seminario Compliance y Datos Personales

les damos la bienvenida al seminario<br>sobre compliance y datos personales<br>organizado por doe el banco de<br>información de chile en conjunto con<br>maglion abogados y actualidad jurídica<br>el bloc de doe También queremos saludar<br>al centro de extensión del senado<br>quienes gentilmente patrocinan este<br>evento el evento contará con la<br>participación de Nicolás yurasek socio<br>de maligón abogados Pablo Contreras<br>abogado y académico de la universidad<br>central de chile javiera Moreno<br>colaboradora de la ong acción<br>constitucional Y Felipe Fernández socio<br>adjunto de la firma Ernest and yang<br>chile a continuación invitamos a<br>Fernando Silva director del centro de<br>extensión del senado a dar inicio a este<br>seminario<br>Bueno muy buenas tardes Muchas gracias<br>nuevamente<br>el banco de la información de chile por<br>esta invitación que nos han cursado para<br>patrocinar un seminario más de los que<br>están organizando ya desde el año pasado<br>para el senado de la república para el<br>centro de extensión lo que significa<br>nosotros Conectar a los legisladores con<br>las materias que están siendo hoy día de<br>intereses de la ciudadanía y de entrega<br>en particular no cierto materia<br>jurídicas como como estamos viendo la<br>implementación de mejora de control<br>etcétera son parte del proceso de<br>información Que también ellos deben<br>recibir parlamentarios me refiero y por<br>lo tanto patrocinar Estas actividades<br>como lo hemos visto tanto con Claudio<br>Pérez como con Ignacio<br>es para nosotros también una oportunidad<br>de estar presente y de poder construir<br>en la difusión hemos hecho y hemos<br>puesto el conocimiento este seminario<br>sobre datos personales que vamos a ver<br>hoy día a todos los senadores y a sus<br>equipos de tal manera que Esperamos que<br>también es parte de los equipos de ellos<br>hoy día los días martes y miércoles hay<br>sesión<br>sala por lo tanto los senadores están en<br>la sala en este minuto pero los equipos<br>deberían estar no cierto también<br>haciendo un seguimiento estas materias<br>pero también este<br>sumarme al saludo a los expositores a<br>quienes nos van a construir con sus<br>conocimientos con su experiencia con la<br>experticia que están teniendo en un tema<br>tan relevante Así que muchas gracias<br>nuevamente estamos a disposición de<br>seguir contribuyendo como centro de<br>atención del senado en la difusión y en<br>el Patiño Estas actividades que sea una<br>muy buena jornada<br>Muchas gracias Fernando agradecemos tus<br>palabras ahora invitamos a Claudio Pérez<br>abogado y gerente de contenidos de doe<br>quién moderará el seminario de hoy<br>Muchas gracias Camila Muchas gracias<br>Fernando por tus palabras y muchas<br>gracias a nuestro expositores<br>expositores también que nos acompañan el<br>día de hoy Muchas gracias a todos<br>quienes están conectando en estos<br>momentos a este seminario sobre<br>complian y datos personales la verdad es<br>que desde doe ya hace un buen tiempo tal<br>como señalaba Fernando estamos<br>desarrollando una línea de trabajo en<br>torno de hemos abordado nuestros<br>seminarios y medio ambiente cumpleaños y<br>ciberseguridad ha sido algunos temas que<br>hemos abordado con plan y derecho<br>consumidor<br>nos parece importante desde la dinámica<br>de los espacios de conversación del<br>mundo público privado desde la Academia<br>y desde la sociedad civil poder abordar<br>estos temas tan relevantes para el<br>desarrollo social y empresarial de<br>nuestro país el complian evidentemente<br>no es solo cumplir la norma sino que es<br>más bien<br>una forma de gestionar los riesgos al<br>interior de cada una de las empresas<br>pero por sobre todo el riesgo se<br>gestiona precisamente para poder prestar<br>un mejor servicio cumpliendo estándares<br>normativos estándares en materia de<br>códigos de ética códigos de<br>responsabilidad que tiene cada una de<br>las empresas que finalmente tiene que<br>ver con Cómo se relacionan las empresas<br>con sus clientes sus usuarios y por eso<br>nos parece importante abordar esto desde<br>dos somos una institución con ya más de<br>veinte años de trayectoria abordamos<br>estos temas contribuimos también con<br>mucha información para poder facilitarlo<br>a los usuarios a los clientes para poder<br>abordar los distintos de cumpleaños una<br>cosa que nosotros promovemos mucho desde<br>does y actualidad jurídica es<br>precisamente el diálogo público privado<br>ese diálogo que se produce entre el<br>sector privado las empresas el sector<br>público las instituciones la sociedad<br>civil y las y la academia desde el mundo<br>universitario eso ha sido la tónica de<br>nuestros distintos seminario y distintas<br>actividades que hemos organizado desde<br>ya el año pasado no solo materia con<br>playas porque también hemos abordado<br>otros temas relevantes por ejemplo en<br>materia medioambiental o en materia<br>constitucional el seminario que nos<br>convoca hoy día y lo lo comentábamos un<br>poco antes no podía ser más oportuno<br>porque ha coincidido precisamente con un<br>momento importante en la tramitación del<br>proyecto de ley que busca precisamente<br>modernizar nuestra normativa es ponerla<br>al día en realidad nuestra normativa en<br>materia de protección de datos<br>personales la verdad es que nuestra<br>legislación es una legislación bastante<br>antigua<br>en materia de protección de datos<br>personales que ha tenido una<br>ha sido objeto de muchas críticas por su<br>falta de actualización esto ha<br>coincidido precisamente con una serie de<br>mejoras normativas en el ámbito a nivel<br>Comparado por ejemplo en la Unión<br>Europea donde no se han exigido<br>precisamente cumplir con estándares<br>mucho más altos en materia de protección<br>de datos personales de eso han dado<br>cuenta distintos proyectos de ley el<br>último que lleva ya más de cinco años<br>casi seis años del tramitación hace una<br>tramitación larga como es la tónica<br>Precisamente en un tema tan complejo<br>como en la protección de datos<br>personales pero ya lleva seis años desde<br>micación y para hablar precisamente de<br>complain y datos personales es que hemos<br>constituido esta mesa de diálogo esta<br>conversación con cuatro importantes<br>expositores que representan precisamente<br>los distintos sectores que hemos<br>convocado desde desde doe y actualidad<br>jurídica junto a la colaboración de<br>maclona abogados quienes nos han<br>colaborado en esta instancia Así que yo<br>quiero reiterar nuevamente los<br>agradecimientos al centro de extensión<br>del senado a Fernando<br>reiterar el agradecimiento a maglion<br>abogados quienes nos han acompañado acá<br>y también va a estar Nicolás yura ese<br>socio de maglion abogado acompañandonos<br>en este seminario para abordar distintos<br>temas en torno al proyecto de ley pero<br>no solo tan el proyecto<br>personal Entonces vamos a tener<br>distintas miradas de Cómo se aplica el<br>desde las empresas algunas de las cosas<br>que van a abordar a nuestro expositores<br>tienen que ver con los modelos de<br>complian las sanciones que se establecen<br>en el nuevo proyecto de ley<br>el concepto Cómo se ha ido discutiendo<br>esto en la tramitación legislativa de la<br>Fuente de acceso público la<br>institucionalidad asociada a la<br>protección de datos personales y<br>finalmente como se incorporan en nuestra<br>normativa los derechos arco por ejemplo<br>de acceso rectificación cancelación y<br>oposición son algunos los temas que van<br>a poder abordar nuestro expositores el<br>día de hoy en esta presentación<br>Así que ahora vamos a pasar<br>a la presentación de nuestros panelistas<br>quienes nos acompañan el día de hoy<br>el formato como es habitual cada<br>panelista va a tener quince minutos de<br>presentación yo cuando lleven diez<br>minutos les voy a señalar que les quedan<br>cinco minutos después de las<br>presentaciones vamos a tener tiempo para<br>las preguntas que Está realizando y