Hacer Pregunta

Análisis

RESUMEN DEL WEBINAR "LEYDEDATOS.COM - MODELO DE PREVENCIÓN DE INFRACCIONES"

Introducción

El webinar aborda el modelo de prevención de infracciones en el contexto de la Ley de Protección de Datos Personales (Ley 21.719), con Jimena Rojas (directora legal de IQU) y Marcelo Drago (socio Data Compliance) como invitados. Se destaca la importancia de seguir a LeyDeDatos.com en LinkedIn, agendar una demo y participar en cursos de capacitación.

Agenda del Webinar

  • Definiciones clave del modelo de prevención de infracciones.
  • Fundamento del modelo.
  • Rol del DPO (Delegado de Protección de Datos).
  • Levantamiento de actividades y evaluación de riesgos.
  • Certificación, reportería y buenas prácticas.

Modelo de Prevención de Infracciones: Conceptos Clave

El modelo es un programa voluntario de cumplimiento diseñado para prevenir infracciones a la ley 21719 (Artículos 48 y 49). Su objetivo es demostrar la debida diligencia en la protección de datos por parte de la organización. El modelo se basa en seis componentes esenciales:

  • DPO experto y capacitado.
  • Identificación de riesgos.
  • Protocolos y controles.
  • Mecanismo de reporte de vulneraciones.
  • Modelo de supervisión.
  • Capacitación permanente.

Criterios para la Implementación del Modelo de Prevención

Las empresas deben considerar:

  • Industria: Regulación específica de la industria (Telecomunicaciones, energía, servicios sanitarios, banca).
  • Tipo y volumen de datos: Categorías de datos (generales o sensibles).
  • Medidas de seguridad: Cumplimiento de la Ley Marco de Ciberseguridad 21663.
  • Obligaciones y análisis de brecha.
  • Nivel de riesgo y exposición legal.
  • Recursos y madurez de la organización.

Se destaca el rol de la nueva Agencia Nacional de Protección de Datos Personales en la educación y el apoyo de las asociaciones gremiales, especialmente para las pymes

Contradicción Aparente: Voluntariedad vs. Cumplimiento Legal

La aparente contradicción entre la voluntariedad del modelo y el cumplimiento legal se resuelve a través de la trazabilidad que exige la ley. Se genera presión legal (cumplir los principios) y de mercado (exigencias de clientes y proveedores) para adoptar el modelo certificado. La Agencia Nacional de Protección de Datos tendrá un rol fiscalizador creciente en el tiempo.

Proceso de Implementación del Modelo

El proceso incluye:

  • Mapeo e inventario: Identificar y categorizar datos por área.
  • Designación de Responsables: Nombrar interlocutores en cada área.
  • Categorización de datos: Según sensibilidad y tipo.
  • Definir finalidades: Establecer propósitos del tratamiento de datos.
  • Ciclo de vida de los datos: Registrar el flujo de datos.
  • Transferencia internacional: Considerar si hay transferencia de datos.

Se recomienda pedir ayuda externa especializada.

Estrategias para la Coordinación Interna

Se sugiere:

  • Apoyo en instrumentos tecnológicos.
  • Capacitación por grupos y tipos de trabajadores.
  • Nombrar puntos focales en cada área.
  • Contratar asesoría experta.

Capacitación y Herramientas Tecnológicas

Se enfatiza la importancia de la capacitación continua, la grabación de capacitaciones y el uso de herramientas tecnológicas para el cumplimiento. Se presentó el curso y la plataforma de LeyDeDatos.com como soluciones.

Preguntas del Público

Se abordaron preguntas sobre la aplicabilidad de la ley a los trabajadores (sí, aplica) y la certificación (beneficios de reputación y competitividad). El costo de la certificación varía según el tamaño de la organización y el volumen de datos.

Cierre y Recomendaciones

Los invitados coincidieron en la necesidad de prepararse y capacitarse para la entrada en vigencia de la ley en diciembre de 2026. Se reiteró la importancia de la capacitación y el uso de herramientas tecnológicas. Se animó a visitar leydedatos.com y a agendar una demo.

Sabiduría

RESUMEN

En el webinar de LeyDeDatos.com, Jimena Rojas y Marcelo Drago discuten el modelo de prevención de infracciones. Se explora su fundamento, el rol del DPO, y certificaciones, con recomendaciones para la implementación y el cumplimiento de la ley.

IDEAS

  • El webinar aborda el modelo de prevención de infracciones, según Jimena Rojas y Marcelo Drago.
  • Un modelo de prevención de infracciones es un programa voluntario, pero recomendado para el cumplimiento.
  • El modelo incluye DPO experto, identificación de riesgos, protocolos, mecanismo de reporte, supervisión y capacitación.
  • Jimena Rojas destaca la importancia de considerar la industria y el tipo de datos al evaluar.
  • La Ley 21663 (Ciberseguridad) se vincula con la seguridad y confidencialidad en el tratamiento de datos.
  • Evaluar el nivel de riesgo, la exposición legal y los recursos de la organización es esencial.
  • Las pymes podrían verse afectadas por la falta de recursos para cumplir con la protección de datos.
  • Es fundamental la educación y el apoyo de gremios para el cumplimiento en la protección de datos.
  • Los datos sensibles y los sectores regulados requieren mayor atención y cuidado por la ley de datos.
  • El análisis del giro principal de la empresa debe incluir sus riesgos de otras actividades.
  • Las grandes empresas podrían requerir el cumplimiento en protección de datos a sus proveedores y pymes.
  • La protección de datos se está convirtiendo en parte de la reputación y el valor de las empresas.
  • Se necesita una curva de desarrollo cultural en protección de datos a nivel de país.
  • Es crucial analizar las áreas más riesgosas en el tratamiento de datos para cada empresa.
  • La ley de protección de datos se cumple proactivamente, no solo evitando conductas prohibidas.
  • El desarrollo de un modelo de cumplimiento es clave para asegurar el cumplimiento de la ley de datos.
  • El sector público tiene un cumplimiento alternativo, pero debe cumplir con las obligaciones proactivas.
  • Para empresas que implementen el modelo de prevención, se debe hacer un inventario de datos y responsables.
  • Es crucial categorizar los datos y definir las finalidades del tratamiento, incluyendo el ciclo de vida.
  • La ayuda experta es crucial para la implementación del modelo de prevención de infracciones.
  • El RAT (Registro de Actividades de Tratamiento) es un instrumento vivo, que necesita ser actualizado constante.
  • La granularidad del RAT debe ser justa, evitando detalles excesivos que dificulten la visión.
  • La capacitación, tecnológica y apoyo en grupos, asociaciones y gremios facilita el cumplimiento.
  • Grabar las capacitaciones, hacer pruebas y exámenes son buenas prácticas para asegurar la formación.
  • Las sanciones no pecuniarias, como la suspensión, pueden ser más perjudiciales que las económicas.
  • Las asociaciones gremiales pueden desempeñar un rol clave para permitir la certificación de las pymes.
  • La certificación de protección de datos genera confianza y reputación, también ofrece una ventaja competitiva.

INSIGHTS

  • El modelo de prevención de infracciones, aunque voluntario, es clave para cumplir la Ley de Datos.
  • El cumplimiento proactivo de la ley requiere un enfoque sistemático, como el modelo de cumplimiento.
  • El análisis de riesgos y la industria son clave para determinar la necesidad del cumplimiento normativo.
  • La certificación en protección de datos aumenta la confianza, la reputación de la empresa y agrega valor.
  • Las pymes deben buscar apoyo gremial para implementar y certificarse sobre la ley de datos personales.
  • La capacitación continua y el apoyo tecnológico son claves para facilitar el cumplimiento normativo.
  • La implementación del modelo requiere una gestión proactiva, capacitación y apoyo tecnológico.
  • La certificación del cumplimiento de la protección de datos se convierte en una ventaja competitiva.
  • El RAT es una herramienta clave para el cumplimiento, que debe ser adaptable y precisa.
  • La asesoría experta es crucial, así como, el apoyo tecnológico para el cumplimiento de protección de datos.

CITAS

  • "El modelo prevción de infracciones es un modelo que es un programa voluntario..."
  • "...demostrar la debida diligencia eh de la organización en la protección de datos."
  • "Tiene que tener un un DPO experto, ¿sí? que está designado y formalmente capacitado..."
  • " ...las organizaciones no están obligados, pero más bien es optativo y recomendado..."
  • "¿Qué criterios debe se deben considerar para una empresa al decidir si implementar o no un modelo? "
  • " ...que las normas sectoriales van a tocar de manera relevante el tratamiento de los datos personales."
  • "...la confidencialidad y disponibilidad de la información, que se alojan los sistemas de informatos informáticos..."
  • "...¿cuáles serían las obligaciones que puedo implementar al interior de la organización...?"
  • "Las telco manejan datos de geolocalización porque está en el Cail Records..."
  • " ...las pymes probablemente eh no van a tener muchos recursos para contratar personal altamente especializado."
  • "Estoy invitada aquí en mi en mi calidad de directora de los programas de la Universidad de Cuportales."
  • " ...usaban la ley de protección de datos en vez de usar la ley del consumidor..."
  • "Es parte del desafío, es es justamente analizar qué aspectos pueden ser riesgosos..."
  • " ...las obligaciones del responsable del tratamiento. Una una parte muy sustancial de esa eh son son ..."
  • "Muchas organizaciones están recién terminando eso de elito económico..."
  • "...porque establecer esta carga regulatoria Urbet Orbi eh era realmente muy significativo..."
  • " ...si yo no tengo modelo cumplimiento, no sé si estoy cumpliendo, sobre todo una organización mediano grande."
  • "Tenemos sector público que eh en la ley eh básicamente tiene un complemento alternativo..."
  • " ...si el cumplimento que está en la ley o puede eh alternativamente implementar las medidas..."
  • "Lo primero que tengo que preguntarme en qué industria estoy..."
  • " ...los flujos de datos que tengo y luego voy a tener que preguntarme quiénes son los ..."
  • " ...van a ser ilicitud va a ser el cumplimiento de las leyes para cumplir las obligaciones laborales..."
  • " ...pero estas cámaras también van a captar datos biométricos para verificar si mis Jaure.."
  • "El ciclo de via de los datos comienza, ¿no es cierto?, con la recogida del dato y termina con la finalización.."
  • "Muchas veces tiene, qué sé yo, hay una categoría grande de tratamientos de datos.."
  • " ...el cumplimiento de una obligación legal o o una obligación contractual o en un contexto de..."

