros organismos que tienen atribuciones similares, puede ser una fortaleza o incluso puede ser una necesidad, ¿no? Entonces, hay atribuciones que no va a tener la agencia y que si va a tener, por ejemplo, el CERNAC u otros fiscalizadores sectoriales y eso puede quizás en un primer momento colaborar con el desarrollo, con la madurez institucional de la nueva Agencia de Protección de Datos y suplir eh las falencias eh presupuestarias e eh que en un principio tenga. Así que eso, muchas gracias. Bueno, muchas gracias por por la presentación. Eh, vamos al segundo al segundo bloque este panel eh donde va a presentar Alberto Alberto Cudú, abogado de la Universidad de Chile, máster en derecho de la Universidad de Nueva York, doctor en derecho por la Universidad de Londres y comenta Cintia Gajardo, abogada y sociia del área de tecnología del estudio del estudio, perdón, jurídico Molina Mata y Asociados y consultor senior en Privacy by Design, Máster en Derecho también de nuevas tecnologías de la Universidad de Chile. E hay una Ah, ya. Ya. Bueno, muchas gracias. Voy a ponerme el cronómetro aquí para no atrasarme tampoco. Eh, voy a hablar de eh el impacto que va a tener efectivamente la nueva ley de protección de datos en el derecho laboral, específicamente en el derecho colectivo del trabajo, que es parte de un proyecto fondes regular que tenemos con ahí con Pablo Contreras, Pablo Violera y Michela Suaje Pirela y Álvaro Domínguez, ¿no? y lo titulé Poder y Progreso por el libro de el Premio Nobel la hace Moglu, ¿cierto? que básicamente hace una historia en varios cientos de páginas de cómo el los diferentes procesos de eh disrupción tecnológica que han generado un aumento radical de la productividad no se han traducido en progreso social para todos, ¿no? Si uno ve la revolución industrial o incluso la introducción de los sistemas de gestión de información en Estados Unidos en los 80 que generaron aumentos radicales de productividad, ninguno de esos se tradujo en, por ejemplo, mejores salarios, disminución de la desigualdad, etcétera, etcétera. La vez que eso pasó, la vez que efectivamente un progreso tecnológico generó mayor productividad y efectivamente trajo como consecuencia progreso social para todos, fue cuando hubo contrapoderes, ¿no? Ese es el resumen del libro y la razón por la que le dieron el Premio Nobel. De hecho, cuando hubo sindicatos y cuando hubo leyes que democratizaron el modo en que íbamos hacia eh eh nuevos futuros o nuevos horizontes tecnológicos, ¿no? Eh, entonces eso como breve introducción, esos son dos ejemplos muy básicos, ¿no? básicamente la introducción eh de eh la computación, sobre todo en la industria de servicio en Estados Unidos, no trajo una mejora en los salarios, de hecho se estancaron en Estados Unidos y peor aún eh la desigualdad terminó aumentando si uno lo mira en una perspectiva histórica. ¿Qué es lo que dice también el Premio Nobelemoglu AOR y Restrepo, ¿no? Por nombrar tres de los economistas que dicen que al final todavía no hay mucha claridad acerca del impacto de la revolución tecnológica en efectivamente las condiciones de reemplazo tecnológica, es que sencillamente tenemos muy pocos datos. Estamos viviendo del hype, estamos viviendo de la cantidad de empresas que dicen estar despidiendo masivamente empleados para presentarse como data driven companies, pero que al final eso no efectivamente va de la mano con eh con una automatización radical de tareas como con una radicalización o con una radical transformación de los modelos de negocio, sino que eh es más o menos más de lo mismo. ¿Qué es lo que pasa en Chile? Que en Chile tenemos poca información. los estudios de campo, sobre todo, que tratan de analizar el impacto que tienen las nuevas tecnologías en los procesos de trabajo, ¿no? Eh, en general son pocos, están sujetos a algunos campos, hay mucho en retail, hay mucho en comercio, hay algo en banca, e, hay algo en minería, sobre todo, pero eh no da cuenta del panorama de lo que está pasando en Chile, ¿no? La Encla, por ejemplo, desde el 2023, que es la encuesta que hace la dirección del trabajo, incluyó una sección específica sobre automatización. Pero lo que dice la encuesta del 2023 y a pesar de que cambió mucho en la última versión, que todavía no se publica, da cuenta de que estamos viviendo, hay mucha percepción de automatización. De hecho, si ven ahí hay una brecha, los trabajadores suelen ver mucho más automatización que los gerentes. Quizás tiene que ver con el con la idea de el temor al reemplazo o una serie de otras razones que podríamos especular aquí, pero lo el el el estudio que hay, por ejemplo, de la Comisión Nacional de Productividad, el estudio del Centro de Innovación Angelini con Corfo, el estudio que tiene, por ejemplo, también e hay un estudio reciente de la Católica, hay un estudio de Deloit, básicamente de lo que dan cuenta es que eh estamos percibiendo mucha automatización, pero que Eso no eh tiene eh realmente un correlato, ¿no? En la en la realidad no hay alguna de las cosas que más se usan, por ejemplo, en el caso de la industria o el retail, o sea, el retail o la banca hay mucha e eh percepción de automatización en la, por ejemplo, en el procesamiento de datos de consumidores, pero casi nada sobre trabajadores. Entonces, lo que quiero decir acá, las empresas dicen que están recolectando, por ejemplo, muchos datos de sus trabajadores. hay como un cierto clima del cierto este como recolecta ahora y decifra después que se da en ciberseguridad, ¿no?, ante el advenimiento de la computación cuántica. Eh, hay mucho de eso, ¿no? Recolecta rápido antes de que llegue el primero de diciembre del 2026 porque ahí se va a poner más difícil la cosa. Eh, de hecho, en ese estudio, si se fijan, de Angelini, da cuenta de que se hace solamente con las 200 empresas más grandes en Chile. Da cuenta de que las empresas dicen tener muy buenas capacidades y que están efectivamente recolectando datos de sus trabajadores. Dicho eso, si hay una una una tendencia es que o lo que está claro es que no está no hay mucha claridad acerca de qué es lo que las empresas pueden hacer con esos datos. no hay mucha claridad de qué es lo que las empresas están haciendo ni cuáles son las potencialidades. Entonces, dado ese contexto, lo que yo quiero hacer es, bueno, tirar algunas ideas de lo que estamos haciendo en este fondo, que viene precedido de un trabajo de campo bien fuerte que yo he hecho en banca en la industria de la logística o el bodegaaje y la industria del retail con entrevistas y sobre todo con la solicitud de acceso a información de datos administrativos, con la recolección de lo que existen los expedientes judiciales, porque ahí hay mucha información que es muy rica. De hecho, eh está están todos los procesos de capacitación, por ejemplo, de transformación digital de las empresas. Hay videos de las capacitaciones, por ejemplo, de la reconversión de puestos de trabajo a, por ejemplo, el caso de operador de tienda o de asistente de tienda, lo que está pasando en Walmart, lo que está pasando en Replay o lo que está pasando en Sencos e con ese tipo de transformaciones. Y a partir de esos datos, nosotros lo que hicimos fue eh tratar de avanzar algunas ideas de lo que está pasando tanto a nivel del derecho colectivo como del derecho del derecho individual como del derecho colectivo. A nivel del derecho individual, yo creo que todos más o menos somos conscientes de que el Código del Trabajo dice muy poco a propósito de la protección de datos de los trabajadores, más allá del reenvío del artículo quinto o del artículo sobre tutela laboral, que efectivamente hace un reenvío a la Constitución y y si nos hacemos cargo de que el 19 número 4 efectivamente considera que la privacidad y la protección de datos son derechos fundamentales distintos, podríamos decir, bueno, ahí hay un un reenvío que podría ser potencialmente ente útil. El 154 bis dice muy poco, habla de eh la obligación del empleador de mantener reserva de la información privada eh y más allá de lo que ha hecho la eh interpretación eh a través de la o sea más allá de la potestad dictaminante de la dirección del trabajo, que ha dicho que eso va mucho más allá de la intimidad, ha señalado también que ahí hay una protección amplia de la privacidad. Eh eh la verdad que es muy poco lo que se lo que se puede decir ahí. Lo que está claro es que efectivamente las cláusulas en los contratos individuales van a cambiar. Esta es una cláusula tipo en el retail que si ustedes la leen en a la luz de los estándares de la nueva ley de protección de datos, van a encontrar varios varios vicios. De hecho, eso esa es la pregunta de prueba para mi estudiante. Eh eh surgen varias preguntas, ¿no? ¿Cuáles son cuáles son las causales de licitud que van a invocar los empleadores? ¿No? ¿Van a invocar la la potestad de dirección? ¿Van a van a van a invocar la potestad disciplinaria? eh que es excesivamente amplia, no no hay mucha claridad acerca eh de si acaso esa potestad efectivamente incluye la potestad de recolectar datos con diferentes finalidades. Además, todas esas potestades requieren especificaciones de antemano en el reglamento interno. Entonces está la dificultad de, ¿cierto? eh eh o o sobreincluir o subincluir, están los peligros de invocar el consentimiento, sobre todo en una relación laboral marcada por la simetría, ¿no? Superclejo eso. Eh, además con todas las nuevas exigencias que tiene el consentimiento como causal de ilicitud, está el tema del interés legítimo, ¿no? Y verse sujeto a un eventual análisis de proporcionalidad, están los incentivos, ¿cierto? Y lo que está pasando sobre todo en Europa, donde por ejemplo ante la inexistencia de una regulación europea sobre e derechos eh laborales eh tanto a nivel individual como colectivo, el GDPR ha generado cierto un un impacto masivo en la lucha sindical, ¿no? De hecho, muchos trabajadores prefieren ir eh o prefieren invocar el GDPR antes que eh sus propias legislaciones laborales, sobre todo cuando se trata de derechos de acceso, derechos de explicabilidad, etcétera, etcétera. ¿Qué van a preferir los trabajadores y sindicatos en el nuevo escenario? Van a preferir la tutela, ¿no?, laboral de derechos fundamentales en las que los jueces, cierto, tienen una potestad reparatoria, una potestad, cierto de de adoptar medidas reparatorias super amplias, pero que si uno ve la ley, ve ve las potestades de la nueva agencia son igualmente amplias, ¿no? Además de las potestades sancionatorias, ¿no? Eh, o eh, ¿qué es lo que van a hacer? ¿No? Y lo que está pasando, por ejemplo, sobre todo en países que tienen legislaciones laborales o modelos de relaciones laborales mucho más eh verticales, tal como el chileno, es que están prefiriendo invocar el GDPR, cierto, como una forma de aumentar o expandir sus poderes de lucha colectiva, ¿no? ¿Qué es lo que yo estoy viendo ahora en toda esta en este debate, no? entre dos lógicas de adjudicación, una lógica de adjudicación de derechos fundamentales, ¿no?, que es la que está presente en los recursos de protección o incluso en la tutela, ¿no?, en la que más o menos vamos a ponderar las cosas que están en juego o una lógica de adjudicación más basada en lo que estamos discutiendo acá hoy en día, ¿no? Estamos ante estamos o no ante un dato personal, estamos eh e qué causal de ilicitud se está invocando y por lo tanto cuáles son las obligaciones. Nosotros podríamos decir, nos alejamos de una lógica de derechos fundamentales con la nueva dogmática del derecho de protección de de datos. Eso es lo que se ha aplicado más o menos, lo que se ha visto en los debates sobre, por ejemplo, estos dictámenes, jurisprudencia administrativa y judicial sobre la videovigilancia apoyada por inteligencia artificial en casos de somnolencia o fatiga en camiones, en la minería o lo que se ha visto en geolocalización de trabajadores también. Eh eh ese es como el debate dogmático, pero aquí lo que está super ausente y es lo que al menos nosotros hemos encontrado en este trabajo de campo es el derecho colectivo del trabajo, ¿no? Si ustedes ven el artículo 306 de la del Código del Trabajo señala que eh no serán materias de negociación colectiva todas aquellas cuestiones que afecten la facultad del empleador de organizar, dirigir y administrar la empresa. Bueno, ¿qué es lo que uno hace cuando yo tengo una base de datos de varios convenios colectivos, sobre todo de las grandes empresas en Chile? esa esa limitación de temas de la negociación colectiva está quedando totalmente diluida o está quedando eh está quedando en desuso, ¿no? De hecho, todos esos convenios colectivos están incorporando cláusulas que tienen que ver con eh mecanismos de consulta, mecanismos de deliberación acerca de la introducción de nuevas tecnologías. ¿Qué es lo que pasa con los comités paritarios? Si uno lee el artículo 66 de la Ley de Accidentes Profesional de accidentes del trabajo y enfermedades profesionales, no hay nada que pueda asemejarse o o uno tendría que hacer una interpretación dogmática para entender que los comités paritarios, cierto, como comités en los que participan los trabajadores pudieran, por ejemplo, adelantarse a riesgos psicosociales derivados de, por ejemplo, procesos de