que<br>puede realizar nuestro público en la<br>sección del chat de zoom para poder<br>acompañarnos el día de hoy bien el orden<br>que hemos establecido es que va a hablar<br>primero Nicolás yurasek después Pablo<br>Felipe Fernández Gabriela Moreno iba a<br>cerrar la presentación Pablo Contreras<br>en ese sentido Entonces le dejo la<br>palabra a Nicolás Jurassic quien es<br>abogado de la Universidad de chile tiene<br>un máster en derecho y nuevas<br>tecnologías es un diplomado en propiedad<br>intelectual y además es socio de<br>maglones en abogados en Nicolás Muchas<br>gracias por acompañarnos aprovecho<br>inmediatamente agradecerle a Felipe<br>Fernández<br>javiera Moreno y Pablo Contreras por<br>haber aceptado inmediatamente la<br>invitación que les cursamos desde doe y<br>actualidad jurídica Nicolás<br>Muchas gracias Claudio agradecerte a ti<br>en el nombre de dudes agradecer al<br>centro de atención del senado por una<br>nueva oportunidad de estar hablando de<br>este importante tema que siempre está<br>muy en Boca de todos y también agradecer<br>a los expositores que son de primera<br>línea y también a los personas que no<br>están escuchando que una Sin ellos no<br>seríamos el el evento digamos que que<br>quisiéramos ser a ver a mí se me fue<br>encomendado solicitado que hablara un<br>poco en términos generales de lo que es<br>el proyecto de ley que como decía<br>anteriormente está muy en boga porque<br>está haciendo actualmente discutido en<br>su segundo trámite constitucional en la<br>cámara de diputados y va a ser discutido<br>en sala como muy bien dijo Claudio este<br>proyecto y haciendo un poco de historia<br>fue presentado en marzo del 2017 durante<br>el gobierno de la presidenta de bachelet<br>y<br>corresponden Y responde a una a un<br>compromiso que tiene el Estado de chile<br>para actualizar normas en distintas<br>materias a partir de su membresía en la<br>octe desde el año 2009 una de esas<br>materias que tiene que actualizar es<br>precisamente los datos personales como<br>bien dijo también en su presentación<br>Claudio este es la ley actual que es la<br>1968 Data del año 1999 y como<br>comprenderán no estaba en la mente del<br>legislador conceptos como Big Data como<br>internet de las cosas y mucho menos<br>cierto aunque por por activo pueda<br>llegar a ser redes sociales por lo tanto<br>el tratamiento de datos personales se ha<br>ido automatizando se ha ido ha ido<br>creciendo de manera exponencial y se ha<br>ido también complejizando y es por eso<br>que tiene que haber una tiene que haber<br>una legislación que sea acorde cierto a<br>avances tecnológico el proyecto de ley<br>básicamente recoge los cuatro grandes<br>problemas que tiene la actual ley<br>diecinueve que son como dije<br>anteriormente el desfase existente entre<br>la legislación y El Avance tecnológico<br>tomando en consideración como ya dije<br>que un año es una ley del año 1999<br>segundo la existencia de una observancia<br>de los derechos de los titulares Por<br>cuánto hoy por hoy se<br>Bueno pues una persona se encuentra se<br>siente que está<br>así infringida sus derechos en materia<br>de datos personales tiene que recurrir a<br>los tribunales de Justicia ordinarios es<br>decir la sede civil con todo lo que<br>ellos significa tiempo dinero y además<br>que no se cuenta con un organismo<br>especializado en la materia<br>tercer el tercer eje Es la falta de<br>regulación en materia de transfronteriza<br>de datos personales Y esto es un gran<br>tema principalmente para la industria<br>hoy por hoy chile no está considerado un<br>puerto seguro en materia de transmisión<br>de datos personales Y esto nos deja en<br>una posición de desventaja con nuestros<br>vecinos y competidores a nivel mundial<br>Por cuánto no se puede entregar<br>determinada información que son<br>necesarias supongamos por un de un<br>determinado negocio y también Nos está<br>dejando en desmedro principalmente con<br>nuestros competidores más cercanos que<br>son el caso de Uruguay Argentina que<br>podemos discutir largamente porque son<br>considerados puertos euros puede ser por<br>razones<br>ideológicas puede por ser por temas<br>políticos etcétera Pero lo cierto es que<br>ellos Somos unos tantos ejemplos en el<br>en nuestro continente de Por qué están<br>considerados Puerto seguro y a nosotros<br>se ha dicho en términos numéricos que<br>nos significa<br>una cifra aproximada de mil seiscientos<br>a dos mil millones de dólares de pérdida<br>Por cuánto nos podemos exportar de buena<br>manera en nuestros servicios<br>profesionales nuestros servicios<br>tecnológicos u otros que requieran de<br>información y el cuarto eje que es muy<br>importante es a partir de las distintas<br>brechas de seguridad que han existido en<br>materia de datos personales solamente<br>por ejemplificar el caso de Correos de<br>Chile el caso de el servicio electoral<br>del del Ministerio de salud u otros<br>Cuáles son las principales<br>modificaciones a partir de estos ejes<br>que acabo de escribir en el proyecto que<br>se discute actualmente la cámara de<br>diputado en segundo trámite<br>constitucional el primero la<br>institucionalidad la octe cierto nos<br>exige que tengamos un régimen<br>administrativo un órgano administrativo<br>y que no se judicialice de manera de<br>tener una reacción más temprana y<br>eficiente con respecto a una infracción<br>en materia de datos personales Y que lo<br>que propone este proyecto de ley propone<br>que se tenga una agencia de protección<br>de datos personales que de acuerdo a lo<br>que se ha estado aprobando hasta ahora<br>es una corporación Autónoma de derecho<br>público de carácter técnico con personal<br>jurídica y patrimonio propio que se va a<br>relacionar con el presente de la<br>República a través del Ministerio de<br>economía<br>la verdad es que yo no voy a extender en<br>la discusión se lo voy a dejar<br>probablemente a mi colega Pablo quien va<br>podría la Data largamente sobre la<br>conveniencia de que haya una agencia<br>Autónoma o se le entregue más<br>atribuciones a un organismo existente<br>como es el consejo para la transparencia<br>Pero lo que yo puedo decir evidentemente<br>es que desde la industria lo que más<br>interesa es que existe una<br>institucionalidad Clara con un proceso<br>procedimiento claro para poder<br>establecer Cuáles son las cosas que<br>debemos cumplir y también Cuáles son los<br>mecanismos que tenemos para objetar<br>eventuales resoluciones que podrían<br>estar al margen de la ley por qué porque<br>esta agencia va a tener las facultades<br>de fiscalizar de estas normas de<br>interpretar administrativa de la ley<br>breve administrativamente la ley velar<br>por la observancia o derechos titulares<br>y sancionar los incumplimientos es decir<br>va a tener todas las atribuciones para<br>un buen cometido en materia de datos<br>personales qué es lo que hace también<br>esta ley y sin extenderme mucho hace una<br>sistematización de los principios<br>rectores del tratamiento de datos<br>personales no es que hoy por hoy la la<br>ley<br>no no tenga principios rectores sino que<br>el proyecto todos los sistemas tiza los<br>enumera más claramente y los Define<br>donde podemos por ejemplo nombrar el<br>principio de licitud que como su nombre<br>lo indica señala que los datos<br>personales tienen que ser tratados en<br>conforme a la ley el principio de<br>finalidad que tienen que ser deben ser<br>recolectados con fines específicos<br>explícitos y lícitos vale decir yo no le<br>puedo entregar a un responsable de<br>tratamiento de datos personales una<br>carta blanca o que esté el<br>consentimiento muy escondido dentro de<br>un extenso contrato de término de<br>condiciones para la prestación de<br>servicio o la venta de un bien el<br>principio proporcionalidad que se que<br>consiste básicamente en el tratamiento<br>de datos personales se limitar aquellos<br>que resulten necesarios en relación a<br>los fines del tratamiento que he<br>señalado anteriormente Qué quiere decir<br>esto que por ejemplo para la venta