HÁBITOS

  • Recomienda un análisis de la industria para determinar la base legal del tratamiento de datos.
  • Destaca la importancia de la capacitación continua del personal en materia de protección de datos.
  • Aconseja grabar las capacitaciones y realizar exámenes para asegurar su efectiva comprensión.
  • Promueve el uso de herramientas tecnológicas para facilitar la gestión del cumplimiento normativo.
  • Valora la designación de puntos focales en distintas áreas para agilizar el proceso interno.
  • Sugiere buscar asesoría experta para implementar el modelo de prevención en protección de datos.
  • Sugiere que es muy importante que haya mucha capacitación al interior de la organización.
  • Destaca que la repetición y constancia al interior de las organizaciones ayudan a la concientización.
  • Se enfoca en priorizar los procesos y tratamientos de datos internos más críticos.
  • Define nombrar responsables internos para agilizar el proceso general de protección de datos.
  • Recomienda el uso de un libro específico para el desarrollo de la Ley de protección de Datos.
  • Recomienda tener en cuenta la ley en la cultura de la empresa y la mentalidad de los trabajadores.
  • Se enfoca en la importancia de una visión completa y permanente de la protección de datos.
  • Recomienda enfocarse en las áreas y procesos más críticos para asegurar el cumplimiento.
  • Recomineda el uso de herramientas tecnológicas para el cumplimiento de la ley de datos.
  • Se enfoca en la actualización constante de la información y normativas de protección de datos.
  • Recomienda que la empresa se preocupe del conocimiento de la ley y las normativas.
  • Recomienda la capacitación como un valor para poder realizar el cumplimiento de la ley.
  • Destaca que las asociaciones gremiales pueden apoyar a los asociados a certificar.
  • Menciona el hecho de estar atento a los cambios de ley y las actualizaciones.

HECHOS

  • El webinar aborda el modelo de prevención de infracciones a la Ley 21719 sobre protección de datos.
  • El modelo de prevención de infracciones no es obligatorio, pero es recomendado por la ley.
  • La Ley 21663, Ley Marco de Ciberseguridad, se relaciona con seguridad de datos.
  • El nuevo marco normativo empuja de alguna manera a tener un modelo de prevención.
  • La Agencia Nacional de Protección de Datos Personales es la autoridad de control.
  • La Ley de Protección de Datos Personales, no se cumple de forma pasiva.
  • En el sector público, el modelo de cumplimiento es alternativo, pero obligatorio.
  • En el modelo de prevención de infracciones , el registro de actividades es clave.
  • Las Pymes tienen menos recursos y a su vez pueden tener alto manejo de datos.
  • La ley de protección de datos afecta a empresas, trabajadores, y clientes.
  • La facultad fiscalizadora de la Agencia se va a reforzar en el tiempo.
  • El webinar recomienda el uso de herramientas tecnológicas para el cumplimiento.
  • El cumplimiento de la ley de protección de datos, es responsabilidad del estado.
  • Las grandes empresas exigen a sus proveedores cumplir con la ley de protección de datos.
  • La certificación de protección de datos aumenta la reputación de las empresas.
  • El registro de empresas infractoras puede afectar a las licitaciones.
  • La ley aplica a trabajadores, proveedores, clientes, y su alcance es global.
  • El webinar da a conocer que tiene un libro sobre el cumplimiento de la ley.
  • En el sector público el cumplimiento es obligatorio, y es muy importante.
  • Las licitaciones tienen la ley de protección de datos como condición.

REFERENCIAS

  • Se menciona la Ley 21719, la ley de protección de datos personales.
  • Se hace referencia al artículo 48 y al artículo 49 de la Ley 21719.
  • Se menciona la Ley 21663, Ley Marco de Ciberseguridad.
  • Se alude a la Ley de Protección de Datos Personales.
  • Se menciona la ley de delito económico y modelos de cumplimiento.
  • Se hace referencia al Reglamento Europeo de Protección de Datos (RGPD).
  • Se menciona la Constitución Política de la República.
  • Se mencionaron cursos y diplomados de Ley de Datos de LeyDeDatos.com.
  • Se menciona el registro de actividades de tratamiento (RAT).
  • Se presenta un software para la gestión del cumplimiento de LeyDeDatos.com.
  • Se cita el libro "Compliance y Protección de Datos Personales en Chile".
  • Se nombra la ley de prensa, y la Ley del Consejo Nacional de Televisión.
  • Se menciona el cumplimiento de la norma 27001 sobre seguridad de la información.
  • Menciona a la Agencia Nacional de Protección de Datos Personales.

CONCLUSIÓN EN UNA FRASE

El modelo de prevención es clave; la preparación, asesoría y cumplimiento proactivo aseguran el cumplimiento de la ley de datos.

RECOMENDACIONES

  • Evaluar la industria y tipo de datos recopilados para determinar el alcance de la ley.
  • Implementar un modelo de prevención de infracciones para cumplir la Ley de Datos.
  • Realizar un inventario de datos y designar responsables para cada actividad de tratamiento.
  • Priorizar los procesos críticos y enfocarse en las áreas de mayor riesgo legal.
  • Considerar la certificación para fortalecer la confianza y reputación de la empresa.
  • Buscar apoyo en asociaciones gremiales para facilitar el cumplimiento en pymes.
  • Usar capacitaciones grabadas con exámenes para asegurar una formación continua.
  • Utilizar herramientas tecnológicas para simplificar la gestión del cumplimiento normativo.
  • Contratar una asesoría experta para la implementación del modelo de prevención.
  • Implementar un RAT para saber dónde se tratan los datos y su ciclo de vida.
  • Recomienda prepararse y capacitarse en la ley de protección de datos personales.
  • Recomienda desarrollar un modelo de cumplimiento y aplicarlo a la empresa.
  • Recomienda mantener el conocimiento de las normativas de protección de datos.
  • Recomienda el desarrollo de la cultura empresarial de seguridad de datos.
  • Recomienda el buen uso de herramientas tecnológicas para apoyo normativo.