automatización. No hay mucho tampoco hay una hay una incapacidad de pensar de eh hay una incapacidad de pensar en otros mecanismos deliberativos como los los jurados deliberativos, que son los que se están eh eh imponiendo, sobre todo en Europa, que es básicamente un sorteo, son mecanismos de sorteo con usuarios, trabajadores, eh eh y eh personal ejecutivo para que, por ejemplo, tengan alguna forma de injerencia en eh en cómo vamos a, por ejemplo, eh adelantar arnos eventuales riesgos, cómo vamos a hacer una gestión de riesgo, cómo hacer cómo vamos a hacer una gobernanza de datos. Lo que pasa con eh tanto el GDPR como la Ley Europea de Inteligencia Artificial es que se exige que cuando usemos sistemas de alto riesgo, como todos aquellos sistemas que se van a incorporar en el ámbito laboral, eh tengan no solamente eh eh obligaciones de intervención humana, sino que además tengan eh e mecanismos de consulta. Eh ya. ¿Cuál es el problema que tenemos en Chile? Y con esto termino es que el mismo empleador que argumenta que las potestades de dirección justifican el monitoreo, por ejemplo, también puede argumentar que esas son prerrogativas exclusivas excluidas de la negociación colectiva. Si tiene una doble ventaja normativa que hace que básicamente todo este tipo de cuestiones se sumen a todas las técnicas legislativas que han tenido los empleadores, por ejemplo, en Europa para evitar ser sujetos de obligaciones del GDPR, por ejemplo, cuando se trata de tecnologías de monitoreo, ¿no? todo lo que son tecnologías de monitoreo indirecta, por ejemplo, el keystruck logging o el indoor positioning o los mapas de calor, etcétera, serían tecnologías que en principio, han dicho algunas agencias, no implican el uso de no implican la recolección de datos personales, sino que solamente de datos anonimizados, pero todos sabemos que el grado de sofisticación de esas tecnologías ha permitido efectivamente el monitoreo, ¿no? casos recientes, por ejemplo, el caso español, hay un caso de la Real Audiencia, se de la Audiencia Nacional de diciembre del año pasado, que básicamente lo que hace es que dice, "Las violaciones, por ejemplo, del derecho de acceso en materia de protección de datos ante un algoritmo de asignación de turnos es una violación de la libertad sindical." Es decir, hay una interpretación dogmática mucho más fuerte y con esto termino. No hay un potencial expansivo para sobre todo el derecho colectivo del trabajo de herramientas que existen en nuestro marco legal, tanto en el código del trabajo, en la ley de accidentes del trabajo y en la ley de protección de datos que eventualmente se puede explorar, ¿no? Evidentemente lo que está pasando con el artículo 306, yo en la práctica lo que voy, lo que veo es que en el 80% de los convenios colectivos de las grandes empresas no se respeta esa exclusión de temas que puedan eventualmente afectar, ¿no?, eh la el poder de dirección, la posibilidad de expandir o hacer una interpretación expansiva del del de las potestades de los comités paritario, los problemas, o sea, la posibilidad de incorporar mecanismos de participación en los en la confección de los reglamentos internos, la posibilidad de incorporar mecanismos de protección en la evaluación de eh de impacto de protección de datos eh o la posibilidad, cierto, de hacer una interpretación del 8 bis. Lo que yo estoy viendo y aquí termino, es que el derecho laboral no está tematizando, ¿no? Si uno revisa, por ejemplo, todas las causas que tienen que ver con eh eh despidos injustificados, todas las causas que en las que se revisa judicialmente la potestad sancionatoria de la Dirección del Trabajo, en casos en los que hay procesos de transformación digital en ciertas industrias, no hay una tematización de lo que no hay una tematización de la protección de datos. Entonces, yo lo que estoy viendo es que la protección de datos efectivamente va a abrir un canal bien fuerte de litigio, más o menos lo que todos estamos sabiendo y también aquí no me voy a expandir más, pero lo que va a pasar con la superposición de competencias con la dirección del trabajo, efectivamente va a ser algo importante. Bueno, muchas gracias por la por la presentación. Eh, se le se les recuerda a todos que pueden hacer preguntas en el código QR. Eh, ahora procede a comentar Cintnia, por favor. Gracias. Más fácil. Hola, buen día todavía. No, buenas tardes. Ya pasó rápido la mañana. Eh, muchas gracias y bueno, para comentar la valiosa intervención del profesor CDU, eh, yo lo vengo a aterrizar a la parte privada. la parte, no, no digamos mala, pero la parte que se ve sobre todo en el derecho individual. Si nos vamos a un escenario post eh apocalíptico medio distópico y analizamos que toda esta irrupción de tecnología podría incluso cambiar las reglas del juego pensando en una eventual eh falta de sentido del capitalismo, porque si no hay no hay trabajo humano, no hay contraprestación y no hay cómo manejar. en definitiva, eh al no obtener salario el mercado, entonces nos quedaríamos en un vacío bastante ilógico, pero no seamos negativos, pensemos positivo, pensemos que la tecnología viene a ayudarnos y que hoy en día eh si bien las empresas efectivamente no no manifiestan en el sector privado mucha conciencia de los datos que están manejando sus trabajadores, eh sí y que y este llamado como mal de diógenes de acumulación de datos previamente a la vigencia de la ley y al tema cuántico. Entendemos que ya se está realizando distinta, digamos, reglamentación por parte de entes como la dirección del trabajo, cuando controla mecanismos que hace años ya se están utilizando como control de cámara, como por ejemplo el control de acceso mediante biometría y ahí se abren puertas sumamente importantes desde el punto de vista operativo, o sea, eh preguntas como decir, efectivamente puedo ocupar control biométrico y que la ADT usted diga, "Bueno, sí se puede, pero siempre y cuando haya un consentimiento." Y nos vamos a la siguiente pregunta. ¿El consentimiento en materia laboral realmente es libre, espontáneo, informado o está viciado por la simetría entre trabajador, empleador? Lo que hemos visto en la experiencia europea es que se dice que no, porque claramente si se teme eh un despido, una mala calificación, todas las personas van a decir que sí. El consentimiento en teoría no sería libre. Entonces ahí nacen estos problemas que ahora vendría sanhar en teoría, esperemos la agencia cuando se nombren los consejeros y y que en definitiva nos va a a dar un poco más de de luces respecto a los a estos temas como los vamos a ir zanjo, pero sin perjuicio de ello ya existen respuestas. Por ejemplo, el control de de asistencia, como les decía, mediante eh huella está regulado, la geolocalización está permitida. con consentimiento, pero eh solamente para el momento de entrar y salir. O sea, la la de Teneso superclara y dicho, no podemos mantener permanente este control porque ahí estamos traspasando la finalidad, cierto, de este eh objetivo que es el cumplimiento del contrato, en definitiva, por registrar la entrada y salida de las personas. Ya. Eh, igualmente entiendo y entendemos que hay mecanismos, como dijo el profesor, muy bien, que ya existen y que el trabajador en este caso empezar a optar, va a decir, "Bueno, ¿cuál es más efectivo? Los mecanismos del 8 bis que me da la ley, por ejemplo, frente a una edición automatizada, frente a algún algoritmo que tome alguna decisión respecto a mis cumplimientos, no sé, de metas, los KPI o si me contratan o no me contratan." eh y optar por esa vía, que en teoría me daría un derecho de aplicación, me daría opción a conocer cómo funciona el algoritmo, entre comillas, ahí nace otro problema porque el algoritmo a veces ni siquiera las mismas personas que los contratan, o sea, las grandes empresas saben cómo funciona. Entonces ahí se abre este mecanismo que sería la opción B, que es la salida que ya existe constitucional que nos otorga el Código del Trabajo, que es la tutela laboral, ¿cierto?, de derechos fundamentales, que en definitiva nosotros podríamos interponerla y poder abrir un poco esta caja negra y decir, bueno, explíquenme qué es lo que está pasando con este algoritmo, ¿cierto? y e invertiría la carga de la prueba. Porque nosotros como trabajador solamente al tener que demostrar ciertos indicios de que se está automatizando estas decisiones y que nosotros en definitiva eh somos objetos de de una decisión que nos afecta directamente o a nuestros derechos fundamentales, ya no tenemos tanto que probar, recaería sobre la empresa. Entonces, todos estos mecanismos son los que están por verse de aquí en adelante que las empresas ya se tendrían que estar preparando. Y ahí hay otro tema importante que lo voy a decir rápidamente, pero que están las empresas grandes y están las empresas que no son grandes, median ni pequeñas, los que tienen fondos como para preocuparse de estos temas y las que directamente no tienen tampoco tienen fondos como para comprar eh mecanismos de inteligencia artificial, por ejemplo, que sean eh que sean eficientes. Entonces, bueno, da da para mucho, pero estamos yendo el tiempo, ¿cierto? Gracias. Muchas gracias por Muchas gracias a todos por por seguir el tiempo. Bueno, para terminar vamos al último al último bloque de este panel. Eh, presenta Carolina Riveros, doctora de una universidad que la verdad es que no me atrevo a pronunciar. Ah, de la Universidad de Munich. Okay. Profesora titular de derecho civil de la Facultad de Derecho de la Universidad de Talca. Es Maximili, pero no es tan difícil, más difícil. Sí, muy buenas tardes. Muchísimas gracias. Doy mis agradecimientos ahora a la profesora Castillo y también al profesora Artaza, quienes me invitaron a participar de este seminario. E lo que les vengo a contar un poco es el tema de los datos personales en el ámbito sanitario. Desde ya excluyo lo que es la investigación científica, que da como para un tema específico para conversar. Voy a tratar de avanzar lo más rápido posible, así que por eso voy a ir leyendo. Entre medio voy a hacer algunas pausas. Eh, evidentemente la revolución digital ha modificado radicalmente la forma en que se genera la producción, circula la información personal. Y esto es especialmente interesante los datos relativos a la salud porque efectivamente son datos sensibles que se refieren a la persona. Nosotros tenemos diagnósticos médicos, antecedentes genéticos, información psiquiátrica, tratamientos farmacológicos, condiciones de salud que constituyen elementos muy muy relevantes en torno a la dignidad, la vía privada, la autonomía personal, incluso a la igualdad de oportunidades de diversas personas. Si nos vamos al siglo XX, evidentemente la relación que se tenía con la información estaba específicamente o se radicaba en lo que era el deber de del médico, de del profesional, cierto, de la salud y esencialmente la confidencialidad en esta relación médico paciente, pero actualmente tenemos base de datos masivos, registros clínicos electrónicos, sistemas interoperables, inteligencia artificial, lo que aplicado a la medicina, evidentemente traspasa esta relación que teníamos eh digamos durante el siglo XX. Entonces, en este contexto se debe analizar esta protección o este derecho a la protección de datos y por lo tanto acá no es solo la evitar la la divulgación de información privada, sino que garantizar un conjunto de facultades destinadas a controlar el tratamiento de los datos que identifican a dicha persona. En ese sentido tenemos que hacer la relación desde la perspectiva de los derechos del paciente porque efectivamente esta información sanitaria constituye un presupuesto necesario para el ejercicio de múltiples derechos que reconoce la ley 20584, la denominada ley del paciente, entre ellos acceso a la información, consentimiento informado y ahí vamos a ver que van a haber dos consentimientos al menos de lo que estamos hablando en esta ponencia, la confidencialidad, el acceso a la ficha clínica y además tenemos que consecuentemente proteger los datos personales. en salud, cuestión que no que no es necesariamente una cuestión que pudiésemos ver desde una perspectiva tecnológica, administrativa, sino que estamos pensando en la el ejercicio de derechos fundamentales. ¿Por qué es importante proteger los datos de salud? Sabemos que el artículo 16 bis establece esta categoría de datos de salud como una categoría especial. Son datos sensibles. ¿Y por qué en el fondo se estudian de esta manera o se han reconocido de esta manera? En primer lugar, porque estos datos tienen una capacidad extraordinaria de descripción de las personas, permiten reconstruir aspectos íntimos de la vida de las personas, enfermedades presentes, futuras, conexiones genéticas, hábitos de salud, salud mental, antecedentes reproductivos, tratamientos médicos. Además, tenemos riesgo de discriminación en estas materias. Podemos, cuando se utiliza esta información de forma indebida, podríamos afectar el acceso al empleo, a los seguros, a prestaciones sociales y a múltiplas eh oportunidades de desarrollo de un individuo. La tercera eh aspecto que es importante considerar es que nos pone en una situación de eh vulnerabilidad porque nosotros proporcionamos la información en