un<br>determinado bien no va a ser no sería<br>necesario por ejemplo que me preguntaran<br>sobre mi orientación sexual por mi<br>estado civil o cualquier otro por lo<br>tanto se tiene que ajustar única y<br>exclusivamente a los datos que sean en<br>proporción a la naturaleza de el<br>servicio o de la compra un determinado<br>bien que yo vaya a realizar el principio<br>de calidad que los datos personales sean<br>exactos completos y actuales el<br>principio de responsabilidad que quienes<br>realizan el tratamiento de datos<br>personales serán legalmente responsables<br>del cumplimiento de los principios y<br>obligaciones principio de seguridad<br>elemento clave a propósito justamente de<br>estos casos de derecha que había<br>nombrado anteriormente y que exista hoy<br>va a existir hoy por hoy una obligación<br>por parte de responsable que garantizar<br>estándares adecuado de seguridad<br>protegiendo los contratamientos no<br>autorizados pérdida filtración daño<br>destrucción principio de transparencia<br>esto es una relación Más directa con la<br>ciudadanía en que las políticas y las<br>prácticas sobre el tratamiento de datos<br>personales deben estar permanentemente<br>accesibles y en función de cualquier<br>interesado en la manera precisa Clara<br>inequita y gratuita y el principio con<br>confidencialidad Que obviamente un<br>número limitado de de personas tengan<br>acceso a tus datos Y siempre<br>resguardando que<br>resguardando los controles y medidas<br>adecuadas para preservar el secreto<br>confidencialidad<br>el proyecto de ley también establece<br>nuevos derechos los titulares no<br>solamente nos vamos a establecer los<br>derechos arcos que van a ser un desde<br>los derechos arco en la sigla de acceso<br>rectificación cancelación y oposición<br>sino que también se incorporan todos los<br>derechos el derecho de oposición de<br>valorización automatizada que en buen<br>Castellano significa que cuando un<br>tratamiento lo realiza un procedimiento<br>automatizado yo como persona tengo<br>derecho a objetar ese tratamiento por<br>medio de la solicitud de la intervención<br>humana<br>aunque le suena muy raro pero esto está<br>pensado precisamente para lo para los<br>operaciones scoring donde a nosotros nos<br>asignan un determinado puntaje para por<br>ejemplo poder endeudarnos para poder<br>pedir un crédito hipotecario de consumo<br>o para rentar por ejemplo nuestro<br>departamento casa eso no puede estar<br>no puede descansar únicamente sobre algo<br>automatizado sino que también podemos<br>exigirle a una persona que intervenga<br>finalmente para qué porque muchas veces<br>las máquinas<br>es solamente procesan los datos que una<br>persona le entrega y esos datos pueden<br>estar desactualizados pueden ser no<br>pertinentes y pueden crear un perjuicio<br>directo a la persona sobre la cual se<br>toma una acción y puede no acceder a<br>determinados créditos como les decía en<br>el ejemplo anterior y el segundo derecho<br>es el derecho a la portabilidad<br>básicamente muy parecido a lo que hoy<br>conocemos materia de telecomunicaciones<br>para no estar haciendo un trámite una y<br>otra vez le puedo a un responsable que<br>en un formato estructurado genérico y de<br>uso común me pase los datos para<br>pasárselos a otros responsables y pueda<br>revisar los tratamientos de datos<br>personales que sean atingentes al<br>servicio que me está prestando<br>obligaciones del responsable también se<br>establece un nuevo catálogo de<br>obligaciones Con respecto a quién<br>realiza el tratamiento de datos Y esto<br>está muy en el corazón cierto de este<br>conversatorio porque va en cada<br>organismo público perdón<br>quedan cinco minutos Oye<br>va a estar siempre va a estar porque va<br>a tener que establecer Cuáles son las<br>obligaciones de ser responsable va a<br>decir a qué me obligo como empresa Pero<br>también va a estar dentro de la lógica<br>de la de la función pública en el<br>sentido de que va a tener que informar<br>el titular los antecedentes que<br>acrediten la licitud del tratamiento de<br>datos que realiza el responsable hay que<br>implementar mecanismos y atravientos<br>tecnológicas que permitan asegurar la<br>seguridad valga la ronda se los derechos<br>en forma y eficaz para también<br>establecer mecanismos para mantener el<br>secreto confidencialidad mantener cierto<br>siempre a disposición de su público los<br>sitios web página política de privacidad<br>etcétera adoptar las medidas de<br>seguridad etcétera entonces hay todo un<br>régimen que ahora va a ser mucho más<br>robusto y va a ser mucho más conocido y<br>no va a estar entregado mucho a la<br>jurisprudencia de los tribunales civiles<br>poco a poco tuvieron que construir<br>cuáles eran esas obligaciones a partir<br>de una ley que es bastante general en<br>cuanto a obligación al responsable el<br>proyecto de ley establece un régimen<br>sancionatorio esto es clave también lo<br>menciono Claudio en un principio con<br>infracciones que van desde las cien<br>unidades tributarias mensuales hasta las<br>20,000 y por recientemente también se<br>agregó dentro del régimen sancionatorio<br>que en el caso de las empresas las<br>sanciones podrían ser podrían ser desde<br>el dos hasta el cuatro por ciento los<br>ingresos anuales por venta y servicios<br>del año inmediatamente anterior a la<br>comisión de la falta lo que es bastante<br>decir No<br>si bien hablan habla de empresa lo hace<br>Únicamente con respecto a la<br>diferenciación del responsable<br>tratamiento de datos de personas<br>naturales y jurídicas porque en las<br>empresas si estas son pequeñas medianas<br>o grandes van<br>alguno de los tantos criterios<br>calificadores por parte de la agencia<br>para<br>establecer el monto de esta multa así<br>mismo<br>va a tomar en consideración Cuáles son<br>los beneficios Cuáles fueron los<br>beneficios obtenidos por el responsable<br>a consecuencia la infracción la<br>naturaleza de los datos que se<br>infringieron porque no va a ser lo mismo<br>si son personales sensibles o de niños<br>niñas o adolescentes y obviamente<br>también el la existencia del elemento<br>subjetivo del dolo también hay otras<br>asociaciones accesorias Como por ejemplo<br>la prohibición de realizar tratamiento<br>de datos personales cuando<br>exista reincidencia de infracciones<br>gravísimas en un periodo de 30 meses y<br>además va a haber una sanción de<br>carácter publicitaria en cuanto va a<br>haber un registro de incumplimiento<br>obviamente lo que va a afectar puede<br>afectar mucho una empresa desde el punto<br>de vista reputacional porque cualquiera<br>puede acceder como hacer una de acceso<br>público esta esta información obviamente<br>no ninguna empresa de querer<br>estar ahí y con respecto al modelo de<br>prevención de infracciones Bueno se<br>puede hasta antes de la semana pasada se<br>podía optar o por tener un un modelo de<br>prevención o Designar a un oficial de de<br>datos personales en materia de<br>cumplimiento hoy por hoy se unificaron<br>esos criterios y dentro del modelo de<br>prevención se tiene que necesariamente<br>Designar un delegado de protección de<br>datos para que tiene que tener una<br>Independencia tanto el punto de vista<br>técnico como el del punto de vista de la<br>toma de decisiones y también desde el<br>punto de vista económico y<br>presupuestario de manera que la los<br>organismos de administración de una<br>empresa no intervengan en la toma de<br>decisiones y sea lo más transparente<br>posible<br>los desafíos del proyecto son claramente<br>la institucionalidad que se decía de una<br>vez por todas quién va a estar a cargo<br>de la observancia según agencia Autónoma<br>o el consejo de la transparencia<br>otorgándole nuevas atribuciones y<br>también establecer Cómo es un tema de<br>competencia por cuanto también en<br>materia de datos personales se han<br>incorporado nuevos agentes Como por<br>ejemplo el sernac a partir de la entrada<br>en vigencia de la ley 21.398 que actúa<br>únicamente cierto en el caso de<br>presentar acciones colectivas