Ahí estamos<br>grabando. Y bueno, ¿de qué se trata la<br>sesión de hoy día? En nuestro webinar<br>vamos a estar hablando del modelo de<br>prevención de infracciones, donde<br>tenemos a dos grandes invitados. Por un<br>lado, a Jimena Rojas, ella es directora<br>legal de IQU y a Marcelo Drago, que se<br>suma en unos minutos, que estaba recién<br>en Tele 13, eh socio Data Compliance.<br>Les recordamos seguirnos en LinkedIn,<br>que pueden agendar su demo en<br>lidatos.com y que la grabación va a<br>quedar en nuestro canal de YouTube.<br>Entonces, algunas indicaciones que<br>queríamos comentarles a ustedes. Eh,<br>pueden dejar sus consultas en el chat.<br>Eh, habrá una runda de consultas al<br>final, o sea, la idea es que ustedes<br>dejen sus consultas en el chat y al<br>final les vamos a hacer un par de<br>preguntas a los a los invitados. La<br>grabación para nuestro canal de YouTube.<br>Nos pueden seguir en LinkedIn, pueden<br>agendar su demo y también les recordamos<br>que pueden iniciar su capacitación en<br>leadatos.com/capacitaciones. Un curso<br>asincrónico con 8 horas de contenido<br>para iniciar este camino en la ley de<br>protección de datos personales. ¿Cuál es<br>la agenda hoy día? Hoy día tenemos las<br>definiciones claves del modelo de<br>prevención de infracciones, el<br>fundamento del modelo y el rol del DPO<br>en este modelo de prevención de<br>infracciones, levantamiento de<br>actividades y evaluación de riesgos y<br>certificación, reportería y buenas<br>prácticas en el modelo de prevención de<br>infracciones. Entonces, nuestros<br>invitados, por un lado tenemos a Jimena<br>Rojas, que estamos muy agradecidos de<br>que haya aceptado nuestra invitación con<br>Sultana Preta Agenda. Ella es directora<br>legal en Quú, directora del programa de<br>inteligencia artificial y derecho en VP<br>en Transamb Marina. Me contaba que eran<br>cuatro programas lo que ella es<br>directora. Ahí les puede contar un<br>poquito más. También es eh directora en<br>programa de formación para DPO en la<br>UDP, abogada de la Universidad Diego<br>Portales y postítulo en economía y<br>finanzas en la Universidad de Chile. Por<br>otro lado, Marcelo Drago, es socio Data<br>Compliance, expresidente del Consejo<br>para la Transparencia, presidente de la<br>AGDP Chile, director del diplomado de la<br>Universidad Central en protección de<br>Datos Personales y él es máster en<br>Administración Pública en Harvard y<br>abogado de la Pontificia Universidad<br>Católica de Chile.<br>Entonces, el modelo de prevención de<br>infracciones y les queremos hacer muy<br>muy breve una pequeña introducción a<br>nuestros invitados para que partamos con<br>esta conversación de manera más<br>avanzada. Eh, el modelo prevción de<br>infracciones es un modelo que es un<br>programa voluntario, o sea, no es<br>obligación que las empresas lo tomen, no<br>es un requerimiento que la ley nos va a<br>pedir, pero es un modelo de programa<br>voluntario de cumplimiento diseñado para<br>prevenir las infracciones a la ley<br>21719. está en su artículo 48 y 49 de la<br>ley. Ahí se unió Marcelo Drago. Lo vamos<br>a hacer co-host. Denme un<br>segundo. Y el objetivo de este proyecto<br>de ley es demostrar la debida diligencia<br>eh de la organización en la protección<br>de datos. Y como les decía, de<br>naturaleza no es obligatorio, o sea, las<br>las organizaciones no están obligados,<br>pero más bien es optativo y recomendado<br>que lo puedan usar para cuando sea el<br>momento de estar un proceso<br>sanczonatorio tener una atenual. Y este<br>modelo de prevención de infracciones<br>tiene seis componentes esenciales. Por<br>un lado, eh tiene que tener un un DPO<br>experto, ¿sí? que está designado y<br>formalmente capacitado para poder<br>liderar esta ley, debe identificar los<br>riesgos, o sea, vamos a tener que<br>levantar en este modelo de prevención de<br>infracciones todos los riesgos que están<br>dentro de la del programa de tratamiento<br>a los personales dentro de la empresa.<br>Tiene que tener protocolos y controles,<br>o sea, vale, identifico los riesgos y<br>cuáles son los controles para mitigar<br>esos riesgos. Tenemos un mecanismo de<br>reporte que les permite tanto a las<br>personas de adentro de la reacción como<br>de afuera levantar las vulneraciones de<br>los derechos a los titulares. Un modelo<br>de supervisión que verifica que los<br>controles y los protocoles apliquen y<br>también un modelo de capacitación<br>permanente que permita a la gente poder<br>hacer una formación continua en la ley<br>de protección deos personales y también<br>por eso hace mucho sentido este módulo<br>de capacitaciones que habilitamos dentro<br>de nuestra plataforma. Y sin más, le voy<br>a dar el pase a mi socio Ignacio<br>Gallardo, que justamente está entrando<br>ahora a la reunión para que pueda lirar<br>esta parte de preguntas con nuestros dos<br>destacados invitados. Voy a dejar de<br>compartir y le vamos a dar permiso para<br>que pueda mostrar su cámara a Ignacio.<br>Entonces, ahí creo que Ignacio<br>está. Ignacio, ¿nos<br>escuchas? Si no, sigo rellenando, pero<br>es para ver si ya estás ahí en la sala<br>con nosotros.<br>No, no se está desmuteando. Sí, ahí sí<br>está desmuteado. Escuchan, escuchamos.<br>Perfecto.<br>Hola, hola, Rodrigo. Hola, Jimena.<br>Marcelo, muchas gracias por aceptar la<br>invitación.<br>E bueno, me imagino que Rodrigo ya hizo<br>la<br>introducción de lo que vamos a hablar el<br>día de hoy. Y bueno, como les dije,<br>agradecerle la la por aceptar la<br>invitación y vamos a pasar a las<br>preguntas que las estamos la estamos<br>cargando. Estamos con estaba con un<br>pequeño problema<br>técnico. Bueno, eh voy a dirigir unas<br>preguntas a cada uno. Eh, la idea es que<br>respondan brevemente los distintos<br>conceptos y vayamos haciendo una<br>conversación respecto a estos temas. E<br>quisiera partir contigo,<br>Jimena, eh preguntarte respecto del<br>modelo prevención infracciones y el rol<br>del delegado protección de datos, que<br>seguramente hablaron anteriormente. ¿Qué<br>criterios debe se deben considerar para<br>una empresa al decidir si implementar o<br>no un modelo de prevención? y también<br>qué tienen que tener presente las<br>empresas en atención a su estructura, a<br>su contexto, a los distintos rubros que<br>pertenecen y sobre todo enfocándonos un<br>poquito en las pymes que quizás son las<br>las que les golpea quizás más<br>fuertemente toda esta carga regulatoria.<br>Bueno, hola, ¿cómo están todos? Muy<br>buenos días. Yo en lo personal pienso<br>que en el contexto que que estamos en<br>Chile tenemos desafíos relevantes y lo<br>primero que debería preguntarse una<br>organización, ya sea pública o privada<br>para definir si tener un modelo de<br>prevención, aún cuando veremos más<br>adelante que de alguna manera el nuevo<br>marco normativo nos empuja a tener eh un<br>modelo de prevención, no obstante<br>establezca que eh No, no exista la<br>obligación expresa, digamos, sea<br>voluntario. E yo, creo que una<br>organización lo primero que tiene que<br>preguntarse es qué industria está, cuál<br>es la regulación específica que se<br>aplica a esa industria, sobre todo los<br>sectores regulados eh en que las normas<br>sectoriales van a tocar de manera<br>relevante el tratamiento de los datos<br>personales. hablo de Telco, energía,<br>servicios<br>sanitarios. Eh, la banca eh la ley finte<br>ad más tiene un apartado especial sobre<br>tratamiento de datos personales, que<br>hace varias diferencias en relación a la<br>ley de protección de datos personales. Y<br>luego debería preguntarme, bueno, ¿cuál<br>es el tipo y volumen de datos que trato<br>para el desarrollo de mi negocio? Cuando<br>me refiero a tipo de datos, lo primero<br>que tengo que preguntarme, bueno, ¿en<br>verdad de estas categorías de datos<br>estoy en las categorías generales o<br>estoy tratando algunos datos<br>especialmente protegidos o datos<br>sensibles? Y en ese sentido trato datos<br>de salud, biometría, trato antecedentes<br>financieros, porque ahí cuando trato<br>datos que tienen categorías de<br>protección especial, eh se hace un poco<br>más necesario, creo yo, eh avanzar hacia<br>un modelo de prevención para poder eh<br>estar en una situación más limpia frente<br>a la autoridad de control.<br>Eh, y segundo es, bueno, habiendo<br>entendido el tipo de datos que trato,<br>cuáles son las medidas de seguridad que<br>puedo implementar. Y en ese sentido, eh,<br>recuerden que los principios tanto de<br>confidencialidad como seguridad o por lo<br>menos a mi juicio es así de la Ley de<br>Protección de Datos Personales, se<br>vinculan estrechamente con el<br>cumplimiento de la Ley Marco de<br>Ciberseguridad, que es la 21663, ¿no es<br>cierto?, que tiene por objeto recordar<br>la confidencialidad y disponibilidad de<br>la información, que se alojan los<br>sistemas de informatos informáticos y<br>por otra parte la resiliencia en los<br>sistemas. Y luego que hago esto, yo<br>tendría a pensar, bueno, ¿cuáles serían<br>las obligaciones que puedo implementar<br>al interior de la organización para los<br>efectos de cumplir con los estándares de<br>seguridad necesarios para el tipo de<br>datos que trato? y segundo, cómo<br>deberían ser, digamos, los eh análisis<br>de brecha que pueda tener para poder<br>adecuar eh eh los sistemas que tengo<br>implementados y poder gestionar<br>adecuadamente los riesgos. En segundo<br>lugar o en tercer lugar, yo miraría cuál<br>es el nivel de riesgo y exposición legal<br>de la organización, porque como les<br>decía, si trato datos especialmente<br>protegidos o estoy en sectores altamente<br>regulados que tienen eh eh<br>mayoritariamente están en el B2C, ¿no es<br>cierto?<br>eh<br>salud, telco, energía, servicios<br>sanitarios, que por lo tanto está<br>mayoritariamente en el B2C y eh<br>eventualmente puedan manejar datos<br>sensibles. Las telco manejan datos de<br>geolocalización porque está en el Cail<br>Records, que son los registros de eh<br>detalle de tráfico, voy a tener que<br>pensar en que efectivamente tengo un<br>nivel mayor de riesgo que manejar. Y lo<br>último que me haría preguntar es, bueno,<br>¿cómo está mi organización? ¿Cuáles son<br>los recursos que impongo? ¿Cuál es el<br>grado madurez de la organización? Y en<br>eso voy a tener que impriorizar. Y ya<br>entrando al mundo de las pymes, para las<br>pymes esto es casi imposible, ¿no es<br>cierto? porque las pymes probablemente<br>eh no van a tener muchos recursos para<br>contratar eh personal altamente<br>especializado. Y entonces aquí lo que yo<br>he pensado, pero esto es una opinión muy<br>personal, eh que hay una gran tarea por<br>parte tanto de la nueva autoridad de<br>control, que es la Agencia Nacional de<br>Protección de Datos Personales, de eh<br>educación, así como lo hace la Agencia<br>de Protección de Datos Personales<br>Española a través de la Duación de Guías<br>y por otra parte las asociaciones<br>gremiales van a tener, yo creo, un rol<br>importante que cumplir en apoyar a sus<br>asociados, en obtener un grado de<br>cumplimiento.