un contexto que aparentemente debiese ser seguro. manifestamos cierta información a un profesional médico y evidentemente esto puede ser, perdón, puede ser mal utilizado o puede generar muchos problemas. Ya tenemos el caso sancionado Salvador, en el caso Manuela versus El Salvador, donde una mujer que está en una situación como de emergencia aptétrica, la profesional que la trata eh considera que eso es un aborto. Un aborto tiene sanción de homicidio. La señora al final termina condenada por homicidio y muere porque no se le trata por un cáncer y en una situación que se reitera en muchas eh en muchas mujeres del Salvador. Entonces, el hecho de que ella haya comentado esta información a lo que nosotros entenderíamos como fiscalía significó una condena penal. Ya. Entonces, es un caso por lo tanto no es menor esto. Entonces, ¿cómo reconoce tanto el reglamento europeo como nuestra ley e 21,719 como un e derecho como un dato e dato sensible? ¿Ya? Y en ese sentido tenemos que considerar que eh efectivamente desde la perspectiva sanitaria esta información es eh realmente importante y requiere este régimen reforzado de protección, ¿ya? Y ello implica que los establecimientos asistenciales, los organismos públicos, las aseguradoras, los centros de investigación y en general los profesionales de la salud van a tener que adecuar sus prácticas, ¿no? Este tipo eh que me lo han comentado ya eh el Excel que tienen todos los datos, todos sus pacientes ya no ya no nos va a servir ya. Y en ese sentido es uno de los aspectos centrales de la nueva regulación consiste en esta idea del principio de responsabilidad demostrada conforme al cual los responsables deben ser capaces de acreditar permanentemente el cumplimiento de las obligaciones legales. basta, por lo tanto, cumplir estas exigencias normativas y por lo tanto esto como del del e de efectivamente están eh adquiriendo y están generando las medidas y los estándares que reconoce la ley, puesto que tenemos, digamos, que en una serie de ámbitos eh reflejarlo y esto también se ve e demostrado en los principios que se aplican, digamos, los principios que están en la ley aplicables a materia a materia sanitaria, por ejemplo, materia de licitud, hay eh diversas fuentes normativas, incluyendo el cumplimiento de obligaciones legales, que permiten en el fondo generar ciertos e eh ciertos procesos y ahí también tenemos como un elemento importantísimo el consentimiento del titular, ¿cuándo correspond? Respecto al principio de finalidad, en materia sanitaria, debido a la frecuente reutilización de información clínica para objetivos distintos a aquellos que justificaron inicialmente su recilización, la utilización de antecedentes médicos con fines, por ejemplo, comerciales, publicitarios son efectivamente incompatibles y y ahí tenemos ya a propósito de la ley de del paciente ya tenemos algunas restricciones en materia de e de proporcionalidad. Evidentemente eh la recopilación excesiva de información que no está ajustada a la atención médica eh evidentemente se debiese rechazar. En materia de el principio de seguridad, tratándose de datos sanitarios. Evidentemente la intensidad de esta obligación aumenta debido a esta carácter de datos sensible. También tenemos que decir que el principio de transparencia constituye un presupuesto indispensable para el ejercicio efectivo de la autodeterminación informativa. Estos datos en salud como datos sensibles, ya les decía, tienen esta capacidad descriptiva superior y por lo tanto también implican que necesitamos ejercer estos derechos que se han mencionado ya en las presentaciones anteriores. Evidentemente, el derecho de acceso en el ámbito sanitario es importantísimo. Cómo accedo yo, por ejemplo, a la ficha clínica? ¿Cómo puedo, por ejemplo, pedir la rectificación en determinados e tratamientos o la información que se me da, la supresión? Bueno, ahí recomiendo a a mi colega que Patricia López que ha tenido que ha sacado hace muy poquito un texto relativo al derecho alo oncológico y que distingue el derecho del olvidógico con este derecho de supresión, cuestión que me parece muy interesante analizar. Eso era como un réclame a la cole. eh el derecho a la oposición, por supuesto, cuando existan fundamentos de legítimos y el derecho a la portabilidad, que en materia de salud es tremendamente interesante porque los datos ustedes saben que debiesen ser interoperables, pero cuando uno habla con la gente de salud no son tan interoperables. Piensen ustedes en un CFAN y en un hospital, eh, ya ahí nos ponemos tristes. Ya. Ahora bien, respecto a los derechos de los pacientes, la protección de los derechos del paciente, bueno, tenemos distintos derechos, el derecho a la información, el acceso a antecedentes relativos al diagnóstico, a las alternativas terapéuticas, a los riesgos previsibles, la evolución clínica y todos estos antecedentes son evidentemente un principio, o sea, una manifestación concreta del principio de transparencia. el consentimiento informado. Nosotros tenemos acá al menos dos consentimientos, por no decir tres consentimientos, hay varios, pero eh respecto a esto, el consentimiento informado de la atención médica, que es el que nosotros conocemos a propósito de la ley del paciente y además tenemos el consentimiento respecto de la protección de datos. Ya. Entonces ahí tenemos que hacer una diferenciación importante en torno a la el derecho a la confidencialidad constituye evidentemente unos uno de los pilares de la práctica médica. reconoce el eh la reserva de esta información clínica y establece restricciones rigurosas respecto a eso de divulgación. Ya ya tenemos juicios tanto en el extranjero como en nuestro país respecto del típico caso de de un eh profesional de la de la salud. Podría ser quinició terapeuta enfermero, que revisa los datos del amigo, la amiga o de la amante, la amante, ustedes ahí se inventa la historia que quieran, ¿ya? Pero efectivamente eso no puede ocurrir. Ya. Respecto a la ficha clínica, bueno, ustedes saben que la ficha clínica e en general se habla de este continente documental que puede ser en antes era en papel y ahora también es como e de forma digital. Y el contenido de este continente es que la información que debiese por supuesto siempre tener este carácter de reservado. La ficha clínica posee un carácter reservado. No se pueden revelar los antecedentes respecto a la salud física y también mental. Ahí tenemos que uno siempre habla de la ley del paciente, pero también tiene que considerar las atenciones médicas en salud mental, que también tienen una gran relevancia en esta materia. Respecto al acceso a la ficha clínica, el derecho a la salud, e es importante considerar que hay determinados presupuestos que son excepcionales en torno al acceso de tercero a la ficha clínica. Y también hay un tema bien interesante respecto del acceso de la ficha clínica respecto de personas fallecidas. es una cuestión bastante interesante o esta idea de la personalidad postmortem eh que digamos en derecho comparado está más eh más estructurada que nuestro o está más diferenciado que nuestro ordenamiento. En torno a la digitalización e interoperabilidad, la progresiva implementación de registros clínicos electrónicos plantea desafíos significativos para la protección de los derechos fundamentales. La interpabilidad puede mejorar la la continuidad asistencial, reducir errores médicos y optimizar la gestión sanitaria. Sin embargo, también incrementa riesgos asociados a los accesos indebidos, como ya les señalaba, a usos secundarios incompatibles, a filtraciones masivas de información. Por esto es necesario coordinar estas dos leyes, la 20,584 con la 21719, para que este sistema de salud digital incorpore mecanismos robustos de seguridad, trazabilidad, control de accesos y responsabilidad institucional. General, como conclusión, eh podemos decir que la protección de datos personales en el ámbito sanitario chileno debe ser entendida como una garantía estructural de los derechos del paciente y no como una cuestión administrativa, tecnológica o documental o digital, si ustedes quieren. La información relativa a la salud pertenece al núqueo más más intenso, yo diría, de la vida privada, de la dignidad humana y de la autodeterminación informativa, pues revela aspectos físicos, psíquicos, genéticos, reproductivos, familiares y biográficos de una persona o del ciclo vital de una persona. La interacción de estas dos leyes constituye, por supuesto, un estatuto integrado de tutela sanitaria. La primera, la 21719, aporta el marco general de protección de datos principios como ilicitud, finalidad, proporcionalidad, seguridad, transparencia y responsabilidad demostrada. La segunda, proporción al régimen especial de los derechos del paciente, especialmente en materia de información con sentimiento informado, confidencialidad y ficha clínica. Y en realidad estas son manifestaciones del 19 número cuatro. Desde una perspectiva los datos de salud constituyen datos sensibles, porque su tratamiento individuo puede producir discriminación, estigmatización, daño moral, exclusión laboral, perjuicios patrimoniales y afectaciones profundas a la autonomía personal. Por ello, la ficha clínica no puede ser reducida a un simple soporte documental o digital. Es un repositorio de información personalmente protegida, cuya custodia impone deber reforzados a los prestadores públicos y privados. Consecuencia, el nuevo derecho est chileno de protección de datos sanitarios debe avanzar. hace una comprensión robusta, preventiva, central en la persona del paciente, la salud digital, la inteligencia artificial, la interoperabilidad de registros clínicos y la y la investigación biomédica, que esa es para una ponencia posterior, no son compatibles con los derechos fundamental, o sea, van a ser no van a ser compatibles con los derechos fundamentales, pero exigen gobernanza, trazabilidad, minimización, anonimización, seguridad técnica y responsabilidad institucional. En síntesis, la previón de los datos sanitarios constituye hoy una condición de legitimidad al sistema de salud, una garantía de confianza terapéutica y un presupuesto indispensable para el ejercicio efectivo de los derechos del paciente en Chile. Muchísimas gracias. Bueno, muchas gracias por la presentación. Comenta ahora eh Ricardo Troncoso, director ejecutivo en LA Legal City, expertos en compliance y protección de datos, sector salud e inmobiliario. Adelante, Ricardo. ¿Qué tal? Muy buenos días. Muchas gracias, profesora. Eh, bastante interesante. Se ve un escenario en que nos lleva de alguna manera a transportarnos en el tiempo. ocurre que hace unas décadas atrás, los 80, los 90, cuando observábamos la sala administrativa donde se guardaba la información eh de salud que colgaban en estas carpetas eh cafés colgantes habitualmente y que claro, cuando el dato sensible, categórico, especial del cual hoy día estamos hablando, eh muchas veces quedaba expuesto y otras veces se guardaba bajo siete llaves. Cuando en el servicio de salud eh municipal, por ejemplo, el concejal se había reparado la nariz o la concejala y nadie quería que se supiera aquello. Ya, estos son casos reales ah, que a veces aparecen en discusiones de consejo municipal y se saca la luz. usted se operó en un sistema eh sanitario de salud pública y estaba ocupando esos recursos y hoy día está acá señalando que queremos acceso a todo. Eso ocurre y hoy día tenemos un escenario que nos relata la profesora eh donde tenemos hoy día interoperabilidad, es decir, interconexión. Tenemos un una proyección o mirada hacia lo que es la digitalización. de la eh de todo lo que es el aparato administrativo público. Hay un trabajo importante como política pública de la digitalización. Eh, por otro lado, lo que señalaba también la profesora sobre la el tratamiento masivo de datos para fines de investigación y en este contexto también están van a aparecer eh los derechos ARCO plus con una posibilidad de que ya sea el usuario qui le va a empezar a exigir a quien haga el tratamiento, ya sea en el sector público, privado, qué es lo que está pasando. Puedo pedir la rectificación. la oposición, la suspensión, en fin. Y aquí efectivamente hay un cambio que nos transforma el paisaje, ya el paisaje de cómo yo voy a eh encontrarme tal vez con una sala de urgencia donde si y tal vez a ustedes les ha pasado, yo mientras estoy en el adentro de la sala en el en el box mientras se está atendiendo, no sé, mi hijo porque tuvo una caída en bicicleta, tengo acceso al monitor donde aparece el historial de todos los que se están atendiendo. Entonces, ese paisaje probablemente nos va a cambiar y no nos va a transformar la mirada y cómo actuamos como individuos respecto a el tratamiento de datos en el sector salud. Y aquí, ojo, eh, Imed, que esta eh esta plataforma que permite hacer estas eh claro, estos estas contrataciones de bonos, ya ya tiene de hecho una adecuación de su formularios con casillas que ya no son prechequeables y que dan cuenta de esta triada de que para qué es el tratamiento, cuál es el fin y por cuánto tiempo se va a utilizar. Entonces, eh ya como Pablo Contras debe tener el dato exacto de cuánto nos queda para que entre en vigencia la la ley, ya no