en caso de<br>que exista infracción al tratamiento de<br>datos personales en el marco de relación<br>de consumo y también existe la posible<br>intervención de la cmf de la comisión<br>del mercado financiero que a través del<br>capítulo 2010 sobre gestión de seguridad<br>de la información y seguridad puede<br>fiscalizar a los bancos y haga una serie<br>de otras instituciones que establece la<br>ley cuando existan brechas de seguridad<br>obligándolas a informar en un periodo de<br>treinta minutos Entonces por este<br>desafío está en<br>institucional Clara coherente y ojalá<br>única de manera que podamos tener una<br>una uniformidad en el criterio de la<br>jurisprudencia administrativa y no estar<br>pululando cierto por distintos<br>organismos que puedan que puedan<br>sancionar una misma conducta infractoria<br>y así nos infringir el famoso principio<br>del derecho administrativo el idem<br>conforme al cual se Procura impedir que<br>como dije anteriormente un hecho que ha<br>sido sancionado o que ha servido de base<br>para la elaboración de una pena se ha<br>autorizado nuevamente para una sanción<br>hasta ahí termina mi presentación<br>Muchas gracias Nicolás por tu<br>presentación donde has hecho un una<br>mirada bien importante sistematizado de<br>forma bien práctica las distintos<br>problemas o déficits que tiene nuestra<br>legislación en materia de datos<br>personales Y también estando un poco a<br>lo que es el contenido del proyecto de<br>ley Así que te agradezco mucho tu<br>presentación bien interesante haciendo<br>abriendo los puntos precisamente que<br>vamos a abordar con nuestro siguiente<br>expositores como bien señalaba<br>anteriormente corresponde en el segundo<br>lugar la presentación de Felipe<br>Fernández quien es abogado de la<br>Universidad Católica de chile con un<br>máster en derecho y tecnología por la<br>universidad de beltley y es socio<br>adjunto en Chile Felipe Muchas gracias<br>por haber aceptado nuestra invitación y<br>te deseo la palabra para tu presentación<br>Muchas gracias Claudio por la invitación<br>Muy buenas tardes a todos en esta parte<br>de la presentación lo que vamos a<br>abordar dice relación principalmente con<br>el régimen de responsabilidad que existe<br>bajo la actual y antigua le di 1928 para<br>luego analizar ya más en detalle Cuál es<br>la regulación en materia de cumplimiento<br>que propone el proyecto de ley para<br>finalmente terminar viendo como hemos<br>visto nosotros que la industria está<br>enfrentando este proyecto y para<br>comentar un poco sobre los desafíos de<br>lo que se ahora respecto del primer<br>punto el régimen de responsabilidad y y<br>algo anticipó Nicolás eh nuestra ley la<br>verdad es que de manera bastante escueta<br>dice que el responsable de datos tiene<br>que cuidar los datos con la debida<br>diligencia y clase responsable de los<br>daños que la verdad es que no recoge<br>mucho más que un principio básico del<br>Derecho civil donde si uno causa un daño<br>tiene que indemnizar recogemos una regla<br>general pero no andamos mucho más allá<br>ahora<br>que tengo que independizar en el evento<br>que yo provoque un daño la ley también<br>lo especifica pero dice básicamente que<br>recurriendo nuevamente a la regla<br>general que yo tengo que indemnizar los<br>daños patrimoniales y Morales que haya<br>causado por el mal procesamiento de los<br>datos en la medida que yo sea capaz por<br>supuesto de probarlo cuál es el problema<br>es que las barreras de entrada tanto en<br>costo como en tiempo son muy altas para<br>reclamar Por qué Porque yo tengo que<br>contratar un abogado tengo que ir a un<br>tribunal civil y probablemente están<br>litigando por un año a través de un<br>procedimiento sumario que para los que<br>no son abogados es un procedimiento un<br>poco más corto que el normal pero<br>Igualmente voy a estar litigando por un<br>año para que finalmente un tribunal diga<br>empresas telecomunicaciones por favor no<br>llame más al señor Felipe Fernando usado<br>en la mañana porque la verdad es que<br>Felipe no ha autorizado el uso de esos<br>datos entonces la Barrera es muy alta<br>para reclamar y el problema que tiene la<br>ley actual también es que no contempla<br>multa por tanto en en un sistema donde<br>tienen que haber ciertos incentivos a<br>cumplir Pero también sanciones<br>relevantes en caso de incumplimiento<br>hace que hoy en día la contingencia<br>legal por supuesto tenemos el sunat y y<br>ciertas industrias más reguladas con<br>industrias financiera pero la<br>contingencia legal hoy día por infringir<br>la ley actual es relativamente baja<br>ahora en temas de cumplimiento Lo cierto<br>es que la ley actual nada regula<br>significa que una empresa no puede tener<br>un modelo de prevención de infracciones<br>en materia de datos personales no Por<br>supuesto que no la puede tener pero lo<br>cierto Es que la ley hoy en día no<br>incentiva en la creación de este tipo de<br>modelos Entonces si uno tuviera que<br>evaluar desde el punto de vista práctico<br>Cómo se ha aplicado la ley actual Y la<br>verdad es que uno debiera ponerle una<br>mala nota por lo que yo les exponía de<br>que la contingencia legal es baja en<br>caso de infringir y Los costos asociados<br>a reclamar son muy altos de hecho<br>resulta paradójico que uno de los casos<br>icónicos en materia de infracciones<br>donde se procedió a reclamar de acuerdo<br>el procedimiento que está establecido en<br>la ley fuera una institución financiera<br>donde ciertas evaluaciones crediticias<br>terminaron en una caja encuesta barriga<br>camino a viña del mar por mal manejo de<br>de de de de cómo se se almacenaban<br>información y donde En definitiva el<br>tribunal en última instancia dijo sí<br>efectivamente Acá hay una infracción a<br>la ley de datos personales pero no<br>corresponde la indemnización porque no<br>se ha podido acreditar un daño cuál<br>parece bastante paradójico ahora el<br>proyecto de ley todos somos fans del<br>proyecto de ley viene viene a resolver<br>este problema y de hecho parte diciendo<br>cuando empieza a analizar los temas de<br>la responsabilidad que el responsable de<br>los datos personales tiene que adoptar<br>acciones o medidas tendientes a poder<br>evitar que se con infracciones leves<br>graves o gravísimas según las clasifica<br>el proyecto de ley lo interesante es que<br>vaya harto el cómo yo debo adoptar estas<br>acciones preventivas y es a través de<br>los modelos de prevención de<br>infracciones consistente en un programa<br>de cumplimiento tal como dijo Nicolás<br>hasta hace poco tiempo el proyecto era<br>difuso en cuanto al cómo yo implementaba<br>este este<br>mecanismo para para prevenir la<br>infracciones porque decía que usted lo<br>puede cumplir de dos formas de signo un<br>delegado o bien eh<br>crea un plan de de cumplimiento a mi<br>juicio correctamente eso se se se se<br>corrigió y finalmente el programa de<br>cumplimiento contempla dentro de una<br>serie de de elementos que tiene que<br>tener la designación de un delegado para<br>la protección de datos personales lo<br>interesante del proyecto es que es bien<br>pedagógico en cuanto a qué es lo que<br>tiene que tener este programa de<br>cumplimiento y es bien detallado y<br>y es interesante para las compañías para<br>que empiecen a las que no lo han hecho<br>empiezan a trabajar en esto es que puede<br>tomar mucho tiempo finalmente dar una<br>idea dar uno de estos planes porque uno<br>no solamente tiene que Designar a este<br>querido delegado de protección de datos<br>sino que también tenemos que identificar<br>Cuáles son los datos que procesamos<br>Quiénes son los titulares de esos datos<br>para que los ocupamos Cuáles son las<br>actividades dentro de la compañía que<br>pueden generar un riesgo en materia de<br>datos personales o pueden incrementar el<br>riesgo asociado del procesamiento que<br>puede ser con sustantivo algún tipo de<br>actividad comercial tenemos que idear<br>protocolos destinados a prevenir esos<br>riesgos<br>crear mecanismos para poder informar<br>dentro