<br>No sé, Marcelo.<br>Bueno, Jimena, comparto totalmente lo<br>que planteó. Eh eh quizá sobre eso<br>mismo, digamos, desarrollar algunas<br>cosas adicionales que pueden ser<br>interesantes.<br>Efectivamente, lo primero que tiene que<br>eh cuestionarse, digamos, preguntarse la<br>organización es si está sujeta a riesgo<br>los datos que trata. Pero siempre de<br>alguna forma las<br>organizaciones piensan en su giro<br>principal cuando piensan en los DAC.<br>me tocado conversar, no sé, con una<br>empresa eh generadora de energía gigante<br>y bueno, ellos no no tratan no no tratan<br>datos como parte su giro, digamos, su<br>giro puramente industrial, todo es eh<br>B2B, todo eh está muy lejos, digamos, de<br>eh impactarle eh eh ellos creen una ley<br>de protección de datos personales. Sin<br>embargo, piensan ustedes que una gran<br>empresa de energía está desplegando un<br>territorio con comunidades las cuales se<br>tiene que relacionar, con las cuales<br>tiene que interactuar. Eh, y en otras<br>latitudes eh se ha utilizado la ley de<br>datos personales como una forma de<br>presionar a organizaciones, a empresas,<br>digamos, en ver a mí me contaban en<br>Bruselas en una reunión que muchas<br>muchas ocasiones ellos veían que eh<br>Ciudadanos usaban la ley de protección<br>de datos en vez de usar la ley del<br>consumidor porque veían la ley de datos<br>mucho más poderosa, mucho más diente,<br>mucho más influyente y la del consumidor<br>siempre quedaba en algún camino perdido.<br>Entonces, creo que no hay que solo mirar<br>el giro principal, más bien hay que<br>mirar el riesgo y que puede estar<br>escondido por ahí, puede estar en<br>actividades con con escolares, digamos,<br>que realicen corrientemente, pueden<br>estar en en los en el despliegue de de<br>responsabilidades social empresarial,<br>puede estar en otros aspectos muy lejos<br>de su gero principal, pero que e después<br>les puede impactar.<br>Otro agregado sobre lo que plantea<br>Jimena como para seguir desarrollando<br>esos mismos conceptos. Eh, creo que a<br>las pymes les van a empezar a exigir las<br>grandes empresas, sobre todo las pyes<br>que prestan servicios de y de alguna<br>forma ya está pasando. Lo han planteado.<br>Miren, nos preguntan, cumplimos con ley<br>de protección de datos, vamos a cumplir<br>y ellos están en la disyuntiva de eh de<br>tratar de minimizar los costos de esto o<br>de tomarlo como un activo, como tomarlo<br>como una eh una como parte de su oferta<br>de servicio, decir, "Mira, nosotros<br>cumplimos plenamente con la hipotección<br>de datos. Y usted puede transmitir eso a<br>su a sus clientes finales, digamos. Pero<br>nosotros como servicio tecnológico, como<br>servicio de proveedor de algún tipo, eh<br>cumplimos con esto. Digamos, tenemos una<br>certificación, no hemos preocupado, tono<br>nuestros trabajadores capacitados,<br>nosotros tenemos un modelo de<br>cumplimiento, tenemos asignado un<br>delegado de protección de datos,<br>cumplimos con con eh con lo que se nos<br>pide y queremos mostrar eso como parte<br>de nuestra oferta de servicio. Y eso eso<br>entonces también es otra vuelta de<br>tuerca, digamos. creo que de alguna<br>forma contribuye a a la reputación, al<br>valor, a lo a lo que las propias<br>personas, digamos, hoy día están poco a<br>poco eh construyendo como cultura, como<br>algo demandable, como algo deseable,<br>aunque falta mucho para eso. Vengo de de<br>de Canal 13 conversando sobre el tema de<br>la ley Uber, este aspecto de uno de los<br>registros y y y uno se da cuenta<br>conversando con periodistas que en<br>realidad no logran captar eh la<br>importancia que tiene proteger los datos<br>personales, digamos, siempre la<br>respuesta es, pero eso ya está, si ya lo<br>tienen esto está disponible de alguna<br>forma como que no tuviera un valor<br>respecto de cada uno de nosotros,<br>proteger nuestros datos personales. Y<br>ahí creo que estos dos años o este<br>tiempo antes de que entre en vigencia la<br>ley y después con la agencia vamos a<br>tener una curva muy larga como país para<br>desarrollar esta cultura eh en todos los<br>niveles. Pero pero para las<br>organizaciones creo que es parte del<br>desafío es es justamente analizar qué<br>aspectos, porque para eso igual hay que<br>partir con algo y hay que hacer un<br>diagnóstico, cada uno se lo tiene que<br>hacer o tiene que pedir asesoría para<br>hacerlo y detectar la área más riesgosa<br>en materia de tratamiento y si ahí<br>aparecen aspectos que pueden que estén<br>muy lejos del giro principal, pero hay<br>un riesgo para la compañía, el riesgo va<br>a estar ahí, entonces hay que asumirlo<br>igual. E eso, eso por mientras, eso por<br>mientras<br>para no no adelantarnos.<br>E bueno, tomando un poco lo que dicen<br>Marcelo Dan esclavo también con el<br>cambio cultural que hay que generar para<br>poder tomarse la ley en serio. Y Jimena<br>también dio un aporte super importante<br>respecto de que la empresa tiene que<br>evaluar eh qué tanto le afecta la ley, o<br>sea, en qué puntos va chocando con datos<br>que pueden ser sensibles o en ciertos<br>rubros que tienen mayores exigencias o<br>que la ciudadanía espera espera más<br>respecto del tratamiento de los datos<br>personales que ellos hacen. Pero aquí la<br>pregunta que quiero hacerles a ambos,<br>cada uno responderá según lo que ustedes<br>crean. Pero a mismo<br>entender, eh esta finalidad de la ley<br>que es eh esta obligación general de<br>prevenir infracciones, hay cierta<br>contradicción con que el modelo de<br>prevención de infracciones, que es la<br>herramienta que la ley provee a a las<br>organizaciones para cumplir con la misma<br>ley, es voluntario. Entonces, e cómo<br>ustedes ven esta esta aparente<br>contradicción entre que por un lado<br>tenemos que cumplir la ley, pero por<br>otro lado el adoptar el modelo es<br>meramente voluntario y sumarle aquí<br>también. Bueno, entonces, ¿cuál es el<br>valor para la empresa de tomar un modelo<br>de prevención de infracciones conforme<br>lo dice la ley, certificarlo ante la<br>agencia? Este modelo, tal cual como la<br>la agencia lo va a señalar el día de<br>mañana, que que con las características<br>que tiene que cumplir, cuál es el<br>incentivo para la empresa tomar ese<br>modelo y no decir, bueno, yo cumplo con<br>la ley, pero a mi forma, a mi manera,<br>pero cumplo con la ley. Eh, Jimena, no<br>sé si qué puedes aportar. que tengo que<br>decir es que mis opiniones son meramente<br>personales, eh invitadas en mi calidad<br>más bien de académica y no de y no a la<br>empresa de la que soy parte, eh, o formo<br>parte de un gran equipo de<br>profesionales, pero mi estoy invitada<br>aquí en mi en mi calidad de directora de<br>los programas de la Universidad de<br>Cuportales. Yo creo que esta<br>contradicción aparente no es tan<br>aparente. Eh, por y ¿por qué creo? eh<br>que no es tan aparente, porque<br>finalmente para poder cumplir los<br>principios que establece la Ley de<br>Protección de Datos Personales, eh<br>varios de ellos transparencia,<br>proporcionalidad, seguridad,<br>confidencialidad, yo tengo que tener<br>trazados las maneras y las formas en que<br>doy cumplimiento con estos principios. Y<br>al tener que hacer esta trazabilidad<br>necesariamente de alguna manera, a lo<br>mejor no voy a tener todos los elementos<br>que establece eh la ley, digamos, para<br>tener un modelo de prevención, ¿no es<br>cierto? Los artículos 48 y 49. Pero si<br>esta si esto si esta necesidad de tener<br>que trazar cómo voy a cumplir con los<br>principios que establece la ley, me<br>acerca eh bastante a eh tener algún<br>modelo. Y en ese sentido, e creo yo que<br>esta<br>voluntariedad eh<br>finalmente sí se transforma en una<br>presión legal y a acercarse a tener un<br>modelo y y va a haber también una<br>presión, una presión que no es legal. Lo<br>dejó eh ver eh Marcelo Drago en su<br>intervención anterior.<br>E al ser cadenas de suministro van a ser<br>las propias empresas las que te van a<br>exigir, ya sea las licitaciones<br>privadas, eventualmente las licitaciones<br>públicas, contar con un modelo de<br>prevención y que este modelo de<br>prevención haya sido certificado.<br>Entonces, aquí hay por una parte una<br>presión un<br>poco legal desde el punto de vista que<br>para poder cumplir los principios que<br>establece la ley y poder contar con las<br>trazabilidades necesarias que me hagan<br>cumplir, tengo que tener un modelo que<br>me que dé cuenta, digamos, de cuáles son<br>todos los pasos que he ido<br>desarrollando, los sistemas con los que<br>cuento para dar cumplimiento a cada uno<br>de dichos principios. Y segundo, eh, va<br>a estar esta presión un poco de mercado,<br>¿no es cierto? de que para poder ejercer<br>la actividad económica, ya sea principal<br>o como cadena de<br>suministro, voy a tener que contar con<br>el un modelo de prevención y este modelo<br>idealmente, ¿no es cierto?, deba estar<br>eh certificado por la agencia. E siento<br>que además eh bueno, hay que ver cómo<br>cómo evoluciona la agencia, pero se<br>espera, ¿no es cierto?, que en el camino<br>vayan aumentando su facultad o el<br>ejercicio de la facultad fiscalizadora,<br>¿no es cierto? Inicialmente en una<br>agencia que se va a estar instalando,<br>probablemente el ejercicio de la<br>facultad fiscalizadora no va a ser tan<br>fuerte, no no van a tener tanto músculo<br>desarrollado en dicho ejercicio, ¿no es<br>cierto? todo lo que significa eh los<br>procesos de formulación de cargo, los<br>procesos de eh llevada de los<br>expedientes y tramitación de los<br>expedientes de cargo, digamos, los<br>procesos de eh recepción de la prueba,<br>rendición de la prueba, ¿no es cierto?<br>los procesos asociados, digamos, dentro<br>del yo que trabajé en un fiscalizador,<br>les cuento, digamos, nosotros cuando<br>implementamos el reglamento de reclamos<br>tuvimos que hacer toda una capacitación<br>al interior para ver cómo se<br>desarrollaban los procedimientos y<br>entonces, claro, ahí hay un músculo que<br>eh la autoridad sectorial va a ir eh o<br>la autoridad de control va a ir<br>desarrollando y por lo tanto la facultad<br>fiscalizadora se va a ir reforzando en<br>el tiempo y eso nos va a ir obligando eh<br>como empresa, ¿no es cierto?, a ir<br>adaptándonos cada vez o o a ir<br>acercándonos a contar con algo más<br>parecido a un modelo de prevención,<br>independientemente que sea voluntario.