estamos anticipando, ya no estamos adelantando hacia el futuro. Ya. Ahora, yo aquí si quiero dejar una una inquietud que tiene que ver con eh la ley de datos acá, la ley de protección de datos, que también se se presenta frente a la 20584, que es la ley del paciente en este caso y que muchas veces nos encontramos con una cantidad de formularios que en el contexto de ambas normativas se van eh completando. ya sea por el paciente o o el familiar que esté autorizado para esto. Entonces, aquí surge un fenómeno que yo ahí descubrí que se le llamaba el síndrome del consentimiento exhauto. O sea, cuando ya tengo una cantidad de formularios, cuando en el banco me piden firmar el mundo y me hacen llenar el formulario número 50, que ya no sé qué es lo que estoy firmando acá, efectivamente estamos cumpliendo con el espíritu del artículo 12 de la 21719 que el consentimiento sea libre, específico, informado, inequívoco. Entonces, ¿será solamente adecuar los formularios o tenemos que empezar a diseñar en este caso desde el origen, o sea, eh el private by design, que es donde nosotros tenemos que ir viendo en qué contexto, bajo qué condiciones y cuál es la naturaleza efectiva del individuo cuando va a entregar su consentimiento y que no caigamos en esta situación de un consentimiento o el síndrome de consentimiento exausto, basta con adecuar los formularios o la ley quiere otra cosa. Muchas gracias. Bueno, muchas gracias a Muchas gracias a todos los panelistas. Vamos a revisar las preguntas que hay del público. Hay que mirarla. Okay. A ver cómo estamos de tiempo. Ah, estamos Ya, ya. La primera pregunta es para Lis y Patricia. Eh, ¿cómo ven el hecho de que hay organismos del Estado que deben actuar en el marco del principio de publicidad de sus actos y de acuerdo a la ley de transparen de acuerdo a la ley de transparencia y al mismo tiempo resguardar los datos personales tanto de sus usuarios, vecinos, funcionarios? Por ejemplo, los permisos mucho que decir es la Bueno, gracias por la por la pregunta. Em, o sea, yo diría que que si bien en el caso de los organismos de del Estado en general que tienen obligaciones eh ya hace bastante tiempo obligaciones de transparencia eh y ahora tienen van a tener también, bueno, tienen, pero ahora sí, ahora sí que sí, a partir del primero de diciembre van a tener obligaciones de de protección de datos personales. A ver, primero, esta nueva regulación supone una presión o crea situaciones de de conflicto, tensión, yo diría, para todos los responsables de datos, no solo para los para los organismos públicos. Eh, claro, más en el caso de los organismos públicos porque se enfrenta a esta a esta doble regulación y deberes de transparencias que transparencia que no tienen todos al menos o no tiene la mayoría de los organismos privados, pero también eh yo diría que en el caso de los organismos públicos o al menos con la labor del Consejo para la Transparencia es donde quizás no sé si hay más avanzado, pero hay bastante, ¿no? El Consejo para la Transparencia eh desde ya hace bastantes años e tiene de hecho tiene una eh una función en la ley 20,285 para velar por la protección de datos en el en los organismos a los que les corresponde fiscalizar. Entonces, no parten de cero. Eh, no sé si todos, pero al menos en los que a mí me me ha tocado ver los organismos públicos que eh tienen que responder eh consultas de transparencia, ya tienen un una práctica probablemente no perfecta, probablemente va a tener que trabajarse bastante con la entrada en vigencia de la nueva ley de protección de datos, pero tienen una práctica de protección de datos al menos para responder a solicitudes de acceso a la información pública. Entonces, es una atención que ya que no es novedosa o no es totalmente novedosa para los organismos públicos. obviamente presenta un desafío, no no digo lo contrario, pero pero ya eh el Consejo para la Transparencia ha avanzado parte de de ese trabajo. Perfecto. Bueno, el profesor Cudu se fue, así que el que hizo la pregunta para él se la hace por LinkedIn después porque eh para Carolina eh a ver, son dos preguntas, así que las voy a tratar de de juntar. E, ¿qué opinas sobre la persistencia de la protección de la ley para personas fallecidas en relación a la protección ulterior de sus datos médicos en relación a terceros y a sus continuos jurídicos? Y cómo y otra pregunta, ¿cómo se abordarían los casos en que se exige un dato de salud para temas de un crédito hipotecario donde el consentimiento para ese dato de salud amarrado porque otra forma nos otorga el crédito? Que son normalmente cuando uno lo mandan a hacer exámenes para tocar el crédito. Es verdad. Ya. Eh, respecto a la primera pregunta. Em, a ver, yo creo que es eh bastante, o sea, la la ley acá permite que los herederos eh conozcan, tengan acceso a la ficha clínica. e hay e ordenamiento, bueno, y ahora y ahora digamos se modifica un poco eso, pero en general lo que lo que vemos en derecho comparado es que hay una distinción en torno a lo que es el interés patrimonial y el interés eh netamente personal. Por ejemplo, si yo tengo eh tengo que estoy en un caso de negligencia médica, evidentemente me interesa tener acceso a la ficha clínica, pero a lo mejor no me interesaría saber eh cuáles son las conversaciones que tuvo mi padre o mi madre con su psiquiatra. Entonces, habría que eh diferenciar en y hay ordenamientos que lo hacen. En español tiene una norma un poco enredada o redactado de una forma como la técnica legislativa no estuvo muy buena ahí. en el derecho alemán hacen la diferenciación y por ejemplo hay casos en que una chica se suicidó eh y la madre quería tener acceso al Facebook o un soldado también eh no tuvo por mucho tiempo eh digamos relación con su madre y ella pidió acceso a la ficha clínica y y se le negó porque en realidad constaba en su terapeuta que, o sea, no lo decía así, pero gran gran su gran tema en el fondo era su relación con su madre, ¿ya? Y la segunda pregunta, como para hacer más eh la segunda pregunta que era con los temas de salud cuando se un crédito hipotecario. Claro. Yo creo que ahí lo que yo diría que efectivamente ahí el tema es como actualmente se hace y todo, pero ahí necesariamente hay un tema de discriminación y estamos a las personas, o sea, que tiene que ver eh y es como lo que pasa con las personas mayores, que a la cual yo me dedico exhaustivamente, o sea, el tema de los créditos y de características que no tienen que ver con mis aspectos patrimonial. señales son bastante, pero a lo mejor voy a complementar, pero ahí tiene que ver también con el tema del seguro, que finalmente hay un seguro desgraen asociado al crédito hipotecario que es el que se paga. Claro, sí. En el fondo desde el punto de vista de digamos de la empresa, evidentemente voy a necesitar todos los la mayor información posible para que el negocio rente porque claro, por eso no le doy crédito a a personas de determinada edad o por eso no le quiero dar crédito o por eso laiza prediscriminaba a personas que tenían preexistencia o y por eso en el fondo es tan interesante el tema del de del olvido oncológico, porque en realidad si yo tengo ese antecedente nunca le voy a dar un crédito. Entonces, en el fondo estamos teniendo la tendencia a evitar ese tipo de discriminaciones, porque efectivamente lo que hacen es mirar no al titular del derecho, sino que lo que hacen es mirar el negocio que está detrás, quien efectivamente no le interesa eh darle crédito a una persona que tiene preexistencia, una persona que tuvo bueno, ahora ya no cáncer, aunque hay ahí temas eh hay determinados aspectos, por ejemplo, las personas que reciben todavía fármaco, etcétera, pero efectivamente eh desde un punto de vista del titular es bastante cuestionable, ¿no? Así depende en el fondo si me está preguntando la empresa me va a decir que no, porque va a tener todos los todos los datos son necesarios. Yo quiero complementar un poco a Carolina muy cortito, eh, que en el fondo todo este tema de la discriminación en que está Alberto, yo también estoy ejecutando un proyecto FC de eso, viene superfuerte. viene, por ejemplo, en leyes que han pasado se percibida la ley, cierto, del del derecho de olvidó hay leyes, por ejemplo, en materia de copropiedad, la ley de copropiedad inmobiliaria también prohíbe la discriminación. Ahora, eh, la discriminación de A por vejez, también hay otra norma ahí. Entonces sí, y esto es tema para otro seminario, ¿no? Pero a mí me da la impresión que el derecho civil en parte se está constitucionalizando en esto porque hay muchas normas nuevas, uno puede hacer un levantamiento en que prohíbe la discriminación para muchos grupos vulnerables, más allá de la Constitución y más allá de la ley Samudio. Es un tema en el fondo como examinar y Carolina tiene toda la razón porque al final del día eh en en España, por ejemplo, no se puede discriminar, ¿cierto? por la orientación sexual ni por el sexo. Todavía aquí no tenemos norma expresa, pero la ley Samudio debería habilitarnos para evitar eso. Entonces, es un tema asociado, pero no menos importante, eh, que los datos personales. Yo creo que es lo que se viene a partir de ahora. Perfecto. Bueno, un temazo para hacer otro. ¿Tú quieres comentar algo? Sí, para Sí, para complementar que recién eh hace unos meses atrás salió un fallo de la Corte de Apelaciones de Santiago. Aquí tengo el dato 17779 del año 2025, que tenía que ver con un reclamo que interpuso un cliente del banco que le exigían eh la el capturar el rostro para efecto de que se actualizara su su aplicación del banco del Banco del Estado. Entonces, claro, aquí ya no solamente acogió, bueno, acogió el recurso, pero además hizo mención a que tiene que haber una opción, o sea, sin opción no hay consentimiento. Claro, porque eran en el fondo por el reconocimiento facial la discriminación, la edad, la discapacidad. Claro. Ahí corría el tema de la discriminación porque la persona tenía una una parálisis, entonces no tenía otra opción. ¿Cómo voy a Bueno, eso. Bueno, muchas gracias al al panel. Un aplauso, por favor, para pasar al siguiente. Estamos Ah, ya. Ah, una foto. Martín, tiene que sacar una foto. Ya. Bueno, tenemos un regalo de la de la universidad. Ay, qué lindo. Muchas gracias. Muchas gracias. Muy amablimo. Muchas gracias. Me encantan estas yo tengo nos ponemos acá, o sea, el consentimiento no existió aquí, pero pero tú también por favor Claro. Ah, ya. Seguro. Martín e dos gracias. No, no, yo no voy a estar en contacto. Claro que sí, tenemos el correo. Sí, de todas maneras, ¿no? Inteligencia artificial también estaba ahí, sí, un montón. De hecho, para los No, yo molesto los gatras, pues le digo, "Oye, los WhatsApp y con pasarse con el tema de la imagínate, ¿no es cierto? Cuando alguien quiere revivir algo, ¿no? Claro, pues los deakí están como todos registro psicótico. Muchas gracias. De nada. Okay, vamos con nuestro cuarto y último panel titulado Desafíos para el sector público. Esta mesa está integrada por la profesora Viviana Ponce de León, profesor Pablo Contreras y la profesora Alejandra Castillo. Y la moderación estará a cargo de Andrés Marín. Muchas gracias. Voy al final. Gracias a todos por quedarse a este último panel sobre los desafíos del sector público. Vamos a partir por la ponencia de Viviana Ponce de León, abogada de la Universidad Católica del Norte, doctora en derecho en la Pontificia Universidad Católica de Paraíso, profesora e investigadora en la Facultad de Derecho de la Universidad Diego Portales y coordinadora de la asignatura de derecho regulatorio en esta misma facultad. Ella nos va a hablar sobre el impacto de la Ley de Protección de Datos Personales en la investigación social y los comités de ética. Hago un breve paréntesis para recordarles que pueden hacer sus preguntas a través de los códigos QR. Muchas gracias. 