de la compañía cómo estamos en<br>materia de procesamiento de datos Y<br>también idear ciertos mecanismos para<br>tener una comunicación Clara y directa<br>con la agencia de datos personales<br>Incluso en la el proyecto de ley<br>contempla que dentro de nosotros<br>tengamos que establecer cierto tipo de<br>sanciones en caso incumplimiento por<br>parte de alguno de los trabajadores e<br>incluso un procedimiento de denuncia por<br>tanto el proyecto de ley la verdad es<br>que ahonda bastante en cuanto al Cómo<br>nosotros tenemos que crear este tipo de<br>planes ahora me quiero centrar un poco<br>en la figura del delegado porque el<br>proyecto la verdad es que también nos da<br>harta información respecto a quién lo<br>designa qué tiene que hacer Cuál es su<br>pega En definitiva y el proyecto la<br>verdad es que le da arte importancia al<br>delegado muchísima importancia eh Y<br>parte diciendo De hecho que quien tiene<br>que Designar a esta persona no es nada<br>más ni nada menos que la máxima<br>autoridad directiva administrativa de<br>una compañera o sea son las personas que<br>mandan dentro de la entidad y quién<br>puede ser esta persona asumiendo que va<br>a tener un cargo bien importante y<br>también lo anticipada Nicolás es una<br>persona que no dice que tiene que ser<br>abogado o que tiene que ser ingeniero o<br>que tiene que tener tal o cual profesión<br>sino que es una persona que tiene que<br>tener las capacidades en este tipo de<br>materias pero sobre todo que tiene que<br>ser autónomo en cuanto a sus decisiones<br>independiente y que no tiene que tener<br>eventuales conflictos de interés y Y<br>esto es relevante porque muchas veces<br>dentro de una misma compañía pueden<br>haber conflictos respecto a lo que<br>quiere el área de producción lo que<br>quiere el área de marketing lo que<br>quiere el área de auditoría etcétera<br>etcétera y la persona que cumpla con<br>este rol tiene que tener el cargo por<br>decirlo por decirlo de cierta forma para<br>poder decir no esta actividad la verdad<br>es que no debiera realizarse porque lo<br>cierto Es que eventualmente podría<br>infringir tal cual dato O podría<br>incrementar el riesgo asociado a al<br>procesamiento de tal o cual información<br>qué es lo que necesita esta persona que<br>ya sabemos que lo designa la gente<br>importante y que tiene que ser una<br>persona capacitada que tenga<br>Independencia en cuanto al rol que va a<br>cumplir tiene que tener medios tiene<br>tener plata tiene que tener facultades y<br>En definitiva tiene que tener recursos<br>para que la figura del delegado Y esto<br>es súper importante no sea una figura de<br>papel lo que muchas veces ocurre en la<br>industria es que<br>en materia de designación de ciertos<br>cargos hacemos un check porque<br>designamos no sé Felipe Fernández Como<br>delegado pero lo cierto es que si es que<br>ese Felipe Fernández en la práctica no<br>tiene recursos no es independiente no es<br>autónomo y no tiene o tiene conflictos<br>de interés la verdad es que ese delegado<br>en la práctica sirve re poco y no va a<br>estar cumpliendo con en el espíritu del<br>proyecto que es finalmente que existe<br>una persona responsable dentro de las<br>compañías que está a cargo de el manejo<br>de los datos ahora<br>el proyecto también Establece que los<br>programas de cumplimiento tienen que<br>certificarse la agencia de datos<br>personales de hecho el proyecto dice que<br>que tiene que dictarse un reglamento<br>donde vamos a hacer incluso una bajada<br>mayor a estos requisitos que tienen que<br>tener los los programas y si es que<br>finalmente usted cumple con todo esto la<br>agencia o no sabemos si haber un mercado<br>secundario quizás como ocurrió con con<br>los programas de cumplimiento y y<br>elnaque en materia de consumidores En<br>definitiva usted cumple con lo que yo<br>como autoridad y y lo que dice la ley En<br>definitiva usted tenía que cumplir ahora<br>por qué es importante todo esto tiene<br>gran importancia en cuanto a la<br>contingencia legal y reputacional que<br>les comentaba al principio y también lo<br>anticipada Nicolás hoy día o con el<br>proyecto de ley una vez que sea ley la<br>verdad es que la contingencia legal<br>patrimonial por infringir es alta<br>multas de veinte mil UTM la verdad es<br>que son analoga multas que eventualmente<br>pueden existir en temas de libre<br>competencia pero en temas como este la<br>verdad es que no lo conocíamos por lo<br>tanto infringir el proyecto de ley<br>pecuneramente va a ser realmente caro Y<br>qué es lo bueno si es que idealmente que<br>nadie infrinja por supuesto Pero qué<br>pasa si es que yo tenía un programa<br>implementado y certificado eso va a ser<br>un atenuante de responsabilidad por qué<br>bueno porque usted obró lo más<br>diligentemente posible para efectos de<br>que no hubiera un mal procesamiento de<br>datos personales al interior de su<br>compañía por entidades pero pero En<br>definitiva<br>el daño patrimonial de esa compañía va a<br>ser menor si usted cumple con estos<br>planes de cumplimiento y y nada que<br>decir qué pasa con los aspectos<br>reputacionales ahora<br>cinco minutos Felipe perfecto Claudio en<br>nuestra experiencia qué es lo que hemos<br>visto en la respecto al proyecto y los<br>modelos de cumplimiento primero que que<br>desde hace un tiempo ya existe<br>conciencia de que esto es algo relevante<br>o sea esto viene Lamentablemente se ha<br>demorado más de lo que muchos<br>quisiéramos y parece el cuento Pedrito y<br>el lobo pero probablemente este año sí<br>vamos a tener una ley por lo tanto<br>existe esta conciencia de que es algo<br>relevante eh existe interés también en<br>diagnosticar el Cómo estamos porque una<br>cosa es saber lo que nos va a exigir el<br>proyecto de ley pero una cosa muy<br>distinta es tener conocimiento del Gap<br>que existe entre como estoy y qué es lo<br>que me falta<br>hemos visto eso sí que el interés Es<br>dimisible dependiendo por supuesto de la<br>industria que se trate industrias de<br>retail o de consumo masivo empresas de<br>telecomunicaciones o o o o compañías que<br>estén en el mundo médico la verdad es<br>que tiene un interés mayor porque el<br>procesamiento de datos que ellos hacen<br>es mucho más intensivo y por lo tanto<br>están más expuestos a<br>eventuales procesamientos no debidos de<br>lo que nos dice el proyecto de ley ahora<br>lo que sí creo que que falta como<br>desafío a pesar de que existe conciencia<br>y que hay compañías que la verdad es que<br>ya se subieron el carro los diagnósticos<br>y están implementando medidas para<br>efectos de cumplir con los gaps es que<br>aún falta un poco creo yo en la<br>industria el entender primero que esto<br>no es una ley que para alcanzar el<br>cumplimiento normativo uno pueda tener<br>hermosos términos y condiciones<br>fabulosas cláusulas y notables<br>protocolos la verdad escrito si es que<br>ellos no tienen un correlato con lo que<br>en la práctica las empresas hacen a<br>nivel de procesos de sistemas y<br>tecnología porque muchas veces nos ha<br>pasado que que a nivel de fiscalía<br>uno ve horas de arte la verdad en<br>términos jurídicos respecto a Cómo se<br>procesa la información como debiera<br>procesarse pero cuando uno empieza a<br>hacer el doble clic en en temas de<br>proceso con otras algunas de las<br>compañías tecnología por ejemplo la<br>verdad es que los datos no solo se<br>recolectan de las fuentes que dicen los<br>temas de condiciones la verdad es que se<br>almacenan por un tiempo más de lo que<br>dicen los términos y condiciones o se<br>comparten con algún tercero que no<br>estaban en una cláusula contractual<br>Entonces es re importante el entender<br>que el cumplimiento normativo del<br>proyecto se alcanza<br>entendiendo de que hay un trabajo legal<br>pero gente que también entienda de<br>procesos de sistemas y tecnología y y lo<br>segundo en en temas de desafío es que<br>acá no existe la los temas estándar o<br>las cláusulas estándar o cosas que<br>nosotros podamos replicar de una<br>compañía a