<br>Mira, muy de acuerdo con con Jimena.<br>E a ver, la ley de protección de atom, a<br>diferencia de otras eh regulaciones<br>donde también se establecen modelos de<br>prevención de<br>infracciones, eh la ley de protección de<br>datos es una ley que eh no se cumple de<br>forma pasiva, no es si yo no se cumple<br>solamente evitando una serie de<br>conductas prohibidas donde si yo me<br>alejo de esas conductas prohibidas estoy<br>cumpliendo perfecto con una ley, ¿no? La<br>ley de protección de datos se cumple de<br>forma proactiva las obligaciones del<br>responsable del tratamiento. Una una<br>parte muy sustancial de esa eh son son<br>obligaciones proactivas de<br>transparencia, de comunicación, de<br>información, son de tomar medidas de<br>seguridad, de tomar medidas<br>organizativas eh en eh de de definir,<br>digamos, de resolver los tiempos de<br>conservación, lo eh bueno, y responder a<br>los derechos arco. Eso, por ejemplo,<br>nada de eso está en la ley de delito<br>económico y en los modelos de<br>cumplimiento que se están topando porque<br>muchas organizaciones están recién<br>terminando eso de elito económico o lo<br>estaban terminando cuando empezaron a<br>hablar de protección de entonces hay una<br>especie como de compliance cities<br>digamos o de modelo de cumplimiento<br>cities. Estaban con ellos ya agobiados<br>con tanto modelo de cumplimiento y están<br>un poquito diciendo, "Oiga, pero no<br>podemos hacer uno solo para todo,<br>digamos." De hecho, esa es una pregunta<br>bien permanente, ah, bien, curiosamente<br>en organizaciones<br>grandes. Entonces, por muy eh por muy<br>voluntario que sea, si yo no tengo un<br>cumplimiento funcionando, no tengo claro<br>si estoy cumpliendo con la ley, si estoy<br>cumpliendo con este largo catálogo de<br>obligaciones proactivas y la forma de<br>cumplir la ley, la forma más eh<br>internamente clara de hacerlo es<br>justamente desarrollo modelo<br>cumplimiento. Entonces, con eso yo<br>aseguro a la organización de que de<br>estar cumpliendo con la ley, de<br>responder a<br>eventualidades a procesos<br>sancionatorios, a denuncias, eh de<br>responder a los derechos de las personas<br>cuando ejerzan sobre sus datos<br>personales, de responder y comunicar a<br>la autoridad las brechas de de seguridad<br>que se hayan producido en torno a datos<br>personales con o sin ley marco de<br>ciberseguridad, en fin. Eh, entonces eh<br>por muy voluntario que sea, en realidad<br>si yo no tengo modelo cumplimiento, no<br>sé si estoy cumpliendo, sobre todo una<br>organización mediano grande. Y lo otro,<br>el sector público. El tenemos sector<br>público que eh en la ley eh básicamente<br>tiene un complemento alternativo,<br>digamos, pero obligatorio de tomar uno<br>de los dos caminos.<br>puede tomar el camino obligatoriamente<br>de desarrollar el modelo de cumplimiento<br>que está en la ley o puede eh eh<br>alternativamente implementar las medidas<br>que le haya comunicado la agencia eh la<br>la autoridad de protección de datos<br>personales en el desarrollo de este<br>justamente este ámbito cumplimiento para<br>el sector público, pero no puede dejar<br>de hacer algo de G. Entonces tienes todo<br>el estado ehón central, la municipal,<br>regional, en todos los niveles tienes la<br>gran mayoría de las empresas públicas<br>que son consideradas por el efecto de la<br>protección de como parte de la<br>administración del Estado. ¿Quién es el<br>artículo 20 de la ley que le da una<br>fuente deitud específica a<br>la al Estado, digamos?<br>Pero pero tengo que cumplir con todo el<br>resto, digamos, con todos los<br>principios, con todas las obligaciones<br>responsables, tengo que cumplir con<br>todo. Entonces, también ahí es una carga<br>que van a tener que empezar a<br>desarrollar. Yo creo que están un<br>poquitito en el sector público<br>esperando, digamos, o dejando esto para<br>después. va a haber una transición de<br>gobierno ahí que va a quedar un poquito<br>el desorden, yo creo, pero es parte de<br>la vida. E pero en definitiva, por mucho<br>que parezca un cumplimiento eh una que<br>el modelo de cumplimiento sea<br>voluntario, en realidad yo organización<br>si no no está no lo desarrollo, no tengo<br>idea si estoy cumpliendo o no. O sea,<br>ese el problema final. Si no hago un<br>RAT, no tengo idea de la fuente de<br>licitud que tengo, son los datos que<br>estoy tratando. O sea, tengo que tener<br>un un registro de actividad de<br>tratamiento, tengo que tener a un<br>encargado del tema que me responda y que<br>me diga, "Oiga, tenemos que informar<br>esto de agencia o llegó una solicitud de<br>derecho arco o esta cuestión no la<br>podemos hacer, tengo que tener un DPO."<br>Eh, entonces eh el marco eh que está la<br>ley eh por muy voluntario y es<br>voluntario básicamente por por el debate<br>legislativo porque porque establecer<br>esta carga regulatoria Urbet Orbi eh era<br>realmente muy significativo y no era<br>mejor establecer una estructura de<br>incentivos para su desarrollo que una<br>obligación eh directa por ley. Entonces,<br>no, eso básicamente,<br>claro, queda voluntario, pero al final<br>del día quienes tienen que cumplir con<br>la ley saben que tienen que hacerlo y<br>tienen la herramienta ahí en la a la<br>mano de cómo hacerlo. Ahora, pasando un<br>poco, bueno, la organización decide<br>implementar el modelo de prevención de<br>infracciones. Nos embarcamos en esta<br>aventura.<br>Jimena, en en tu experiencia, en tu<br>conocimiento, tú tienes harto alta<br>trayectoria en este tema. Eh,<br>consultarte, bueno, vamos a implementar<br>el modelo, ¿por dónde empezamos? ¿Qué eh<br>cómo levanto las actividades de<br>tratamiento? ¿Cómo evalúo estos riesgos?<br>¿Cómo hago todas estas tareas que me imp<br>que me exige la ley para decir que tengo<br>un modelo de prevención de infracciones?<br>Bueno, yo primero lo que lo que haría eh<br>es lo que un poco planteaba al<br>principio, ¿no es cierto? Lo primero que<br>tengo que preguntarme en qué industria<br>estoy. Eh, y por qué esta pregunta que<br>parece quizá no tan relevante, porque<br>estoy hablando de protección de datos,<br>sí es<br>relevante porque las fuentes o bases de<br>licitud del tratamiento van a cambiar<br>según la regulación sectorial de la<br>industria en que voy a explicar un poco<br>más esto, un poco más adelante. Luego me<br>tengo que preguntar, bueno, ¿qué datos<br>trato? ¿Para qué los trato? ¿Por qué los<br>trato? ¿Qué procedimientos tengo?<br>Y ahí, bueno, viene el tan mencionado<br>registro de actividades de tratamiento<br>en que trato datos<br>personal,<br>eh, y voy a tener distintos procesos,<br>digamos, dentro de esos procesos voy a<br>tener procesos<br>eh que van a ser como estándares para<br>cualquier industria, por ejemplo,<br>recursos humanos. Todas las empresas<br>tratan datos personales para el pago y<br>el cumplimiento de las obligaciones<br>laborales, el pago de las remuneraciones<br>y el cumplimiento total de las<br>obligaciones<br>laborales. Aquí en estos procesos me voy<br>a preguntar, bueno, yo trato solo los<br>datos que necesito para el cumplimiento<br>de obligaciones laborales de mis<br>trabajadores o trato algunos datos<br>más y así, bueno, voy a tener que ir<br>identificando proceso a proceso, ¿no es<br>cierto?, los flujos de datos que tengo y<br>luego voy a tener que preguntarme<br>quiénes son los responsables al interior<br>de la organización de cada uno de esos<br>flujos. Voy a tener que partir con hacer<br>como primera cosa, yo creo, no sé qué<br>piensa Marcelo, nos va a decir después<br>un inventario de los datos que trato en<br>cada área de la organización, en<br>marketing, en recursos humanos, en<br>finanzas, en operaciones, etcétera,<br>etcétera. Después, bueno, y a quién voy<br>a poner más allá de si tengo modelo de<br>prevención o no, a quién voy a poner de<br>responsable en cada una de estas áreas,<br>quién va a ser el interlocutor de cada<br>esta una área con el delegado de<br>protección de datos personales o el<br>encargado que tenga o en caso que no lo<br>tenga, quién va a ser el encargado de<br>cada uno de estos procesos al interior<br>de cada una de las<br>áreas. Luego voy a tener que categorizar<br>los datos que tengo según su<br>sensibilidad. según su tipo de categoría<br>y según el nivel de riesgo que me<br>provoca la<br>organización. Luego que tengo hecho<br>esto, voy a tener que preguntarme,<br>bueno, y es ahí donde viene por qué y en<br>qué industria estoy cuál es la base o<br>fuente de licitud que me habilita el<br>tratamiento en muchos procesos que son<br>generales para todas las organizaciones<br>como el de recursos humanos, que es el<br>que más hablamos, ¿no es cierto? Bueno,<br>obviamente en los en los generales va la<br>fuente va a ser ilicitud va a ser el<br>cumplimiento de las leyes para cumplir<br>las obligaciones laborales y<br>previsionales. Pero van a haber casos en<br>que voy a tratar datos sensibles, por<br>ejemplo, datos biométricos en mis<br>trabajadores, por ejemplo, para eh eh<br>cuidar eh o evitar que estos sufran<br>riesgos al interior de la organización<br>en el ejercicio de sus funciones. Por<br>ejemplo, me imagino los eh funcionarios<br>que mando a una torre a instalar las<br>antenas, ¿no es cierto? Yo tengo que<br>preocuparme que usen los elementos de<br>seguridad, tengo que preocuparme que se<br>suban a la torre con una línea vida,<br>tengo que preocuparme de que eso lo<br>hagan. Entonces, probablemente voy a<br>poner cámara, ¿no es cierto?,<br>en eh dentro que la voy a tener a más<br>para cumplir infraestructura crítica,<br>digamos, pero estas cámaras también van<br>a captar datos biométricos para<br>verificar si mis Jaure están usando los<br>elementos de seguridad o no. Y entonces,<br>bueno, ahí va a ser el interés legítimo,<br>¿no es cierto?, esto que es la<br>protección de la de la vida o el cuidado<br>de la salud de mis trabajadores. Y<br>así van a ir habiendo, no sé, en Telco<br>también van a haber otras fuentes o base<br>licitud que son distintas al<br>cumplimiento de la ley, eh, o sea, al<br>cumplimiento del del contrato, de la<br>prestación de servicios de internet o la<br>prestación de servicio de telefonía que<br>me van a habilitar el tratamiento, por<br>ejemplo, el cumplimiento del 218 tero<br>procesal penal. Y entonces, bueno, en<br>fin, eh una vez que he hecho esta<br>categoría de datos, voy a tener que<br>definir, bueno, cuáles son las<br>finalidades eh para el tratamiento de<br>cada uno de los datos. Registrar el<br>ciclo de vida de los datos. Recuerden<br>que la el ciclo de vía de los datos<br>comienza, ¿no es cierto?, con la<br>recogida del dato y termina con la<br>finalización, que es cuando se termina<br>la fuente o baseitud que me habilite el<br>tratamiento, pero ese ciclo de vida se<br>puede volver a abrir eh por eh que<br>exista otra fuente o base ilicitud que<br>me habilite el tratamiento, por ejemplo,<br>en sectores regulados como<br>telecomunicaciones. Y luego, finalmente,<br>voy a tener que mapear si tengo<br>transferencia o no internacional de<br>datos personales. ¿Por dónde empezar?