15 minutos. Sí, me falta la presentación. la presentación. Eh, buenas tardes. Quiero partir agradeciendo al equipo organizador por generar este espacio de debate y a ustedes por estar presentes hoy participando. Mi presentación trata acerca de quién valida los fines de estudio e investigaciones del tratamiento para efectos de la aplicación del artículo 16 quinquies. Y eh voy a analizar esta situación particularmente a partir de los estudios e investigaciones que conduce el Estado, sin perjuicio de que muchas de las observaciones que voy a desarrollar aplican también a otros agentes. El punto de partida de mi presentación es que hay una norma especial que establece un régimen privilegiado para el tratamiento de datos para fines de estudios e investigaciones, entre varios otros, y que se traduce en eh concretamente la posibilidad de retener indefinidamente los datos. Y entonces la pregunta que me surge a partir de este artículo es, ¿a quién se le aplica? Y esto podría ser o podría parecer un poco obvio, ¿no? ¿Quién conduce estudios e investigaciones en Chile? Por supuesto que universidades y centros de investigación, pero esa es solo la punta del iceberg. Hay otros dos grupos o dos categorías de sujetos que también realizan estudios e investigaciones, pero que no las realizan con fines de publicación o con fines de presentación en congresos académicos y que por esa razón uno podría perderlos de vista. Me refiero específicamente a las empresas que pueden conducir estudios e investigaciones para fines de innovación y mejora de sus procesos y al Estado que también conduce estudios e investigación para mejorar sus propias políticas y sus procesos institucionales. y la presentación se va a centrar concretamente en el estado. ¿Qué caracteriza esta investigación que hace el Estado? ¿Y cómo la distingo de la que realizan estos otros agentes? No me estoy refiriendo aquí a la investigación que el Estado encomienda a particulares vía convenio, vía licitación, sino la que realiza directamente a través de sus unidades internas, ¿no? Y esta es una investigación que, como se imaginarán, está basada predominantemente en datos. No es una investigación que eh requiera tejidos humanos ni que requiera necesariamente entrevistas o focus groups o o observaciones de campo, sino que perfectamente se puede basar solamente en el análisis de datos secundarios que el órgano respectivo ya tiene en su poder. En la lámina aparecen ejemplos de distintos tipos de órganos del Estado que a través de sus unidades internas realizan este tipo de investigación, incluyendo servicios públicos, ministerios, pero también órganos que no pertenecen a la administración, ¿no? Para mostrar también que este es un fenómeno muy transversal y eso se debe a factores eh relacionados con la eficiencia, ¿no? El Estado tiene personalizado que puede conducir estas investigaciones directamente sin necesidad de depender de los particulares y además retiene el control de los datos, ¿no? Esas son algunas de las ventajas que explican que este fenómeno en virtud del cual el Estado realiza estas eh investigaciones y estudios directamente vaya en crecimiento, ¿no? ¿Por qué preocuparse especialmente del Estado eh por oposición a los otros dos agentes que realizan este tipo de actividad? Y aquí solo como paréntesis, por maniática quiero decir que yo hice la presentación en PDF para que no pasara esto, que era mucho más bonita cuando yo la hice, pero se se movió, ¿no? Supongo que habrá habrá algún problema de de formato de promedio no que no me es imputable, ya puedo dormir tranquilado. Entonces, ¿por qué preocuparse especialmente del del Estado? Bueno, porque el Estado tiene eh para sus distintos tipos de órganos eh bases de licitud en el tratamiento expresas, explícitas en el artículo 20 y en el artículo 54 y se corre el riesgo de que esas bases de licitud se tomen como un cheque en blanco, ¿no?, para realizar cualquier tipo de tratamiento con cualquier tipo de fines y de esa manera, por esa vía lograr acceder a este privilegio de retención indefinida eh o por tiempo indeterminado de los datos. En segundo lugar, el los datos que maneja el Estado son tan masivos que pese a eh eventuales resguardos como anonimización que se puedan adoptar, el riesgo de reidentificación es extremadamente alto. En tercer lugar, y aquí ya estamos adentrándonos en una cuestión más compleja, esta investigación y estos estudios se utiliza para informar políticas públicas y normas jurídicas, ¿no? Y entonces, si por alguna razón los datos están sesgados, se corre el riesgo de que la política o la norma sea sesgada y estigmatice o discrimine a ciertos grupos. Y con eso llegamos al último punto. Se corre el riesgo de que se cuestione la validez de la política y la norma. Si el estudio no está debidamente conducido, entonces el acto podría carecer de motivación. Esa se me ocurre que podría ser una una posible un posible fundamento que se podría esgrimir para eh cuestionar la validez de la política o norma. Y entonces la investigación del Estado es algo que nos debiera preocupar porque eh de lo contrario se podrían producir ciertos impactos sistémicos, ¿no? ¿Quién valida? Entonces, volviendo a la a la pregunta inicial, ¿quién valida los fines de estudio o investigación en Chile para efectos de este artículo 16 quinquis? Se me ocurren varias alternativas. Me gustaría mucho escuchar eh si si tienen alguna opinión distinta al respecto, pero una primera alternativa es que lo haga el propio responsable, incluye aquí al al delegado de Protección de Datos, por supuesto. Eh, y aquí nos encontramos con el problema de los incentivos, ¿cierto? ¿Cuál es el incentivo que tiene el propio responsable de datos? calificar su actividad como de estudio o investigación para acceder al privilegio, pero eso le expone al dejo de luego ser fiscalizado, que se determine que esa calificación no era correcta y que se le aplique una sanción, ¿no? Luego, la segunda opción que se me ocurre es que esto se encomiende a una empresa auditora externa. Pero lo que hace esa empresa, su labor está centrada en acreditar la seguridad técnica, no calificar una actividad como estudio o investigación. En tercer lugar, se me ocurre que podría ser la agencia, pero la agencia fiscaliza exposto, ¿no? Y certifica modelos de prevención en general, pero no eh valida protocolos de investigación específicos. Pero normativamente en Chile hay una cuarta opción, ¿no?, que son los comités de ética científica que están reconocidos legalmente y que pueden operar en la medida que estén acreditados por autoridad administrativa, autoridad sanitaria específicamente. Y como esta colisión de dos mundos pudiera parecer rara, anticipo que esa es la opción que me que me parece que que sería la adecuada. Eh, quiero profundizar un poco en que es un comité de ética científico. es un una entidad colegiada que está regulada en la ley 20, eh 120 sobre investigación científica en seres humanos y que se encarga de evaluar protocolos de investigación en cuanto a su metodología, en cuanto a su calidad y sobre todo en cuanto a las medidas de protección que se adoptan de los derechos de los participantes en general. Y entonces aquí quizás ustedes con una dosis saludable de suspicacia podrían decir, esto tiene que ver con salud, no tiene nada que ver con datos personales, pero la práctica nos indica todo lo contrario. Nos indica que las investigaciones que son evaluadas por comités de ética en Chile actualmente eh incluyen también investigaciones con datos. No, aún cuando no haya ningún tipo de contacto directo con los participantes, aún cuando no haya ningún tipo de contacto físico. Y esto incluye todo tipo de datos, no solamente datos de salud. Y allí está lo interesante, ¿no? La investigación social, la investigación sobre datos socioeconómicos, administrativos, tributarios, etcétera. También queda comprendido aquí y eso se debe a que el reglamento de la ley expresamente precisa que la investigación científica biomédica en seres humanos incluye el uso de este tipo de información, ¿no? Y entonces aquí el participante ya no es el cuerpo, no es el el individuo físicamente considerado, sino el dato. Y eso se explica porque el riesgo es casi tan intenso como cuando hay intervención física, cuando inyectamos algo, cuando hacemos un experimento donde tenemos que extraer tejidos. No, no es el el el mismo riesgo exactamente, pero es de la misma intensidad, de la misma severidad. Y aquí eh quiero hacer un disclosure. Yo soy además integrante de un comité de de ética y entonces no es que quiera atraer más negocios. Eh, lo que estoy planteando hoy no refleja necesariamente una preferencia personal, sino lo que creo que eh es la solución normativamente correcta, ¿no?, en nuestro ordenamiento jurídico y además creo que es una evolución realista y predecible de lo que ya viene ocurriendo. ¿Qué es lo que ya viene ocurriendo? ¿Qué órganos como la Contraloría y el Consejo para la Transparencia exigen la validación de un comité de ética para investigaciones basadas en datos de particulares, perdón, de particulares que utilizan fondos públicos? ¿Ya? Y entonces también allí ustedes con una cuota saludable de suspicacia podrían decir, pero son particulares, estamos hablando del Estado. Lo que pasa es que eh hay un déficit de vías institucionales en la actualidad que permitan eh impugnar la los estudios y las investigaciones que hace el Estado. La Contraloría revisa legalidad y gasto y el Consejo para la Transparencia solicitudes de acceso, pero el Estado no requiere solicitar acceso a nadie porque son sus propios datos y eso perfectamente podría y va a cambiar cuando se implemente la nueva ley, porque allí sí van a haber vías de impugnación directa y lo más razonable, lo más esperable es que se aplique el mismo criterio para la misma actividad, ¿cierto? Y con los mismos riesgos e incluso agravados. según lo que se explicó antes. Entonces, pese a que lo veo como una evolución realista y esperable, es necesariamente la mejor o la más eficiente. Y yo aquí tengo mis serias dudas porque los propios comités de ética científica no están conscientes de cómo la implementación de la reforma va a impactar en su labor. Y yo me atrevería a decir que no estamos preparados, ¿no? Todavía estamos en la lógica de eh cómo se tiene que redactar un buen consentimiento informado y entonces ahora nos vamos a encontrar con desafíos técnicos de de envergadura que probablemente no vamos a poder manejar. Y por otro lado también eh el Estado y las empresas que realizan estudios e investigaciones probablemente no anticipan esta necesidad, no la ven, ¿no? Y entonces, para ir cerrando, yo veo aquí que hay un punto ciego en el debate sobre la implementación de ley de protección de de datos. Eh, si bien estas reflexiones aplican transversalmente a distintos actores, como como he mencionado, creo que hay razones especiales para preocuparse por el por el Estado. hay una salida institucional que podría cambiar a futuro, pero a condición de que haya una reforma y se cree una institucionalidad específica, eh la ventaja que proporcionan los comités de ética es que eh son capaces de generar un medio de prueba preconstituido que se pueda hacer valer ante la agencia, ¿no? Y en ese sentido representan un resguardo importante para quienes realizan estudios e investigaciones. Pero si no se pone atención en este punto, se corre o se enfrenta un escenario de alto riesgo regulatorio donde todos siguen operando como lo hacían antes y creen que están cumpliendo, pero en realidad no lo hacen. Con eso termino. Gracias. Muchas gracias, Viviana, y muchas gracias por cumplir el tiempo. Ah, qué bien. Continuamos con don Pablo Contreras. Don Pablo también abogado, doctor en derecho de la Universidad de Northwestern, director del doctorado en derecho de la Universidad Central de Chile y socio de la empresa Data Compliance. Don Pablo nos va nos va a hablar del fundamento y exigibilidad de los derechos de los titulares ante los sistemas de decisiones automatizados empleados por organismos públicos y va a exponer una defensa. Tengo una presentación. Una presentación. Tienes una presentación y la mandé por correo antes. La mandaste como me dijeron. Muchas gracias. Eh, la envié por correo electrónico. Apenas me pidieron, digamos. Ah, no sé si tengo la tengo acá, pero ¿cómo te la puedo sacar? Por correo. Por correo. Ya. Espérenme un poco. No me castiguen con el tiempo. No, por supuesto. Somos flexibles. ¿Quién? Tomá. ¿Cuánto? C A N I F U Q Q @ No, no te lo mand. Sí. Ya. ¿Y cómo se lo mando? Espér un poco. No llegó Carlos de Voy a reenviar el correo de Fal, o sea, Ya está, ya está, está listo. Perfecto. Vamos avanzando. Ahí está. Ya, ahora sí. Perdón. Quiero agradecer especialmente a la Universidad de Diego Portales y Alejandra. Este seminario nació de una de las conversaciones después del primer del tercer congreso chileno de derecho y tecnología y creció exponencialmente de de la idea original. En ese momento me tocó exponer sobre las reglas aplicables a los órganos constitucionales autónomos y a propósito de eso, hay un trabajo que vengo desarrollando respecto de la exigibilidad y el fundamento para esa exigibilidad de ciertos derechos de los titulares respecto de los organismos públicos en general. Aquí lo voy a enfocar eh con relación a los órganos, o sea, con relación a los sistemas de decisión automatizada. Ya voy a plantear un discurso, un argumento normativo que de ser aceptado como tal tiene consecuencias prácticas para los organismos públicos y eh trataría de dilucidar un problema actualmente en la intelección de las reglas de la ley. Respecto a qué derechos tenemos los titulares de datos e cuando el organismo público es responsable. Y esto es relevante porque las reglas de remisión que hace el título cuarto de la ley a el resto de la ley para decir qué normas se aplican a los organismos públicos son reglas que, a mi juicio eh en el ámbito del derecho de los titulares es son defectuosas. Entonces, eh ¿qué tipo de protección tenemos cuando el Estado utiliza, por ejemplo, sistemas de decisiones automatizada? Esa es la idea, ¿ya? Eh, la ley respecto de todos los responsables de datos, salvo por los e digamos organismos públicos, lo establece con total claridad, es decir, para todo el sector privado está el artículo 8 bis, ¿ya? que establece el derecho de oposición a perfiles y a decisiones que sean adoptadas automatizadamente y que tengan efectos significativos eh respecto de los derechos del titular. Ya, esto que así en abstracto suena muy complejo, pero esto significa básicamente que algoritmos que generen decisiones