otra aún cuando sean de la<br>misma industria la verdad es que<br>nosotros creemos que acá los trajes<br>tienen que ser bien a la medida el<br>procesamiento puede ser muy distinto de<br>datos entre la compañía a y b aún cuando<br>están en la misma industria y da la de<br>ahí la importancia de que haya que<br>conocer desde ya<br>Cómo estamos porque el proyecto de ley<br>ahora con la última edificación va a<br>entrar en vigencia en un par de años<br>desde que se publique pero cuando hay<br>que invertir en proceso en tecnología en<br>sistema y en aspectos legales la verdad<br>es que ese plazo puede ser no suficiente<br>la verdad es que yo creo para los que<br>les gusta la música que el proyecto en<br>especie de<br>pero se puede transformar en un Highway<br>to gel si es que la verdad es que<br>nosotros no tomamos en serio lo que se<br>viene con el proyecto de ley Así que eso<br>por mi parte Claudio y muchas gracias a<br>todos<br>Muchas gracias Felipe por por tu<br>presentación donde nos abordado<br>precisamente la importancia de los<br>programas de<br>de tal forma que establece el proyecto<br>electo ya está en tramitación y<br>evidentemente algunos desafíos que<br>vienen y sobre todo yo tomaría un punto<br>importante para ti Que<br>todas todo va encaminado acá Este año<br>vamos a tener ley por lo tanto la<br>importancia de las empresas de poder<br>comenzar ya abordar precisamente estas<br>materias poder Ya empezar a poner al día<br>sus determinados procesos para poder<br>efectivamente una vez que entre en<br>vigencia la ley tener toda la al día es<br>la dinámica que tú decías también para<br>poder mejorar su relación con los<br>clientes y usuarios Por cierto bien<br>entonces según el programa que hemos<br>establecido ahora le corresponde la<br>presentación a javiera Moreno Muchas<br>gracias javiera por haber aceptado esta<br>invitación que realizamos desde doe<br>actualidad jurídica y maglionas abogados<br>para poder acompañarnos en este<br>seminario javiera Moreno es abogado<br>Universidad de chile candidata magíster<br>en el reglamento europeo de protección<br>de datos colaboradora de la ong<br>constitucional y socia demore legal eh<br>javiera Tienes tu tiempo asignado para<br>poder participar y acompañarnos en este<br>seminario<br>Muchas gracias Claudio por la invitación<br>muchas gracias a todos los panelistas y<br>Adobe por esta instancias porque la<br>verdad es que como conversábamos<br>anteriormente ha sido muy buen timing en<br>el que vamos a tener la oportunidad de<br>conversar y discutir estos temas que son<br>tan relevantes y que a personas como yo<br>las cuales estemos desde el otro lado<br>también desde el activismo nos Parecía<br>un sueño es poder contar con una ley que<br>ya va a ser esperamos este año el año de<br>la ley de protección de datos y que nos<br>olvidemos un poco de la diecinueve mil<br>veintiocho qué tanto terrores de cabeza<br>nos ha traído en el último tiempo de<br>todo quienes litigamos de hecho Felipe<br>comentó el caso precisamente de de que<br>un banco<br>[Música]<br>realizó una destrucción<br>y se deshizo de uno de unos datos pero<br>lamentablemente no pudo ser comprobado<br>en daño moral la inmunización Entonces<br>el estándar para quienes litigamos en<br>esta materia en en esta con la ley de<br>protección de datos actual nos hace muy<br>difícil el poder que las personas puedan<br>ejercer sus derechos y ese es uno de los<br>principales puntos que nos interesa<br>plantear y abordar gracias a la creación<br>de la agencia de protección de datos Y<br>también recoger el punto que que señala<br>el proyecto de ley respecto de la del<br>desarrollo de programas proyecto<br>acciones de discusión promociones<br>información a la ciudadanía porque<br>cuando yo empecé en este tema desde la<br>desde la sociedad civil ni siquiera yo<br>sabía lo que era un dato y eso es<br>sumamente relevante Porque todos los<br>datos que nosotros<br>manejamos<br>Nosotros perdemos la de como como<br>usuarios como como personas naturales el<br>control de los mismos y creemos es que<br>en este caso de alguna forma se vuelve a<br>poner la palestar acciones tan<br>importantes porque no nos tenemos que<br>olvidar que sin lugar a dudas los datos<br>personales son parte son atributos de<br>nuestra personalidad Y en este caso son<br>están protegidos Ya en un a nivel<br>constitucional específicamente en el<br>artículo 19 número 4 pero que han ido<br>yo creo que la falta de especialización<br>en estos temas han habido<br>mermando la la el ejercicio de estos<br>derechos por ejemplo pasa mucho en lo<br>que es la antigua ley y en la<br>tramitación de recursos de protección<br>que se vieron a través de este tipo de<br>temas o también la misma acción que<br>establecía la ley<br>establece todavía o sea que no tengamos<br>ley la acción de necesariamente contar<br>con<br>un abogado para poder obtener una<br>infracción Y eso va a diluir que se va a<br>ir viendo con el tiempo porque<br>efectivamente<br>el acceso a la a la<br>justicia civil es una justicia si es<br>compleja es cara necesita el patrocinio<br>un letrado Y eso intensifica<br>la vulneración a los mismos derechos<br>puesto que no se tiene el acceso para<br>poder<br>proteger los datos Entonces en este caso<br>es muy importante también que no solo la<br>agencia busque las sanciones porque<br>obviamente Es evidente que los los<br>las normas que van hacia el cumplimiento<br>de las empresas puedan sino que puedan<br>prevenir este tipo de mal uso de datos<br>sino que también las campañas de<br>difusión son sumamente importantes en<br>este tipo de<br>de situaciones esto a que falta la<br>conciencia y es una una cuestión que ha<br>ocurrido a lo largo de los años hoy día<br>datos personales está en la palestra<br>porque son las empresas las llamadas hoy<br>día con la nueva ley a a poner un poco<br>el punto en en este tipo de tratamiento<br>y el resguardo de ellos pero las<br>personas no nos olvidemos que son los<br>titulares de los datos personales sobre<br>todo aquellos de carácter sensible en<br>donde tenemos por ejemplo<br>lamentables fallos que van en contra de<br>lo que por lo menos en mi opinión<br>personal ha sido por ejemplo lo que<br>ocurrió con el consejo para la<br>transparencia en el cual<br>hubo una solicitud respecto a la<br>encuesta de acadé en donde se se entregó<br>una cantidad<br>desproporcional de números telefónicos y<br>sus titulares para efectos de la<br>encuesta en Respecto a los datos<br>y esto Lamentablemente fue algo que la<br>gente no visualiza lo grave que puede<br>ser porque esos datos al final se<br>pierden el control de ellos Entonces es<br>importante señalar y bueno recoger el<br>punto de lo que señalaba también Nicolás<br>respecto a las cuestiones que se están<br>interpuestos en el proyecto de ley<br>hay una hay una profesionalización en<br>cuanto a la creación de esta agencia que<br>también reducirá espero yo los costos y<br>la va a reducir de de espero de una<br>buena manera la judicialización de este<br>de estos temas<br>ha costado a pesar de que son juicios<br>sumarios son juicios rápido estamos<br>hablando de juicios que duran años quien<br>no son que no estén que necesitan de<br>dinero por parte de las personas que han<br>sido vulnerados para incluso poder<br>rendir su propia prueba Entonces en este<br>punto es sumamente importante destacar<br>que la agencia de protección de datos<br>tenga la capacidad para poder solucionar<br>este tipo de vulneraciones y también<br>ideas a lo que el cumplimiento de la<br>nueva ley exige las empresas para poder<br>evitar que ocurran brechas de datos que<br>brechas de seguridad en este caso y de<br>vulneración a la protección de los datos<br>quisiera también bueno el recoger el<br>punto de también<br>de la falta de organismos creo que el<br>tema de sernac si bien es un punto<br>importante pone avance pero si lo si lo<br>ponemos en en perspectiva finalmente a<br>mí lo a mí el miedo que más me da<br>respecto a esta ley que fue lo que<br>ocurrió hace unos años atrás cónse en<br>una