<br>Diría yo, bueno, por hacer el primer<br>mapeo inventario, luego priorizar,<br>enfocarme cuáles son los procesos, los<br>tratamientos más críticos que<br>tengo al interior de la organización y<br>designar responsables internos. No sé<br>qué piensas tú, Marcel. No, totalmente<br>de acuerdo con Jimena. un par de<br>reflexiones sobre esto del rato. A ver,<br>yo creo<br>que e esto es como cuando uno está<br>estudiando álgebra, digamos, y uno trata<br>de y no es especial, no está en esa<br>área. Entonces, a mí me tocó como<br>abogado estudiar álgebra y cálculo bien<br>avanzado mis 30 años en el posgrado que<br>hice en Estados Unidos y la verdad que<br>me volvía loco. Entonces decía, "Mira,<br>no inviertan más de una hora tratando de<br>resolver una un un una este problema<br>matemático porque si no va a perder el<br>tiempo." Pide ayuda, digamos, pide<br>ayuda. Yo creo que en el caso del RAT y<br>en general, digamos, de la<br>implementación de la hipotección de<br>datos, eh pidan ayuda. No es algo, creo,<br>que pueda resolverse sin asesoría<br>externa<br>especializada. Eh, asignar una fuente de<br>licitud no es banal. Muchas veces tiene,<br>qué sé yo, hay una una categoría grande<br>de tratamientos de datos que uno podría<br>ser ya estos momentos obvios, pero en el<br>margen no tiene nada de obio. Eh, no<br>tiene nada de obvio si efectivamente<br>aplico interés legítimo o no, porque<br>tengo que porque además tiene una serie<br>de efectos adicionales. tengo que que<br>formar eso en términos de de en mi en mi<br>política de privacidad, tengo que tener<br>resuelto eh claro el interés legítimo<br>que estoy eh protegiendo y y así digamos<br>si aplico la ley o o el consentimiento,<br>recopilar consentimientos masivamente,<br>que es como la<br>la la tendencia eh inicial de<br>prácticamente todo el mundo. Ya.<br>Entonces, voy a pedir los<br>consentimientos. En realidad un camino<br>pedregoso, complicado, largo, costoso y<br>riesgoso, digamos, porque la gente<br>además puede retirar el consentimiento,<br>digamos. Entonces, eh es mucho mejor, eh<br>y ahí está la asesoría experta buscar<br>una fuente de licitud basada en el<br>cumplimiento de una obligación legal o o<br>una obligación contractual o en un<br>contexto de preparación de contratos, en<br>fin, digamos, eh no, claro, pero ahí hay<br>que hacer las distinciones de datos<br>sensibles, datos biométricos que no van<br>a permitir, en fin. Entonces, pidan<br>ayuda. Esa yo creo que mi cómo partir un<br>un RAT pidiendo ayuda, diría. Pero<br>además pensar en dos cosas adicionales.<br>El rat es algo que se haga una vez y se<br>acabó. es un es un instrumento vivo,<br>digamos, que que va evolucionando, que<br>se va adaptando, que va eh que tiene que<br>ir actualizándose permanentemente porque<br>la organización se actualice y va<br>cambiando, tiene nuevos proyectos,<br>nuevos eh nuevos negocios, nuevos eh con<br>da pasos distintos, hacen las cosas<br>diferentes en un ámbito u otro y eso<br>tiene impacto en la actividad de<br>tratamiento de datos que realiza y y el<br>impacto no puede ser no no tiene por qué<br>ser negativo ni mucho menos, pero sí eh<br>eh eh tiene que tomarse este rap como<br>una cosa viva, digamos, de queda<br>mostrando un poco lo que va a<br>ser e y<br>dos el nivel de granulidad. Creo que<br>tenemos que de detalle que tiene que ir<br>en el RAT en términos del tipo de<br>actividad, creo que hay una cosa que hay<br>que ir afinando, eh, porque no puede ser<br>demasiado granular, digamos, porque<br>sencillamente no no da para unación<br>grande es termina con un RAT de 400<br>páginas que creo que no tiene que al<br>final pierde su sentido, digamos, o sea,<br>el el eh tú pierdes la panorámica,<br>pierdes todo. Hay que buscar categorías<br>de de de datos, categorías de<br>tratamiento y tratar de agrupar una<br>forma que no que la granalidad tenga la<br>medida justa, digamos, y el detalle es<br>la medida justa. Pero eso diría yo,<br>pidan ayuda, eh, eh, y tómenlo como un<br>instrumento vivo, permanente de en su<br>desarrollo.<br>Marcelo, tomando un poco lo lo último<br>que que<br>dijiste, eh, claro, obviamente unos una<br>empresa se puede asesorar externamente,<br>eh, va a recibir esa ayuda que es es<br>fundamental porque aquí nadie dentro de<br>la empresa es experto en datos<br>personales.<br>Pero esto también<br>requiere desde la empresa organizar un<br>montón de de áreas de personas de de de<br>individuos que al final del día su<br>preocupación principal no es cumplir con<br>la ley de protección de datos, tienen<br>otras eh otras misiones, otras tareas de<br>negocio. Entonces, esto también se<br>transforma una carga burocrática y<br>también para el asesor externo se<br>complica la tarea porque o interactúas<br>con distintas personas o necesitas un<br>director de orquesta dentro de la<br>empresa que te ayude y te apoye.<br>Entonces ahí, ¿cómo cómo tú nos puedes<br>indicar o qué estrategias utilizas<br>utilizarías tú para poder coordinar toda<br>esta tarea y que no se vea como una<br>carga burocrática al final del día para<br>la empresa?<br>Yo creo que hay el apoyo en instrumento<br>tecnológicos para para abordar esto, la<br>posibilidad. Yo creo que hay una cosa de<br>capacitación importante, digamos, porque<br>si bien hay una carga burocrática, esa<br>no es tal como se lo imaginan al<br>comienzo. Piensan que tienen que recobar<br>los consentimientos de de sus 15,000<br>clientes, digamos, y no es así. Eh, la<br>ley, de hecho, de alguna forma hasta<br>facilita el cumplimiento respecto de la<br>ley actual, digamos. O sea, hay más<br>fuentes de licitud. eh la evolución,<br>pero el complemento sí ahora va a ser<br>real porque en la ley<br>actualmente vigente eh eh las<br>posibilidades no hay una agencia, las<br>posibilidades de hacer cumplir la ley<br>son bastante mínimas. Eh pero creo que<br>el apoyo tecnológico, la capacitación y<br>un poquito bajar la la ansiedad en eso,<br>darse cuenta de lo de de de los alcances<br>reales que tiene esto, que si bien son<br>bien globales, e todo es solucionable y<br>todo tiene un abordaje, digamos. Si al<br>interior, si son datos de los<br>trabajadores, aquí hay altas preguntas o<br>salon algunas preguntas al respecto,<br>pero hay varias preguntas bien<br>interesantes, ¿no? Eh, van al final, van<br>al final. Yo yo le empecé a responder<br>ahí, pero me doy cuenta que no no está<br>haciendo ayudando con la pega. Yo no he<br>dicho.<br>Claro, exactamente. Pero eh pero<br>efectivamente el mundo de los<br>trabajadores tiene e el tratamiento<br>datos de los trabajadores al interior de<br>la organización tiene más o menos<br>resuelto, se se incorpora anexo<br>contrato, reglamento interno de higien y<br>seguridad y eso hay que hacerlo de e de<br>cara a los clientes, personas naturales,<br>las políticas de privacidad, los canales<br>de información, etcétera. Entonces, todo<br>ya tiene más o menos un avance y una<br>fórmula, claro, que tiene que adaptarse<br>a la organización específica, pero creo<br>que lo primero para que no se le venga<br>esto encima, no lo vean como una carga<br>burocrática, es es capacitarse y<br>entenderse lo entender lo que está<br>detrás de esto, digamos, no algo banal.<br>Es como cuando uno dice, "Tengo que<br>cumplir con las leyes laborales, pero en<br>realidad tiene un trasfondo bien<br>significativo la ley laboral. Eh, lo<br>mismo con un delito económico. Entonces,<br>bueno, pero es una carga. es una carga,<br>eh, si uno lo quiere poner es en ese<br>ámbito, es una es una carga adicional<br>que va a haber que que que asumir.<br>Yo quisiera<br>agregar para que esta carga burocrática<br>no sea tan compleja, que sirve eh bueno,<br>obviamente lo que ya ha señalado<br>bastante Marcelo, que es la capacitación<br>al interior de la organización, hacer<br>programas de capacitación por grupos y<br>tipos de trabajadores, porque no es lo<br>mis no entrego los contenidos de la<br>misma manera a los gerentes que a eh los<br>operarios o a los eh que tienen personal<br>a cargo y y entonces hacer estas<br>capacitaciones y luego nombrar en cada<br>una de las áreas, en finanzas, en<br>marketing, un punto focal. Y este punto<br>focal, que lo voy a capacitar<br>reiteradamente, va a ser quien va a ir<br>alimentando, digamos, al encargado al<br>interior de la empresa, ya sea o no<br>delegado de protección de datos<br>personales y quien eventualmente va a<br>ser quien además se va a desarrollar, se<br>va a relacionar con el eh si es que<br>contrata una asesoría eh que se hace<br>necesaria, yo creo, en este tipo de<br>materia, aún cuando tenga eh personas al<br>interior de la organización que sepa de<br>protección de datos personales es una<br>tarea bien titánica, por lo tanto que<br>requiere foco solo en eso. Entonces,<br>contratar asesoría experta, yo diría que<br>que es un poquito necesario. Por eso<br>cuando hablamos de las pymes les<br>planteaba como idea o alternativa que<br>las asociaciones gremiales tomen esto<br>como para que sean las asociaciones<br>gremiales las que tomen la asesoría y<br>puedan, digamos, ayudar a las pymes o a<br>sus asociados, ¿no es cierto?, subirse a<br>un nivel de<br>cumplimiento.<br>E eso<br>como si les sirve como de tips o datos.<br>Tomando un poco, rescatando lo lo último<br>que ustedes señalaron, quiero quedarme<br>con dos conceptos, con tres conceptos<br>que por un lado las capacitaciones, que<br>es es super importante que la gente al<br>interior de la<br>empresa sepa por qué está cumpliendo con<br>la ley, no solamente cumplir por<br>cumplir, sino entender cuáles son los<br>principios básicos que están detrás. Y<br>lo otro es que como la tarea es<br>titánica, el apoyo eh ya sea en en<br>grupos, organizaciones, en el caso las<br>pymes, que pueden eh pueden prestar<br>apoyo y a un nivel gremial directamente<br>a a la a la a las personas a las<br>empresas que tienen que cumplir con la<br>normativa. y además el apoyo en<br>herramientas tecnológicas que te ayuden<br>a<br>solucionar el día a día, las tareas que<br>tienes que gestionar día a día para<br>poder cumplir con la ley y hacer el<br>seguimiento y mantener actualizado tu<br>registro eh y tener monitoreado todo lo<br>que hemos hablado ahora eh ampliamente<br>tomando un poco eso, ¿no? Ignacio, y<br>perdona que te interrumpa, pero hay un<br>tema práctico, o sea, a mí me pasó que<br>uno capacita, pero hay unidades de las<br>organizaciones que tienen alta rotación.