automatizadas o cuatadas eh como predictores de riesgo, crediticio, de riesgo fiscal, eh ranqueo de preferencias, perfilamiento individuos con base a estos algoritmos, etcétera, etcétera, que va desde lo que consumimos en Netflix hasta eh el predictor de riesgo que utiliza el Ministerio Público en materias de casos de violencia intrafamiliar. Todos esos sistemas tienen impactos eh disímiles. Por cierto, no hay un efecto jurídico significativo en que me recomienden películas de Roma en Netflix y sí hay un impacto muy significativo si eh no se constituye una alerta temprana en el predictor de riesgo del Ministerio Público. Ya, para eso está el artículo 8 bis. El problema está dado porque eh la forma en que regula los derechos respecto de los organismos públicos es una forma defectosa. Ahora, este derecho que está en el artículo 8 bis es un derecho que ha sido mejorado de la experiencia europea. Tiene una serie de elementos, no voy a hondar sobre eso. con con Pablo Violí hemos escrito un par de artículos al respecto en donde explicamos cómo esto ha ido mejorando respecto de la experiencia europea y cómo se anticipó incluso a decisiones que durante el 2025 tomó el Tribunal de Justicia de la Unión Europea. Uno de ellos es establecer expresamente el derecho a la explicación cuando exista una decisión automatizada que genere efectos significativos sobre el titular. Ya. Eh, mi tesis central es que este derecho es parte del contenido esencial del derecho a la autodeterminación informativa y, por lo tanto, es oponible por parte del titular respecto de los organismos públicos. Y esto se respalda en una lectura armónica con la Constitución, por un lado, eh, y en la mejor lectura de las posibles reglas de la Ley 21719 en esto, ¿no? Ya. Entonces, hay aquí un fundamento material del derecho fundamental en cuestión y entonces aquí es donde importa saber a qué obliga el derecho fundamental, cuál es el objeto del derecho fundamental. Eh, aquí importa también conocer la historia del derecho fundamental y por qué se tomaron ciertas decisiones en la tipificación del enunciado y fundamental. Aquí importa también porque esto es más coherente en la interpretación tanto de la ley como de la ley con la Constitución y por qué evitar resultados que serían potencialmente discriminatorios en donde un titular tendría ciertos derechos respecto de los privados pero no los tendría respecto del Estado? Ya aquí a mí también me pasó Vivión, ¿viste? Ahora, ¿cuál es la consecuencia práctica de esto hoy día? Eh, no todos estos algoritmos tratan datos personales, pero hoy día el repositorio de algoritmos públicos de la Universidad Adolfo Ibáñez reporta que tenemos 162 algoritmos eh que varios de ellos, yo diría la mayoría, tienen efectos potencialmente significativos sobre el ejercicio de derecho de de los titulares. ¿Ya? Y el problema es que el artículo 21, que establece las remisiones, a qué normas van a aplicarles a los organismos públicos, dice expresamente que se le aplican ciertas normas de la ley, ¿ya? Y entonces ahí dice, "Respecto de los derechos de los titulares se aplica los artículos 4 a octavo, ¿ya? Y eso significa que se le aplica el derecho de acceso, de rectificación, de supresión y de oposición. ¿Y cuáles son los derechos que quedarían fuera de aquello? Sería oposición a decisiones automatizadas y elaboración de perfiles, portabilidad y bloqueo, ¿ya? Eh, y no ni al artículo 9, ¿ya? Eh, y ese es el problema normativo de cómo resolvemos esto. Ya. Ahora, mi impresión es que esto hay que resolverlo desde la Constitución. Yo yo soy constitucionalista de formación original, digamos. Entonces, eh si uno toma la primera decisión del Tribunal Constitucional Federal Alemana, hay una frase muy notable, dice, eh, ¿desde dónde surge la idea de la autodeterminación informativa? es decir, de resguardar a nivel de derecho fundamental la capacidad de autocontrol de la información personal por parte del titular. Hay una expresión que que está muy claramente visualizada desde 1969, ya que en ese tiempo ya se vislumbraban, ya se habían sabido cuál eran los riesgos que las condiciones de procesamiento de la información generaban para las personas. ¿Ya? Entonces, no vamos a entrar en la discusión sobre eh cuál es el trauma alemán que está detrás de esto, pero el Tribunal Constitucional dice, "Mire, para el Estado de la sociedad industrial moderna existen límites frente a la despersonalización técnico-administrativa. Y cuando el Estado utiliza sistemas de decisiones automatizadas, está haciendo eso de forma algorítmica, está eficientizando su gestión. eh pero está perfilando personas y está ponderándolas con ciertos contenidos, propiedades, caracteres dentro de una juguera algorítmica que da ciertos resultados. Ya, esas condiciones modernas de procesamiento son las cual son las que estaban en vista, no un algoritmo de inteligencia artificial, pero sí la el procesamiento computacional de información en vista cuando se reconoció por primera vez este derecho fundamental. Por lo tanto, el origen de este derecho no es el único efecto, pero el destinatario era que el Estado tuviera como límites la autodeterminación informativa a los titulares cuando procesaba esa información personal. Eso es lo que está detrás y eso es importante. Esto era con el censo. Imagínese. No habían predictores de riesgos de reincidencia. Ah, no había predictores de riesgo en materia eh eh de niños, niñas y adolescentes, ya no habían predictores o ranqueos de preferencias para asignación de recursos médicos, como camas, por ejemplo. No, no existía eso. Pero es el mismo fundamento para efectos de cuál es el impacto de la decisión estatal asistida algorítmicamente, ¿ya? Y por lo tanto el artículo 8 B se diseña para enfrentar eso, para brindar información al titular, para que pueda ejercer sus derechos, para tener explicabilidad sobre la decisión, para requerir la intervención humana y poder revisar esa decisión y, por lo tanto, la misma revisión de la decisión cuando produce eh impacto sobre los titulares. Ese es el contenido del artículo 8 bis. No es solo un derecho de oposición, es un derecho muchísimo más rico que la mera oposición a la elaboración de de perfiles y de uso de estos sistemas de decisión automatizada. Ahora bien, esto este fundamento y este contenido del derecho empalma bien con la decisión que tuvo el constituyente derivado en la reforma del 2018. Fíjense que la moción original establecía el derecho a la protección de datos, fijando expresamente cuál eran las facultades del titular. Acceso, rectificación, decía cancelación. Hoy día en la ley dice supresión y oposición. ¿Ya? Y esa opción de redacción o digámoslo así de determinación del tipo y fundamental fue rechazada por el Congreso y se optó por un tipo yus fundamental abierto. Se dijo, "No, no vamos a tipificar cada una de las facultades del titular." ¿Por qué? Porque no queremos que este enunciado se vuelva obsoleto normativamente si aparecen nuevas facultades del titular que queremos resguardar. Y el ejemplo que se daba en ese momento era la portabilidad. Se discutía, ¿por qué estamos dejando fuera la portabilidad? No es que no está reconocida en la ley. Bueno, pero el derecho debería proteger una facultad que después el legislador debiese regular. Eh, y eso era lo que estaba en el kit de la decisión de por qué dejar el tipo yus fundamental abierto y no cerrado a las facultades precisas del titular. Por lo tanto, se configuró una reserva legal de carácter complementaria. en la tipología reservas constitucionales que ha hecho Gonzalo García. Aquí la ley era encargada de determinar las facultades del titular que eran parte del contenido esencial del derecho fundamental. Por lo tanto, esta decisión fue deliberada precisamente para que si el legislador quería establecer la oposición a decisiones automatizadas, la portabilidad o el bloqueo, esas facultades del titular fueran parte del contenido eh yo fundamentalmente protegido del derecho. Por lo tanto, la interpretación de que el derecho de oposición es parte del contenido del derecho es consistente con la decisión legislativa que dejó abierto el tipo y fundamental. Eso además permite ser coherente con una interpretación eh sistemática de la ley, porque la ley establece en el artículo 4 la enunciación de los derechos, ¿ya? Además, al responsable, en este caso a los a a los organismos públicos, los obliga igualmente a publicar si tienen decisiones automatizadas o no y a publicar la lógica aplicada en esos casos. Lo mismo aparece en el derecho de acceso, el acceso a la lógica en sistemas de decisiones automatizadas. Y en el caso del procedimiento de tutela de los organismos públicos, eso también está referido genéricamente a los derechos del titular. Ya, de hecho, esto es algo que ha puesto por escrito la profesora Ponce de León, eh, que el caballo de Troya, por ejemplo, para decir que si es procedente el ejercicio de este derecho respecto a los organismos públicos, estaría dado por la referencia del artículo quinto, letra F. El derecho de acceso garantiza el acceso a la lógica aplicada en sistemas de decisiones automatizadas y eso sería evidentemente consistente con tener un derecho de oposición que permita tener explicabilidad y que permita requerir intervención y revisión de la decisión. Eh, ahora eh me parece que todo esto es mucho más consistente cuando se reconduce a la norma y fundamental y sobre todo porque para efectos de ir cerrando la interpretación, la consecuencia de rechazar eh la aplicabilidad del derecho de oposición a decisiones automatizadas sería un trato completamente desigual entre los derechos de los titulares en el sector privado respecto del sector público. Ya, un banco tendría que tener, una compañía de seguros tendría que garantizar todos los derechos del artículo 8 bis respecto a los titulares, pero no lo tendría que hacer servicio de impuestos internos cuando utiliza sus algoritmos predictores de posibles fraudes fiscales. Esta conclusión sería inconsistente con la Constitución, con el derecho a la igualdad de la ley y con el artículo 19, número 26, respecto de la garantía del contenido esencial del derecho a la autodeterminación informativa. Una lectura excluyente del artículo 21 y sus remisiones, lo que produciría sería un resultado ciertamente inconstitucional en esa en esa materia aquí en estos casos. Conviene recordar que a veces el rey va desnudo y en este caso las remisiones son claramente un problema de error en la remisión a los derechos de los titulares y la posibilidad de salvar ese error está dado por una interpretación correcta desde el punto de vista normativo, conforme a la Constitución y conforme al resto de las disposiciones de la ley. Por lo tanto, concluyendo, estoy pasado 28 segundos. Eh eh en mi opinión, el fundamento de la autodeterminación informativa y la correcta interpretación de las normas que están en juego dan lugar a los titulares a un derecho de oposición al uso de sistemas de decisiones automatizadas que generen efectos significativos sobre la persona eh por el fundamento del derecho consagrado en artículo 19, número 4 de la Constitución. en concordancia con el principio de igualdad constitucional, el derecho de igualdad constitucional y la garantía del contenido esencial del artículo 19, número 26. Y esta es la mejor forma de salvar el defecto de remisiones que hizo el legislador respecto de los derechos de los titulares de datos con relación a los organismos públicos. Muchas gracias. Muchas gracias, profesor Contrera. Y continuamos con la última ponencia de este panel con Alejandra Castillo Ara, ella es abogada, magister y doctor Yuris por la Albert Ludwig Univers, académica jornada completa de la de esta casa de estudios, directora del programa penal y directora de vértice legal. Ella expondrá sobre el artículo 8 bis de la ley número 21,719 como derecho de los titulares, el caso especial del Ministerio Público y el uso de la inteligencia artificial en la persecución penal. Bueno, muchas gracias. Muchas gracias a la gente que ha aguantado hasta esta hora. Eh eh yo sé que ha sido duro y probablemente este sea el panel con menos interés para la práctica tal vez, pero eh bueno, estamos acá para levantar temas de discusión. A mí efectivamente me o sea, me dieron muchas ganas de exponer sobre esta problemática porque con Pablo lo conversamos al término de el tercer congreso de derecho y tecnología en la Universidad de Chile, eh que justamente el panel donde se discutió esto yo estaba moderando más no eh exponiendo, así que quedé con la bala pasada porque efectivamente hay una cuestión que a mí me genera cierto, o sea, me genera mucho problema y que yo creo que está siendo poco discutido y tematizado que efectivamente obviamente la automatización y la utilización de softwares eh en la investigación penal pública por parte del Ministerio Público, ¿ya? Y es que primero que todo, yo creo que si hay un organismo público respecto del cual va a ser va a haber especial resistencia para la implementación de esta ley, eh va a ser eh en por parte del Ministerio Público. Es decir, el shielding o este excusa respecto de nosotros siempre vamos a tener un interés público más público que todos, porque efectivamente