precisamente cuando se estableció<br>que iban a haber muchas multas que la<br>descubrieron las multas que<br>efectivamente ya ahí donde<br>Qué ocurrió finalmente que es el famoso<br>que han dicho muchas veces el león<br>sirvientes quiero que vean y luego<br>ocurre con<br>esta atribución que se le otorgó hace un<br>año atrás respecto de la protección de<br>datos en las relaciones de consumo y yo<br>creo que es sin duda fue un gran avance<br>es importante también destacar del del<br>proyecto el registro que lo comentaba lo<br>comentaba Felipe y Nicolás respecto al<br>registro que puedan existir en cuanto a<br>las multas porque precisamente yo creo<br>Bueno yo en mi práctica profesional yo<br>soy litigante entonces me ha tocado<br>litigar en temas de de consumidor y es<br>importante señalar que para las para las<br>empresas el registro que otorga la ley<br>la ley de protección de<br>consumidor que establece el registro de<br>sentencias del cincuenta y ocho bis es<br>un buen<br>aliciente para poder evitar que se que<br>se realicen<br>infracciones o que se pueda llegar a<br>acuerdo en el caso de que existan<br>infracciones aquí yo creo que el punto<br>yo creo que todos estamos de acuerdo que<br>el asunto es evitar las infracciones<br>pero sin duda el registro en este caso<br>también podría ser un buen de<br>la infracción de la de la ley<br>es sumamente relevante que hoy día<br>podamos contar con tanto como decía<br>Nicolás que un estándar el que<br>efectivamente hoy día se cumple la<br>mayoría de los países de la de la red<br>iberoamericana<br>puesto que nos va a poner una mejor<br>posición frente al comercio en la<br>transmisión de datos y sin duda alguna<br>Esperamos que también<br>esto evitar la judicialización<br>innecesaria de Estos tipos de porque la<br>justicia lamentablemente no ha sido<br>eficiente ni eficaz porque yo creo que<br>falta el conocimiento técnico es<br>importante recalcar que tribunales en<br>los tribunales de Justicia<br>Lamentablemente<br>se necesita de la especialización para<br>poder entender estos complejos<br>un complejo escenario en cuanto a la<br>vulneración de la privacidad a la<br>ordenación de lo que son los datos<br>personales yo creo que eso es importante<br>puesto que lamentablemente hemos tenido<br>que probar por ejemplo daños moral<br>cuando de repente son evidentes los<br>baños que pueda producir este tipo de<br>vulneraciones Así que eso más que nada<br>me gustaría bueno agradecer nuevamente<br>por por esta invitación y y dejo a Pablo<br>para que pueda dar<br>su opinión Muchas gracias muchas gracias<br>javiera por tu presentación donde has<br>abordado distintos temas importantes en<br>materia de normativa vigente protección<br>de datos personales que hacen<br>reflexionar desde una mirada desde la<br>sociedad civil y desde alguien que<br>litiga regularmente y por eso nos<br>pareció importante este complemento para<br>poder abordar esta mesa de conversación<br>este diálogo en este seminario Así que<br>muchas gracias javiera bien nos queda el<br>tiempo preciso para nuestro último<br>expositor que es Pablo Contreras Pablo<br>es abogado de la universidad Alberto<br>Hurtado<br>doctor en derecho académico de la<br>universidad central quien se ha<br>especializado en derecho constitucional<br>protección de datos e Inteligencia<br>artificial Así es que muchas gracias<br>Pablo por haber aceptado esta invitación<br>a participar en esta en este seminario<br>con nosotros es que tengamos tu tiempo<br>asignado para tu presentación<br>Muchas gracias Claudio Gracias Fernando<br>y bueno un gusto estar de nuevo con<br>algunos panelistas que ya conozco hace<br>tiempo<br>esto es un circuito pequeño entonces uno<br>se tiende a volver a encontrar<br>pero pero como como bien han apuntado<br>todos y y sobre todo es una buena<br>noticia yo creo que hay personas que<br>todavía no dimensionan En qué etapa está<br>el proyecto de edad de de reforma de la<br>ley 19.628 y quiero proponerlo así<br>el proyecto está en segundo trámite<br>es decir después de esto vuelve al<br>senado y se acaban los trámites<br>legislativos Cuáles son los escenarios<br>posibles<br>Ahora tiene que revisarlo la comisión de<br>Hacienda pero que solo revisa materias<br>presupuestarias y luego lo tiene que<br>votar la sala de la cámara de diputados<br>con eso el proyecto vuelve al senado y<br>ahí hay dos posibilidades el senado está<br>de acuerdo con lo que hizo la cámara de<br>diputados<br>o si no está de acuerdo se crea una<br>comisión mix se rechazan algunas partes<br>se crea una comisión mixta y se discute<br>acotadamente En qué cuestiones no hay<br>acuerdo esto significa que la<br>probabilidad de que el proyecto de ley<br>se convierta en ley este año es altísimo<br>es más uno podría decir la posibilidad<br>de que el proyecto de ley se convierta<br>en ley durante el primer semestre es<br>alta<br>las dificultades que le quedan por<br>superar son pocas y el principal nudo<br>político y económico que tenía este<br>proyecto era la agencia y en eso al<br>parecer la discusión entre cámaras ya no<br>hay porque el principal rival de diseño<br>institucional que era el consejo para<br>transparencia ha sido descartado por la<br>cámara de diputados y ya había sido<br>descartado por el senado por lo tanto si<br>ustedes me dicen puede haber<br>discrepancia en el senado podría haberlo<br>En qué Quizá en un tema de sanciones o<br>en alguna regla respecto puede haberlo<br>sería muy acotado Y eso puede tener una<br>sesión de comisión mixta dos sesiones a<br>lo más con mucho y eso luego lo<br>despachan las salas de de cada cámara<br>entonces realmente lo que estamos viendo<br>Es que el proyecto de ley va a salir Ah<br>la posibilidad altísima que no salga<br>sería muy raro sería bastante bastante<br>raro Y eso significa que todos los<br>responsables de tratamientos de datos<br>tienen que empezar a ajustarse para que<br>en dos años más empieza a regir la ley y<br>para que en 22 meses empiezo a funcionar<br>una agencia de protección de datos<br>eso es lo que tenemos en vista en el<br>futuro cercano Ah entonces supongamos si<br>A mediados de año<br>esto se convierte en ley bueno de ahí<br>dos años para que esas obligaciones sean<br>empiezan a regir y en abril en mayo<br>tendríamos una agencia del<br>2025 tendríamos una agencia de<br>protección de datos funcionando de eso<br>estamos hablando y a veces<br>reorganizar la arquitectura de flujo de<br>información de tratamientos de datos en<br>instituciones no es tan fácil sobre todo<br>si no lo hemos hecho nunca sobre todo si<br>no nos hemos mirado internamente cuando<br>uno empieza a hablar de esto con<br>cualquier persona en sus propias<br>instituciones<br>no se dan cuenta de la cantidad de datos<br>que tratan las distintos tipos de base<br>de datos que generan no se dan cuenta<br>realmente de lo que se trata muchas<br>personas creen que esto es una política<br>privacidad en un sitio web<br>muchas personas creen que es un aviso de<br>cookies y no saben que al momento en que<br>están pidiendo la cédula de identidad<br>para generar un registro de ingreso de<br>visitantes tiene una base de datos que<br>cuando están mandando un correo<br>promocional tiene una base de datos en<br>fin podríamos seguir detallando hay<br>muchos que no se acuerdan que sus<br>trabajadores son la primera base de<br>datos de muchas empresas en fin yo lo<br>voy a enfocar en básicamente dos cosas<br>voy a hablar del programa con playas y<br>el delegado de protección de datos sobre<br>todo en conexión con la agencia de<br>protección de datos y cuáles son los los<br>puntos de intersección relevantes para<br>cualquier entidad que sea responsable de<br>tratamiento de datos ya y esto atañe al<br>corazón de cualquier discusión sobre<br>compliance y protección de datos<br>y por qué esto es importante<br>quiero decirlo En primer término desde<br>afuera desde la mirada internacional ya<br>hace pocos días atrás ya supimos que el<br>european que es el regulador de la Unión<br>Europea en esta materia del reglamento<br>general