<br>Entonces, lo que lo recomendable o lo<br>que por lo menos a mí me más me ha<br>funcionado y se los doy como tip, es<br>grabar las capacitaciones, hacerlos eh<br>tomar las sesiones grabadas y rendir<br>prueba, porque en el fondo capacito un<br>grupo, pero ese grupo después deja de<br>ser mi trabajador, entonces y tengo uno<br>nuevo que no lo tengo capacitado,<br>entonces tengo que facilitar esto y por<br>lo menos lo que a mí me ha servido, más<br>me ha servido es tener capacitaciones<br>grabadas y que rindan exámenes con un<br>sistema en línea y entonces cada vez que<br>entr uno nuevo tiene que pasar por todo,<br>por reglamento interno, modelo de<br>prevención del delito y dentro de eso<br>protección de datos porque tengo también<br>ciberseguridad, seguridad de la<br>información, ¿no es cierto? Para la<br>27001 también va a tener que pasar por<br>la capacitación y entonces lo tengo en<br>un listado que en el proceso de<br>inducción va con ello, porque si no se<br>te hace imposible.<br>Bueno, y tomando ese punto, quiero dejar<br>a Rodrigo unos minutos porque tiene algo<br>que contarnos respecto a capacitaciones<br>y cómo poder apoyarnos con herramientas<br>para el cumplimiento de la ley. Así que<br>te doy pase, Rodrigo.<br>Muchas gracias, Ignacio. Muchas gracias,<br>Jimena y Marcelo, porque ha estado muy<br>entretenida la conversación. Eh, yo<br>quería ahora presentarles un segundito.<br>Acá está. Efectivamente, dos cosas que<br>van un poco alineadas con lo que han<br>estado conversando nuestros invitados,<br>que uno es la capacitación, es algo<br>fundamental en esto, entonces dejarlo<br>invitado a nuestro curso. Es un curso<br>online asincrónico, tenemos tanto la<br>venta personal como la venta<br>corporativa. Entonces, si alguien sea<br>como empresa, también lo puede contratar<br>como empresa. Y la gracia de esto es que<br>es un curso que, como muy bien decía<br>Jimena, está acá el video en la nube. Si<br>algún día hay un cambio personal, este,<br>puede tomar el curso a otra persona y<br>tiene test de los módulos, o sea, no es<br>simplemente auditar un curso, sino<br>responder un par de preguntas por cada<br>módulo. Hay seis módulos y varias<br>secciones. Y también tiene un caso<br>final, que es un caso práctico, que al<br>final es llenar un rat, que es mucho lo<br>que hemos conversado hoy día de lo que<br>hay que hacer como responsable, delegado<br>o el nombre que le queramos poner.<br>Tenemos que llenar este RAT para<br>entender qué estamos haciendo con los<br>datos personales. Y en segundo punto, eh<br>nuestra plataforma SAS, que es una<br>plataforma que permite hacer este<br>cumplimiento de manera más eh rápida,<br>más diligente y más ordenada, porque una<br>opción es llenarnos de Excel, que Dios<br>sepa quién puede entrar a este Excel y<br>quién no. Otra forma es llenarlo con<br>esta plataforma que tenemos nosotros,<br>que podemos darle permiso a ciertas<br>personas que está estructurada de una<br>forma que nosotros queremos. Entonces,<br>por ejemplo, acá tenemos el RAT, ¿sí?<br>que es el registro activad tratamiento.<br>Nosotros les hacemos una propuesta de<br>campos que tienen estándar<br>internacional, si los quieren cambiar,<br>los pueden cambiar. Y acá está<br>efectivamente todo lo que hemos<br>conversado del RAT, como por ejemplo la<br>base de licitud, que muchas veces la<br>gente habla del consentimiento, pero en<br>verdad tenemos muchas bases de licitud y<br>algunas son eh mucho más fáciles de<br>cumplir con la ley o ahí nosotros le<br>podemos pedir ayuda a un asesor experto<br>que nos ayuda a encontrar esa licitud<br>que sea mejor para el negocio. Y también<br>dentro de esto, bueno, tenemos las<br>evaluaciones que son la preevaluación de<br>impacto, la evaluación de impacto<br>propiamente tal, tenemos la<br>identificación de riesgos y controles<br>que tenemos la alternativa de agregar un<br>riesgo que se lo voy a mostrar a<br>continuación eh de manera manual o<br>también tenemos la alternativa de elegir<br>una lista de estándar. ¿Sí? Y finalmente<br>en este mismo RAT pueden ver una lista<br>con todos los riesgos, una matriz de<br>riesgo que resume los riesgos que<br>tenemos en esta actividad en particular.<br>Entonces, luego si queremos agregar un<br>riesgo, nos vamos acá a la evaluación de<br>impacto y podemos agregarlo de manera<br>manual. Entonces, por ejemplo, riesgo de<br>prueba, le ponemos poner una<br>probabilidad de ocurrencia improbable,<br>mucho impacto significativo, por<br>ejemplo, vamos guardar, pero nos va a<br>pasar mucho que en verdad nosotros vamos<br>a tener un catálogo de riesgo, no va a<br>ser simplemente eh que tengamos que ir<br>agregándolos uno a uno, entonces mejor<br>nos vamos al catálogo. Nosotros ya les<br>cargamos a esta plataforma eh estándar<br>estándares europeos con distintas<br>fuentes de riesgo para que ustedes<br>puedan ir y buscar. Entonces, por<br>ejemplo, si quieren agregar uno acá,<br>podríamos buscar algo con bases de datos<br>y, por ejemplo, acá acceso a datos de<br>referencia de crédito, podría ser uno.<br>Voy y lo<br>agrego. Y luego la pregunta es, he<br>identificado el riesgo que podemos<br>hacer. Entonces, al momento de<br>identificar el riesgo, podemos asociarle<br>un control. Entonces, también tenemos la<br>alternativa de empezar a a asociar<br>controles de manera manual, que es un<br>trabajo más tedioso. A cada uno de estos<br>controles le puedo ir a buscar un<br>control apropiado y efectivamente que<br>esté documentado y normado en alguna<br>normativa para que sea más fácil cumplir<br>con la ley y sea menos trabajo para<br>nosotros. Dicho eso, los dejo con la<br>última sección del módulo para que<br>podamos seguir aprendiendo mucho de<br>nuestros internos.<br>Muchas gracias, Rodrigo. E creo que por<br>honor al tiempo también de nuestros<br>expositores vamos a pasar al a las<br>preguntas del público<br>que e están bastante buenas, así que<br>vamos a ir. No sé si estaba Marcelo, se<br>me perdió la pantalla, Marcelo. Acá<br>estoy. Estoy aquí en cuerpo presente.<br>No, pero Marcelo ya no hizo la pega con<br>todo, que ya contestó casi todo. No, no<br>contesté una, después me cuenta que eran<br>demasiadas para contestar.<br>Chuta, no sé cuál respondiste.<br>Una sobre trabajadores, sobre si también<br>la ley alcanzaba los trabajadores<br>interior de la empresa y no solo eran<br>datos como externo. Esa es la Ah,<br>perfecto. Bueno, coméntanos respecto a<br>esa pregunta. Eh, ¿cómo no no no la ley<br>deción de datos es de es obligatoria de<br>manera global? Las únicas dos grandes<br>excepciones eh es la excepción<br>doméstica. Amos los datos que cada uno<br>utiliza en su ámbito de día<br>exclusivamente privado al interior de su<br>hogar o circunstancias muy personales.<br>Entonces no no no no no van a ejercer<br>alguien derecho arco sobre lo los mi<br>teléfono, digamos personal en mi vida eh<br>eh familiar o etcétera. Y la otra<br>excepción es la excepción de prensa, una<br>mega excepción que solo es para los<br>medios de comunicación formales,<br>digamos, que están reconocido en la ley<br>de prensa y la ley del Consejo Nacional<br>de Televisión, digamos, los canales de<br>televisión abierta. Eh, entonces,<br>trabajadores, eh, proveedores, eh,<br>clientes, representantes legales de de<br>empresas que interactúe cualquier<br>información sobre una persona natural o<br>determinado terminable que la<br>organización eh maneje, ocupe,<br>capture, trate, digamos, almacene, de<br>cualquier forma utilice, eh se le aplica<br>esta ley.<br>Yo quisiera agregar algo porque la tele<br>y la radio fue lo mío tanto tiempo, ¿no<br>es cierto? Con televisión digital y<br>radio digital. Eh, en el fondo esta<br>excepción es para el solo efecto cuando<br>los concesionarios de servicio de<br>radiofusión sonora y televisiva, que se<br>llama la televisión abierta, ¿no es<br>cierto? A la luz de lo que establece la<br>Ley General de Telecomunicaciones,<br>ejercen la facultad de emitir opinión y<br>de informar en base al 19 12 de la<br>Constitución. Pero si yo como canal de<br>televisión resulta que tengo un concurso<br>o tengo una actividad de marketing y<br>tengo que cumplir con la ley de<br>protección de datos personales, entonces<br>es solo en ese marco bien restrictivo<br>que nuestra querida tele y nuestra<br>querida radio quedan excluidos, pero lo<br>demás también tienen que cumplir.<br>También tienen que cumplir, ¿no?<br>respecto los propios trabajadores<br>también tienen que cumplir cuando tratan<br>datos de contratista y subcontratistas,<br>también tienen que cumplir si hacen<br>actividades de marketing y eso es super<br>importante que bueno el mundo de la tele<br>y la radio lo entiendan. No crean que<br>aquí ellos tienen un perdonazo especial.<br>No,<br>no. Sí. A m me toca asesorar a dos<br>canales de televisión en esto y ellos<br>tienen alta conciencia, pero pero hay<br>ámbitos que ellos mismos admiten que son<br>una crisis y que tienen que resolver,<br>como los matinales, porque los matinales<br>pasan de un tema de magazín a un tema<br>informativo en un salto cuántico en un<br>segundo. Entonces, eh hacer la<br>diferencia y eh no es tan nítido en<br>algunas ocasiones, digamos, o esa<br>información está en el límite de la<br>farándula y no de la información más<br>estricta. Eh, también digamos entonces<br>pero hay alta conciencia yo veo al<br>interior de esto de de de los canales<br>televisionalmente.<br>Eso, eso da para otro webinar, o sea, el<br>derecho a<br>información absoluto<br>y la radio es y la radio, perdonen que<br>lo interrumpa, es un tema porque una<br>casa son los concesionarios de Radio<br>Fusión Sonora eh pero eh eh hay muchas<br>radios, hay AM y FM, hay no sé 300<br>concesiones, no me acuerdo el número a<br>toda altura, digamos, pasado años, pero<br>también están los de mínima cobertura<br>que son en el fondo muy locales muy<br>chiquititos y que también se les va a<br>aplicar porque la excepción lo deja<br>limitado solamente a cuando ejercen el<br>derecho de emitir opiniones y de<br>informar. Entonces, todo lo demás<br>también es un mundo<br>gigantesco y el rol social que cumple la<br>radiofusión sonora es superrelevante a<br>nivel de país. Entonces ahí hay algo que<br>hacer. Ahí la agencia se va a tener que<br>preocupar. La radio de mínima cobertura<br>resuelve problemas a niveles locales<br>relevantes,<br>eh, incluso de conectividad, digamos,<br>ayuda con ellos. Entonces, ahí hay un<br>desafío importante, yo creo, para la<br>autoridad de control. Perdonen que igual<br>le tengo cariño a la radio.