la función de la persecución eh del crimen y del crimen organizado es lo que hoy día mueve al país y por eso no tenemos que cumplir básicamente con ninguna ley. Yo creo que eso no en esos términos tan burdos, pero ya se está más o menos levantando y yo creo que eso es peligroso. Ah, y a mí me preocupa entonces en esta medida dos cuestiones fundamentales. Lo primero que tiene que ver con el los incentivos a nivel administrativos perversos, digo yo, para efectos de la persecución del crimen en términos de ah cerrar causas lo más rápido posible, favorecer la celeridad y la rapidez en la tramitación de los procesos, eh sin ningún tipo de miramientos a sacrificar la calidad de los procesos. Y para esa finalidad es que efectivamente se ha implementado este nuevo software desarrollado por el Ministerio Público y la Universidad de Chile que es el denominado fiscal Hered IA, ¿no? Por inteligencia artificial, muy creativo. Ese es el primer problema, pero que se asocia al segundo y que es una realidad y que las leyes dan cuenta de esto, que es la apertura y la intensificación en las facultades de persecución e investigación del Ministerio Público a raíz de todas las leyes recientes que se han dictado, favoreciendo, entre otras eh la utilización de medios extremadamente intrusivos para las investigaciones, tales como la intervención remota de aparatos digitales por delitos, simples delitos que te puedan tener una sanción penal en abstracto de 61 días. Pueden tener una intervención de aparatos de manera remota y subrepticia. Usted no sabe que le están interviniendo el computador y le están sacando toda la información. Ah, y no solo a usted, sino que a todas las otras personas con las cuales la persona imputada se esté comunicando. Por tanto, no es una medida intrusiva que afecte solo a la persona imputada, afecta a la persona imputada y a todas aquellas con las cuales pueda tener algún grado de comunicación a través de correos electrónicos, teléfonos, etcétera. Y esas dos cuestiones, evidentemente, es algo que debieran preocuparnos a todas aquellas personas que tenemos algún grado de noción respecto de nuestros derechos titulares sobre la autodeterminación informativa y derechos ciudadanos. Eh, entonces sobre lo primero solamente les quiero contar y me voy a enfocar primero respecto de la utilización de este software, ¿no? este eh fiscal Heredia eh que me voy a permitir citar algunas referencias que se han dicho sobre su uso y que en su lanzamiento tanto el desarrollador Weber como el fiscal nacional Valencia señalaron que esta herramienta permite hacer resúmenes, cronologías de hechos e identificación de patrones comunes, así como encontrar información valiosa en un mar de documentos de distintos formatos. Y lo que antes tomaba 8 horas de ser en ser procesado, hoy solo toma un minuto. Y luego en esa misma instancia se señaló que Heredia buscó los casi 12 prófugos más peligrosos del país y la metodología previa tenía una tasa de éxito del 1% al 3%, mientras que en la actualidad esta tasa subió a un 40%, se señaló en esa instancia para cerrar con que actualmente hay más de 400 personas privadas de libertad gracias a Fiscal Heredia en el lugar donde deben estar y no cometen más delitos en la calle. Ya yo entiendo que por por una parte el Ministerio Público está firmando que mientras más condenas y encarcelamientos, entonces más éxito en la investigación, lo cual es curioso porque yo yo pensaría o esperaría que usted tenga también eventuales absoluciones con un proceso razonable y que la condena no sea la única finalidad de un proceso penal, ¿no? Si hay tiene que haber absolución, bueno, pues hay absolución, ¿no? Eh, eso pasa en un estado de derecho. Y luego yo entiendo también que haya que fomentar la eficiencia en la persecución del crimen organizado, que es hoy día el fundamento primario, ¿no?, para el la extensión de estas facultades, pero que en algún punto entregarle una labor investigativa en el proceso eh de toda la información a un software made in Chile, con mucho respeto a la Universidad de Chile. Yo francamente estoy desconfiando porque si Gemini, Notebook LM, Cloud, etcétera, alucinan, ¿por qué Fiscal Heredia no va a alucinar? Es decir, aún cuando yo le entregue los insumos a la herramienta, tiene un nivel de error que no es sostenible en una investigación penal y que de hecho lo que en principio se hizo, bueno, esto es una herramienta que cuadiuba y en realidad siempre va a tener que ser revisado y mi pregunta es, ¿se está revisando? Y yo creo que no. Es decir, así como hemos visto sentencias frívolas, ¿no?, con citas que no existen, eh así como hemos visto presentaciones de colegas con citas que no existen, eh, yo quiero saber si efectivamente esto está teniendo un control humano. Y por qué me preocupa esto y me preocupa por varias razones, entre otras porque eh he escuchado o se han intentado levantar el argumento respecto de la objeción al perfilamiento y automatización del proceso penal mediante este uso de instrumentos. que esto en el caso del Ministerio Público, además de la dudosa aplicabilidad del artículo 8 bis por ser un organismo público y además un organismo constitucionalmente autónomo, ah, no sería el caso de el la automatización sin intervención humana, porque siempre estaría la decisión del juez. Por tanto, es un proceso en el cual se garantiza, como hay una decisión judicial, que la intervención humana va a existir y eso es incorrecto. Obviamente, y esto es evidente, que en algún punto si alguien dicta una sentencia va a haber intervención humana. Si alguien aprieta un enter, va a haber intervención humana. El problema es la revisión y la intervención humana también de aquel que presenta la prueba, que es el Ministerio Público, y no de aquel que debe valorar la prueba, que es el juez. Ahí la intervención humana ya no me sirve. Es en la etapa previa y eso no se está garantizando hoy día. Y yo creo que no se puede garantizar en el futuro tampoco. ¿Por qué? porque ya se incorporó y se instauró esta idea de la celeridad, la rapidez y la panacea de la inteligencia artificial made in Chile por parte del Ministerio Público. Además, junto con eso, y a mí esto es algo que también me preocupa particularmente y tiene que ver con el uso de la herramienta, no solamente para la valoración de hechos pasados, sino que también como mecanismo de uso predictivo sobre peligrosidad sobre hechos futuros. Es decir, el perfilamiento de personas situadas como peligrosas, que no es nada más ni nada menos que lo que en derecho penal se denomina el derecho penal de autor y no de hecho, es lo que está tratando de implementar hoy día de manera bastante descarada el Ministerio Público con el uso de este software. ¿Queremos nosotros tener una sociedad más segura? Sí, sin duda. ¿Pero a qué costo? Eh, y yo creo que en este sentido no podemos dejar de caer las garantías de los titulares de los datos personales en el sector público por ningún motivo. Se aplica el artículo 8 bis respecto de el derecho a oposición. Yo creo que sin duda, no solamente porque los argumentos que ya presentó Pablo, con los cuales yo solo puedo coincidir ah a nivel constitucional, pero también a nivel legal, es decir, la remisión y la limitación que se hace en el artículo 21 sobre las disposiciones aplicables especialmente al órganos públicos son disposiciones que mantienen expresamente el derecho genérico de oposición de manera estable en los derechos de los titulares. Por tanto, argumentos for theory, si se si se admite el derecho a oposición genérico, ¿por qué no en el aspecto más interventor que es el tratamiento automatizado de los datos? No tiene ningún sentido la lectura de la exclusión. Además, que si hay una exclusión expresa, entonces en algunos pasajes la ley lo ha hecho expresamente. Pero además este mismo artículo de las remisiones a las normas que se aplican a los órganos públicos no se menciona siquiera el título octavo, que es especialmente para eh eh organismos públicos. Entonces, yo creo que hay efectivamente hay un déficit en la técnica legislativa, pero además hay una cuestión eh bastante eh práctica, ¿no? Y que tiene que ver con que eh este blindaje respecto de la oposición o la exigencia sobre el tratamiento y la lógica detrás del uso de estas herramientas de automatización persisten como derecho ciudadano y no decaen aunque sea el Ministerio Público, aunque sea el Banco Central o sea quien sea. Y de hecho ya ello yo hago renacer la génesis también, que alguien lo mencionó y Pablo también lo mencionó la pasada, de la regulación de la protección de datos personales en Alemania. Es decir, efectivamente esto surgió porque Ciudadanos le dijeron al Estado alemán su censo, este censo que usted requiere para efectos del conteo nacional de las televisiones, los habitantes, etcétera, no puede ser a cualquier costo. Pararon el censo por más de un año a raíz de la oposición de personas frente al estado. Y yo creo que eso en Chile también debiera ser posible que pase, porque si no nos volvemos un estado autoritario y esta ley en un estado autoritario no puede eh hacer cumplir su función. Ah, junto con eso y además de eh el tema de las e del uso del software en particular, solamente para hacer ah una referencia a los mecanismos intrusivos que son cada vez más amplios por parte del Ministerio Público, vinculados en su mayoría a la establecimiento y expansión del crimen organizado y de las asociaciones delictivas y criminales, lo cual a mí siempre me ha preocupado y yo invito a la gente a que se lean los informes del Ministerio Público, que en general no se hace porque el concepto que el Ministerio Público utiliza en las investigaciones para efectos de designar medidas intrusivas, no es solo la definición que sale en la ley, es decir, no es que hayan dos o más personas asociadas con tres o más personas para cometer delitos o crímenes, sino que también cuando hay víctima desconocida, cuando hay eh y víctima extranjera o autor extranjero, inmediatamente el catálogo es automáticamente crimen organizado. Sube la cifra con eso, por supuesto. ¿Por qué? Porque es inflacionario y lo van sacando a medida que dan cuenta de que no lo es. Por tanto, las medidas intrusivas asociadas a ese tipo de eh eh de criminalidad eh aumentan, ¿no? El uso del IMS catcher, que es una mecanismo, un mecanismo de geolocalización que lo hace por arrastre. Si yo quiero geolocalizar a un imputado que está en República 105, yo voy a geocalizar a ese imputado y probablemente a todas las personas que estén en las cinco cuadras a la redonda. Cuando yo di con esa persona, ¿qué hice con las otras cco 500 personas que estaban alrededor? ¿A dónde van a alojarse esos datos? ¿Quién los está custodiando? ¿Dónde está la nube de resguardo? ¿Y cuáles son las políticas que tienen de desecho de datos, de anonimización, de pseudonimización de datos, cuáles son los plazos, etcétera? Todo eso hoy día algo que en el Ministerio Público configura una nebulosa. Los organismos públicos tienen según la ley, ah una sujeción especial a los deberes de secreto, ¿no? Y tienen hay una remisión expresa a la ley, a la sanción penal, a la infracción del secreto del 246, 246 bis y el 247 vinculado con el artículo 182 del CPP, el deber de secreto de las investigaciones. Pero mi pregunta es, ¿hasta ahora, sin la ley de protección de datos personales, hemos tenido un secreto y confidencialidad sin filtración en el Ministerio Público? No. Eh, no y y además impúdico porque investigaciones yo no veo corriendo ninguna sobre la gente que está pasando información. Ah, entonces si eso no se está no está siendo protegido y perseguido, yo desconfío de que efectivamente los datos personales de personas que podemos estar asociadas titulares a eventuales investigaciones que terminan eventualmente en absolución o que son datos superfluos porque resulta que mi vecino era el narco, pero yo no, nadie me está diciendo a dónde están siendo alojados esos datos y qué se está haciendo, ¿no? Y en el perfilamiento tampoco. ¿Cuál es el criterio para perfilar? Porque si es que es extranjero o que la persona es víctima desconocida o que vive en tal o cual barrio, el nivel de sejo que se está utilizando para perfilar delincuentes es brutal. Eh, eso solamente para terminar con esto, yo estoy eh completamente a favor de eh la aplicación del artículo 8 bis en términos de la oposición genérica. Me parece que eh artículos como el artículo 222 del Código Procesal Penal y el 225 bis que permiten las intervenciones remotas ah no pueden ser eh concedidas de manera superflua, sino una limitación o una explicación a los ciudadanos y las ciudadanas para saber qué pasa cuando esas investigaciones no llegan a ninguna parte. Y junto con esto, además del fiscal Heredia y la utilización de este tipo de herramientas, solamente les quería comentar que a mí también me habían eh mencionado eh amigos que trabajan en ese sector que la herramienta es bastante deficitaria y por lo mismo en vez de subir las carpetas investigativas a ese eh a ese software lo suben simplemente a Notebook LMET, Chat GPT, etcétera. Y yo quiero saber entonces, esta gente no está teniendo nociones respecto de, de nuevo, dónde está la nube de ese tipo de software, porque ya alguien expuso sobre la adecuación de Estados Unidos en cuanto a la protección de datos personales. Yo creo que no es un país adecuado y es que no lo es. Y si alguien está subiendo una carpeta investigativa a ese tipo de motores, hay que preocuparse. Ah, y con esto entonces solamente yo quiero cerrar. Hay una serie de otras cuestiones que me encantarían eh repasar, pero no hay tiempo ah solamente para los deberes también de denuncia por parte de estos estos software también, por ejemplo, Chat GPT, etcétera, en los casos que ellos también detecten un crimen, ¿no? Eh, que es algo que ya pasó en Canadá. De hecho, uno de los ah gestores o cómo se llama, de no sé, de los el Open Ey, CEO de Open Ey, Sam Atman, pidió disculpas porque Chat GPT había eh eh establecido o eh determinado la futura comisión de un crimen por parte de alguien que se lo confesó y él bloqueó al usuario, pero nunca dio cuenta de eso, ¿no? Por su deber de confidencialidad. Y hay otra cuestión interesante que me encantaría explorar, pero para otro congreso, otro seminario. Eso solamente les quiero decir e invitar a que protejamos nuestros derechos ciudadanos, incluso ante el Ministerio Público y que quienes defendemos nuestros derechos también y los titulares luchar contra el pragmatismo en la persecución y como diría Nusman, ¿no?, la Marta Nusman, la retórica del miedo como error democrático de cara a justificar este tipo de políticas públicas. Muchas gracias. 15 minutit a mañana por la gente tiene hambre. Muchas gracias. Tenemos preguntas. La primera pregunta entiendo que es para la doctora Ponce León y dice sobre los estudios en qué situación, en qué situación quedan las encuestas de satisfacción en especial asociados a PMGS en cuanto a validación y licitud. Eh, en cuanto a validación en calidad de estudio o investigación, eh no había pensado en ese supuesto específico y eso eso requiere también pensar qué significa eh fines científicos de estudio e investigación, porque son tres cosas distintas que se mencionan junto además con fines estadísticos eh históricos. Sí. Eh, y lo que diría que califica a a eh un fin como científico de estudio o de investigación eh como como algo común es que se busca generar nuevo conocimiento, ¿no? O sea, tiene tiene un fin cognitivo eh que puedo no ser publicado, que puedo no ser difundido, eh que puede traducirse en un producto eh digamos la creación de un bien o la creación de un servicio o la mejora de un bien o servicio existente. Y lo segundo es que además de tener este carácter o este esta dimensión cognitiva tiene eh un diseño específico, ¿no? Obedece a un diseño metodológico. Eh y entonces desde esa perspectiva eh una encuesta de satisfacción podría eventualmente quedar comprendida. Yo en la práctica nacional hasta ahora no he visto nunca una encuesta de satisfacción pase por validación de un comité de ética, ¿no? Porque a priori no necesariamente se se aprecian riesgos con el marco normativo vigente, pero por eso digo que eh los comités de ética no están preparados para anticipar los desafíos que le va a imponer la Ley de Protección de Datos Personales. La verdad es que no no tengo una respuesta concreta respecto de cómo se evaluaría ese caso específico. No, no tengo una predicción, pero pero creo que podría quedar comprendido dentro de esa misma finalidad. Muchas gracias. La siguiente está dirigida a los tres, pero creo que pasará más por la respuesta de la doctora Castillo. Para cualquiera de los tres dice la pregunta, ¿qué pasa con la filtración de datos de investigaciones que hemos normalizado tanto? por ejemplo, conversaciones WhatsApp de personas imputadas con sus psiquiatras que son filtradas a la prensa o la eh Contraloría General de la República que no protege datos personales al filtrar datos e informes secretos a la prensa o la Tesorería General de la República que automatiza los datos de los deudores y que son esos datos sacan dinero de sus cuentas personales. Eh, bueno, lo que yo mencioné recientemente, es decir, no solamente la ley enfatiza y hace una remisión expresa a los tipos penales que sancionan efectivamente los la infracción a deberes de secreto, e que hay una que es específica para funcionarios públicos, ¿no? Ah, y también otra que es pertinente para nosotros, abogadas y abogadas. Ah, pero yo no veo que en la práctica haya una investigación y una persecución efectiva de ese tipo de filtraciones. Ya. Ah, yo entiendo que hay algunas investigaciones internas, pero yo nunca he sabido y a lo mejor alguien puede corregirme, de un proceso que esté en curso en contra de funcionarios que eventualmente hayan filtrado, ¿no? porque se sabe que eso viene desde adentro y que no hay cómo acceder si no es que alguien efectivamente entregó la información, salvo que puede ser, y esto no no veo que sea poco probable, a través del uso y de las erradas o ausentes medidas de seguridad efectivamente estén captando información dentro del sistema, que eso tampoco es algo impensado. Ah, pero efectivamente hay una infracción penal para ese para eso efecto en la ley penal, en el código. Ahora en la ley se se remite expresamente a eso y también hay una sanción en el Código Procesal Penal para aquellos que vulneren el deber de confidencialidad en la investigación eh que solamente le compete a las partes. Y también hay una norma particular en la 21675 en materia de delitos que tengan algún grado de relevancia en género con víctimas de delitos sexuales y otros. Eh, si se fijan en el caso Monsalve, que fue muy tematizado, mucha filtración, una de las cosas que no se filtró, parece, tal vez fue alguna compañera, eh fue el nombre de la víctima. Todo el resto sí. Perdón, ¿puedo agregar algo? Porque Claro, es ese es el ámbito penal. Sí. Em, pero aquí hay dos puntos. Primer tres. Primero, los órganos constitucionales autónomos con el Ministerio Público, pero este tipo de filtraciones pasa también, por ejemplo, con Contraloría. Todo el caso de del destino de los niños haitianos es fruto de la filtración de un informe, de un preinforme que que no tenía carácter público. Ya ahí tenemos un problema de seguridad de la información si eventualmente hubiese habido un dato personal ahí. Yo yo no he accedido a ese preinforme. Eh eh entonces es un tema que afecta a todos los a todos los responsables de tratamiento. Primero, ahora en los órganos constitucionales autónomos, el 13 de junio de este año deberían haber publicado todas sus políticas de privacidad. deberían haber publicado los mecanismos para ejercer los derechos, los mecanismos de reclamación y los mecanismos para ser efectiva la responsabilidad por la infracción de e de los deberes asociados en este tema. Ya. Sin embargo, eh bueno, quienes se despertaron como yo, hoy día leyendo el Diario Oficial vieron la resolución de Contraloría. Eh, Contraloría publicó el procedimiento para ejercer los derechos. es lo único que ha publicado y todos lo están publicitando. La Cámara de Diputados ya tenía eh el lunes 15 algunos elementos publicado. Eh e uno no voy a entrar al contenido, digamos, pero Fiscalía, por ejemplo, el Ministerio Público no ha actualizado su política de privacidad y de hecho me estaba metiendo porque yo me metí el ustedes saben que yo soy obsesivo y que estoy contando y faltan 160 días. No quiero que Ricardo se vaya defraudado de esta de esta sesión. falta 160, 160 días y ya expiró el plazo que tenían los autónomos constitucionales para publicar esta información. Eh, y entonces la política de privacidad de el Ministerio Público, la política general es constitutiva de cinco párrafos e y que si no mal son cinco oraciones, perdón, no, no, no. que en distintos navegadores no da cuenta de cuál es el email de contacto para ejercer los derechos, porque da un error en lo probé con distintos navegadores. Ah, entonces eh cuando cuando Alejandra plantea que, o sea, por último hubiese investigación penal, ¿ya? Eh, porque es del giro, ¿ya? Pero, pero cuando no tienes una política de privacidad actualizada conforme al mandato legal del artículo séptimo transitorio de la ley 21,719, ya han pasado bastantes días del 13, 11 días, digamos. Yo igual hice mi solicitud de acceso a la información pública el 13 y el 14 de junio, eh pidiendo todo esto antecente a todos los autónomos constitucionales. Eh, bueno, obviamente es altamente probable que ninguna de estas cuestiones esté siendo abordada desde el punto de vista de la infracción del deber legal de eh de confidencialidad que sí les aplica. Ahora, el problema se va a tener que visibilizar en algún momento porque curiosamente en el juego de remisiones el legislador estableció que a los autónomos constitucionales se le aplica el deber de reportar las fallas, las vulneraciones a la seguridad de la información a la Agencia de Protección de Datos Personales. No sé por qué. Nuevamente, yo creo que el rey va desnudo y eso fue un defecto. Esta era las típicas cuestiones que no deberían haberle tocado los autónomos constitucionales por su autonomía constitucional, pero quedó en la norma. Eh, y por lo tanto eh cuando hubiese una filtración de este tipo, debiese el Ministerio Público no solo iniciar la investigación penal de oficio, sino que además reportar a la Agencia de Protección de Datos y reportar a los titulares de datos afectados para que puedan iniciar sus propios ejercicios de derecho como derecho de acceso, etcétera, y posteriormente, claro, puedan activar el mecanismo que no ha publicado. en el caso, ningún bueno, ningún órgano autónomo eh eh para poder hacer efectiva la responsabilidad por la infracción del deber y posteriormente esa persona, ese titular, eventualmente pueda ejercer su acción de indemnización de perjuicio para la responsabilidad civil. Entonces, esto se complejiza solo para cerrar, porque yo sé que me extendí. Está el tema de la responsabilidad penal, por cierto, pero bajo esta ley va a estar la responsabilidad administrativa interna de los autónomos constitucionales y además cómo el titular puede ejercer sus derechos para posteriormente perseguir la responsabilidad civil eventual de este responsable del tratamiento de datos. Muchas gracias. Y con esa respuesta cerramos. Ah, sí, el deca no va a hablar, pero cerramos este panel, nos vamos a sacar una foto y les voy a entregar. Muchas gracias. Muchas gracias. No, pero la soy organizadora. Eh, ¿dónde estamos la foto? ¿Dónde está la foto? La foto. No hay foto, señor presidente, una fotito. Oye, ahí viene el decano. Señor decano, maestro ceremonia. El decano, presidente. Fotito. Estaba medio buena. Vamos. Bueno, muchas gracias a los expositores. Para dar término a este seminario, dejo con ustedes al decano de la Facultad de Derecho, profesor Jaime Couso. Bueno, muy buenas tardes. Ha sido una jornada larga, son muy breves palabras para despedir eh esta actividad. Eh, y es para agradecer y felicitar a quienes han sido responsables de este seminario, eh, que ha abordado desafíos enormes que tiene la eh que nos plantea la entrada en vigencia de la Ley de Protección de Datos, desafíos de implementación, eh algunos de ellos fundamentales en relación con el rol de los delegados de protección de datos, de gobernanza desde la Constitución de la agencia hasta el papel que a los organismos públicos y al sector privado le corresponde, ¿no? en general una gobernanza para la aplicación de la ley y desafíos no menos relevantes en la protección de los derechos eh constitucionales, los derechos fundamentales de todas y todos nosotros. E la facultad se ha ocupado de estos desafíos desde ya algún tiempo con otros seminarios el año pasado, con cursos que estamos ofreciendo un nuevo curso en agosto de formación de delegados de protección de datos que vamos a ofrecer a partir del 17 de agosto y y este seminario que tenido una convocatoria, ¿no?, eh muy impresionante y que releva la importancia y la calidad de quienes eh eh expusieron, pero también el enorme interés y eh ansiedad, casi podríamos decir lo que genera, ¿no?, la entrada en vigencia de la ley. Eh, quiero en particular agradecer y felicitar a la profesora Alejandra Castillo por la organización de este evento, la colaboración también del profesor Osvaldo Artaza de la Casa e y el trabajo de la de la AC, ¿no?, de su presidente, Rodrigo Reyes, egresado de esta facultad, lo que nos honra, presidente de la Asociación Chilena de Ética y Compliance y de la Asociación de Profesionales de Protección de Datos Personales, ¿no?, que también nos acompaña su presidente. Muchísimas gracias por eso y a todos quienes asistieron y expusieron en el día de hoy y muy buenas tardes. Gracias por acá.

Protección de Datos en la Práctica: del rol del DPO al cumplimiento sectorial

Hacer Pregunta

Respuesta:

Historial de Preguntas

Análisis

RESUMEN

IDEAS PRINCIPALES

INSIGHTS CLAVE

CONCLUSIÓN

Sabiduría

RESUMEN

IDEAS

INSIGHTS

CITAS

HÁBITOS

HECHOS

REFERENCIAS

CONCLUSIÓN EN UNA FRASE

RECOMENDACIONES

Protección de Datos en la Práctica: del rol del DPO al cumplimiento sectorial

Hacer Pregunta

Respuesta:

Historial de Preguntas

Análisis

RESUMEN

IDEAS PRINCIPALES

INSIGHTS CLAVE

CONCLUSIÓN

Sabiduría

RESUMEN

IDEAS

INSIGHTS

CITAS

HÁBITOS

HECHOS

REFERENCIAS

CONCLUSIÓN EN UNA FRASE

RECOMENDACIONES

Transcripción

Otros