<br>Bueno, pero la excepción es eso, es una<br>excepción, ¿no? Ellos tienen que<br>justificar cuándo le aplica y cuándo no,<br>pero no por ser medio de de<br>comunicación, simplemente pueden decir<br>que no le aplica la ley. Ahí quizás<br>estaría el<br>error. Eh, pero bueno, volviendo un poco<br>con el con el tema del webinar, que son<br>los modelos de prevención de<br>infracciones y le recomendamos a los<br>medios de comunicación implementar uno.<br>Eh, quiero, bueno, tomando la tomando<br>los los las preguntas de acá, eh,<br>Jimena, acá la pregunta es, ¿por qué me<br>debería certificar? Básicamente, ¿por<br>qué una empresa debería<br>certificarse? Eh, ¿y qué rol quiero<br>sumarle aquí? ¿Qué rol juega la agencia<br>en todo esto?<br>O sea, yo creo que de lo que hemos<br>hablado un poco obvio, ¿no es cierto? O<br>sea, con una certificación voy a darle a<br>mi directorio un grado de certidumbre y<br>de seguridad respecto de los procesos o<br>cómo estoy manejando los datos al<br>interior de mi organización y los<br>riesgos que a los que estaba enfrentada<br>la organización. Eh, entonces claro, si<br>tengo la posibilidad, tiene valor y por<br>lo y por lo mismo, volviendo al tema de<br>las pymes, tiene mucho valor que las<br>asociaciones gremiales colaboren en<br>conjunto eventualmente con la Agencia de<br>Protección de Datos, que es la Autoridad<br>de Control, en que las pymes también<br>puedan certificarse en el camino.<br>Marcelo, no sé si se quiere agregar algo<br>a esa pregunta.<br>¿Cuál es el valor agregado a<br>certificarse?<br>Creo que ganan en reputación, ganan en<br>en confianza, en el cumplimiento, ganan<br>eh en la posibilidad de crear una oferta<br>de servicio adicional e en una oferta a<br>valor a su giro, digamos, diciendo,<br>"Mire, yo estoy certificado, tengo<br>protejo los datos personales eh a los<br>cuales tengo acceso y y creo que en sí<br>mismo tiene un valor, digamos, como va a<br>ser una ventaja competitiva para<br>cualquier organización tener esta<br>certificado e eh a la hora de enfrentar<br>competencia, porque eh es una señal eh<br>importante eh al<br>mercado. Eh, quiero vincular la<br>siguiente pregunta porque, bueno, tiene<br>un valor gigantesco, pero acá preguntan<br>también, bueno, ¿cuánto cuesta<br>certificarse? ¿Cuánto cuesta implementar<br>un modelo para una pyme? Y y aquí lo lo<br>vinculan, interesante, porque lo<br>vinculan por la cantidad de datos eh en<br>niveles de enteras de cuánto maneja una<br>organización, porque una pyme, no por<br>ser pyme, quiere decir que no maneje una<br>gran cantidad de datos y que esa<br>cantidad de datos puede ser tratamiento<br>a gran escala. No sé eh cuánto cuesta<br>Jimena. Marcelo, no sé si pueden dar un<br>valor aquí. O que nuestro querido<br>consultor está varía montones decirnos<br>cuánto cuesta varía varía mucho<br>dependiendo del tamaño de la<br>organización del de la actividad de<br>tratamiento de datos que realicen, del<br>número de personas con que interactúan,<br>sean clientes, proveedores, eh<br>trabajadores, eh eh en fin, digamos, eh<br>hay empresas que son pequeñas, pero su<br>giro principal es el el tratamiento de<br>datos, el corazón del negocio. Por lo<br>tanto, e es clave desarrollar estos<br>fondos, otras no tanto. Entonces, cada<br>esto no es un valor plano para todo el<br>mundo. Eh se tiene que evaluar eh caso a<br>caso. Y a ver, barato, barato no es<br>mejor eh eh tenerlo claro de entrada,<br>¿no? es una cosa que que porque<br>básicamente tiene un asociado una<br>expertiz técnica bien fina y cuando en<br>ciertas circunstancias si si se si falla<br>la asesoría se le dice, "No, mire, usted<br>tiene que pedir consentimiento, tiene<br>que borrar todos estos datos." le echa a<br>perder, le puede echar a perder el<br>negocio, un error en la asesoría en<br>protección de datos o o le recopil<br>consentimiento de estos 8,000 personas,<br>o sea, te vuelves loco el costo de eso,<br>la inseguridad de eso. Entonces, eh eh<br>eh errar en esto tiene también costo,<br>puede tener costo para la organización<br>bien significativo.<br>Jimena, ¿y desde tu punto de vista?<br>Bueno, yo ahí tengo unas cotizaciones,<br>pero no<br>puedo, pero claro, va depende mucho el<br>tipo de organización, del tipo de datos<br>que trate y con qué lo vincularía yo lo<br>vincularía con que por lo menos de mi<br>modo a mi modo de ver las cosas se habló<br>mucho de las sanciones, ¿no es cierto?<br>que las sanciones, o sea, siempre como<br>que es que las pecuniarias eran muy<br>altas y y yo siento que eh las sanciones<br>no pecuniarias que contempla esta ley<br>son mucho más brutales para una<br>organización que las pecuniarias,<br>digamos. El hecho de que pueda la<br>agencia<br>suspenderte el la el tratamiento de<br>datos por 30 días y el hecho de quedar<br>en el registro de infractores eh puede<br>hacer fallar tu negocio para siempre. O<br>sea, porque lo más probable es que, por<br>ejemplo, un Chile compra ahí, ojalá no<br>lo hagan, pero bueno, ya lo dije, un<br>chile compra, ponga la base de<br>licitación que no hay que estar en el<br>registro de infractores para pasar para<br>poder postular a la licitación. Probable<br>que las empresas grandes también lo<br>hagan las licitaciones privadas.<br>Entonces, eh contratar un buen<br>consultor, eh hacer el trabajo que es<br>largo y tedioso. Yo yo entiendo que<br>tiene su costo porque es largo y<br>tedioso.<br>Eh eh es importante.<br>Si los que están aquí, nuestra nuestra<br>gran preocupación, digamos, es bueno, ¿y<br>cómo lo va a hacer la pyme? En el<br>contexto normativo actual hay muchas<br>pymes que no que no podrían haberse<br>desarrollado porque no solo est no solo<br>protección de datos, digamos, también<br>tenemos ciberseguridad, también tenemos<br>delitos económicos. Chile ha ido<br>avanzando en una lógica sin hacer, pero<br>eso para otro webinar, digamos, sin<br>hacer evaluación de costo de<br>implementación normativa. Eh, y y eso va<br>a pegar en la pyme y hay que recordar<br>que en la pyme el 98% de la empresa en<br>Chile. Ignacio, mira, en eso un un<br>agregado. En las presentaciones no<br>mencionamos que yo junto a Pablo Contrer<br>y Pablo Violer somos autores del libro<br>Compaencia y Protección de Datos<br>Personales en Chile, que es el libro que<br>que explica la nueva ley y está deido en<br>dos partes justamente uno de la la ley<br>en detalle largo y detallado y la<br>segunda parte justamente sobre cómo se<br>eh las obligaciones de cumplimiento de<br>la nueva ley y cómo se desarrollan los<br>modelos de compliance. Así que yo se lo<br>recomiendo comprar. Bueno, lo van a<br>buscar ahora y no lo van a encontrar<br>porque está está agotado eh en toda la<br>librería, pero esperamos que esta semana<br>ya aparezca de nuevo. Así que si si<br>alguien lo quiere comprar, eh, espérese<br>un par de días, digamos, búsquenlo<br>mañana, pasado, está en toda la líder<br>está, eh, pero pero amigos, merecemos<br>que nos llegue de regalo un libro<br>autado. Sí, buen punto. Pueden<br>escribirle a Marcelo por interno y dejar<br>sus datos. No dejar sus datos.<br>No, después, pero sí, a los amigos yo<br>creo que hay que mandarle el libro.<br>Buena idea.<br>Bueno, que eh ya estamos en la hora, así<br>que quería agradecerles también por su<br>tiempo, eh por este breve espacio que<br>espero que hayan eh haya servido un poco<br>para dar luces de lo que es el modelo<br>prevención de infracciones y de lo que<br>va a ser la el cumplimiento de la ley en<br>diciembre 2026, cuando ya demos el punto<br>inicial. La idea es no llegar a ese día<br>recién a<br>preocuparnos, ¿eh? Así que bueno, no sé<br>si quieren agregar algo así, palabra al<br>cierre, alguna recomendación para para<br>las personas que nos están viendo.<br>Jimena Marcelo, yo por mi parte<br>agradecerle a ustedes la invitación y<br>bueno, en verdad una invitación<br>maravillosa tener el privilegio de estar<br>aquí con este gran expositor y gran<br>profesional en materia de protección de<br>ATOS y haber compartido esta esta hora<br>super entretenida para poder imponear<br>ideas y y visiones de cómo vemos el<br>futuro en este materia. Así es que<br>muchas gracias, les deseo un día<br>maravilloso a todos.<br>bien intenso, pero estoy feliz.<br>Nada, yo muchas gracias, gracias por por<br>compartir, por darnos esta oportunidad<br>de compartir con Jimena. Creo que ha<br>sido una conversa superinesante y creo<br>que espero que le haya servido a todo.<br>Eh, si alguna recomendación, último<br>mensaje que dejar es prepárense,<br>prepárense, prepárense porque esto suena<br>lejos el primero de diciembre de 2026,<br>pero no solo pasa volando, sino que la<br>experiencia europea es que se hizo<br>corto. Nosotros pusimos el mismo plazo<br>de 24 meses que aprobó entre la<br>aprobación del reglamento europeo y la<br>puesta en marcha. Decimos lo mismo que<br>en Chile y se les hizo corto el cuello<br>de botella que tuvieron los últimos 6<br>meses. Fue grande. Hubo una estafas<br>masivas, digamos, con los GDPR ready a<br>1,000 € que resultó en un fiasco.<br>Entonces, prepárense, prepárense,<br>prepárense y capacítense. Están los<br>cursos que tiene Jimena, que son super<br>buenos. está el diplomado que tenemos en<br>la Universidad Central que también<br>encuentro que harto bueno, así que ahí<br>lo pueden ver alternativa y está nuestro<br>curso de ley de datos, así que opciones<br>existen. Eh, bueno, agradecerle Jimena,<br>por tu tiempo, por tu por darnos este<br>espacio en tu apretada agenda y feliz de<br>tenerte por primera vez en en uno de<br>nuestros webinar. Y Marcelo, bueno, como<br>siempre, agradecido también por tu<br>tiempo, eh, considerando que aparte<br>venías de desde los estudios a<br>directamente acá a conectarte con<br>nosotros. Un famoso. Estamos con un<br>famoso. Sí. Así que también lo invito a<br>ver, si no lo han visto, ver a Marcelo<br>en su entrevista. ¿Dónde fue? En el<br>canal 13. Fue en el en el canal del la<br>señal de noticias del 13. El T13 en en<br>el T13. La señal de noticias. Bueno, y<br>dejarlos todos invitados a visitar<br>nuestra página web de<br>leydedatos.com, a agendar una demo a<br>quienes estén interesados en un en el<br>software que nosotros nuestra<br>herramienta tecnológica que ponemos a<br>disposición de todas las empresas,<br>consultores y delegados de protección de<br>datos para el apoyo en en la gestión de<br>la de la<br>normativa. Eh, y eso, nos veremos en un<br>próximo webinar. Felices y contentos de<br>poder haber estado con ustedes.<br>Est muy bien. Venga, muy buena tarde.<br>Chao. Hasta luego. Que estén muy<br>bien. ¿Dónde está