de protección de datos<br>se puso una meta para este año ya Cuál<br>es la agenda del european Data<br>protection Board es trabajar respecto de<br>los deeps los delegados de protección de<br>datos Y para eso va a trabajar con toda<br>la agencia regulatorias de Europa para<br>determinar Cuáles son las condiciones de<br>designación Cuál es la posición de los<br>dpo y sobre todo si cuentan con los<br>medios y atribuciones necesarios para<br>cumplir con sus fines esto lo comunicó<br>en su sitio web Hace unos días atrás la<br>semana pasada básicamente Y esto es lo<br>que va a virar el regulador europeo<br>respecto de las agencias en cada estado<br>parte de la Unión Europea Ah y va a<br>dirigir consultas<br>visitas y loco bueno en fin va a<br>recopilar información sobre cuál es la<br>realidad de los delegados de protección<br>de datos Y fíjense esto es a ocho años<br>dentro de la entrada en vigencia<br>el reglamento general de protección de<br>datos pero así de crítico es esto que<br>tiene que dedicársele un año parte del<br>trabajo y la agenda de trabajo de este<br>regulador es enfocarse aquí y por qué<br>Porque el delegado<br>A ver primero porque todavía no hay<br>conciencia y esto hay algunos estudios<br>que lo demuestran en Europa y con todos<br>los avance que tiene Europa todavía no<br>hay conciencia sobre la relevancia al<br>tema de protección de datos todavía<br>tienen un problema respecto a la<br>divergencia legislaciones<br>es un ecosistema normativo mucho más<br>complejo y hay un gran desafío de cómo<br>abordar soluciones uniforme a las<br>transferencias internacionales incluso<br>con el reglamento general de protección<br>de datos Entonces<br>por qué enfocarse en el delegado porque<br>el delegado es el punto de conexión<br>entre el responsable del tratamiento y<br>la agencia y el regulador<br>Y eso quiero mostrarlo con lo que está<br>saliendo de la cámara de diputados en el<br>proyecto l ya el delegado de protección<br>de datos y los programas de compliance<br>es el punto de contacto entre la empresa<br>entre la institución y el regulador y<br>aquí hay muchas oportunidades para<br>quienes se suban a este carro rápido<br>para quienes empiezan a ajustar sus<br>procedimientos porque les estaba<br>comentando Es que<br>este delegado enfrenta<br>una situación muy particular Ah Nosotros<br>con junto a Pablo trigo y Leonardo Ortiz<br>revisamos El entorno regulatorio de la<br>protección de datos sin agencia entonces<br>si en el mundo público tienes a la<br>contraloría tienes al consejo para<br>transparencia Y si en el mundo privado<br>va desde el sernac la cmf o una<br>superintendencia por mencionar distintos<br>modelos de entornos de control y<br>regulatorio entonces la misma falla de<br>seguridad en una institución puede ser<br>que tenga que reportarse a la cmf puede<br>hacer que se tenga de trabajar con<br>sernac puede hacer que se tenga de meter<br>un tercer actor que sería la agencia de<br>protección de datos es un entorno<br>sumamente complejo y es un gran desafío<br>y además es sumamente desafiante porque<br>es transnacional ya Obviamente si la<br>empresa tiene un controlador extranjero<br>que está sujeto a la al artículo tres<br>del reglamento general de protección de<br>datos hay reglas de extraterritorialidad<br>del reglamento que va a ser que esa<br>empresa tenga que ajustarse al estándar<br>europeo Y entonces el delegado tiene que<br>dialogar entre la legislación chilena y<br>el entorno europeo Ah pero no tiene por<br>qué ser solo un controlador si puede ser<br>una aplicación que quiere prestar<br>servicio en distintas partes del mundo<br>Ah entonces no el controlador puede ser<br>completamente chileno pero los<br>tratamientos son transfronterizos y el<br>reglamento de protección de datos podría<br>capturar estos tratamientos a través del<br>artículo tres entonces un entorno<br>extremadamente desafiante para este<br>delegado y fíjense que lo que hace la<br>cámara de diputados y aquí Es bien<br>interesante la cámara de diputados<br>mejora muchísimo el proyecto de ley y Es<br>bien interesante<br>Es bien interesante porque a diferencia<br>de lo que suele pasar se se suele decir<br>que son el senado el que mejora los<br>proyectos se fijan aquí la cámara de<br>diputados con todo permanentemente con<br>el consejo y la asesoría de un grupo de<br>expertos que pusieron en la comisión de<br>Constitución estaba Marcelo drago estaba<br>Romina Garrido estaba Macarena Gatica<br>estaba Claudio y lona estaba Pablo trigo<br>estaba Emilio oñate y ellos fueron<br>advirtiendo ojo en el reglamento general<br>es así bueno eso hizo que por ejemplo en<br>materia de programas de cumplimiento la<br>propuesta del senadora bastante débil Ah<br>digamos escueta Ah era entre<br>nombrar un delegado o tener un plan de<br>cumplimiento y y como bien han dicho<br>Nicolás Felipe esto cambia en la cámara<br>de diputados cambia en la camarita<br>Entonces qué tenemos se fija la<br>obligación de de de establecer la figura<br>del delegado se fijan requisitos para<br>este delegado y se fijan contenidos<br>mínimos para programa de cumplimiento y<br>acá están los puntos de intersección<br>entre la empresa con el delegado y la<br>agencia Ah y el regulador fíjense<br>el delegado una de las principales<br>funciones que que no se le pone mucha<br>atención es que el canal de contacto con<br>los titulares de datos Resuelve la<br>solicitudes de los titulares ya entonces<br>si si aquí no lo hacemos bien Esto puede<br>ser un posible reclamante la agencia Ah<br>entonces el delegado<br>es un punto de contacto con los<br>stakeholders de esa empresa desde el<br>punto de vista del responsable del<br>tratamiento de datos Pero además<br>coopera con la agencia y debe activar<br>los mecanismos en el evento de las<br>infracciones Como por ejemplo el<br>mecanismo de autodencio entonces Déjenme<br>ir a la circunstancias atenuantes<br>perfecto Déjenme ir a la circunstancia<br>atenuante<br>como bien se ha mencionado aquí por<br>Nicolás Felipe javiera el proyecto<br>cambia totalmente el escenario que<br>tenemos actual donde no hay un régimen<br>infraccional relevante ya entonces los<br>incentivos no están alineados al<br>cumplimiento aquí los incentivos están<br>claramente<br>inspirados en el régimen europeo Son son<br>como como bien decían por ahí son multas<br>que en otros sectores no existen<br>nosotros sectores regulados no existen Y<br>entonces la posibilidad de atenuar El<br>impacto de esas sanciones está dado a<br>través del programa de cumplimiento un<br>programa de cumplimiento que tiene que<br>ser certificado ante la agencia entonces<br>las empresas que hoy se empiezan a<br>preparar con diagnósticos con<br>elaboración de documentación quedan en<br>mejor pie para que en 22 meses de<br>publicado en la ley cuando la agencia<br>tenga que empezar a tirar las primeras<br>líneas sobre certificaciones de planes<br>de cumplimiento puedan<br>estar ahí en las consultas públicas<br>puedan estar discutiendo Los criterios<br>pueden estar alertando problemas<br>dificultades etcétera etcétera Y eso<br>además después va a ser clave porque en<br>el evento de la infracción<br>tres a mi juicio tres de las cinco<br>atenuantes claramente competen al de<br>forma directa competen al delegado<br>protección de datos fíjense el artículo<br>36 número dos establece un atenuante la<br>colaboración del infractor si usted<br>tiene una persona especialista<br>que pueda prestar la mejor colaboración<br>de cara al procedimiento sancionatorio<br>es atenuante va a ser calificada de la<br>mejor forma posible la segunda es la<br>autodenuncia se supone un delegado<br>independiente eso supone un delegado que<br>tiene la posibilidad de alertar un<br>directorio Que aquí hay una infracción<br>tan grave que el riesgo de las sanciones<br>tan alto y que la institución debe<br>autodenunciarse para evitar los<br>problemas obviamente la potestad<br>sancionatoria Estatal pero también<br>reputacional Ah cuando la autodenuncias<br>están favor de la de la institución y<br>ahí Obviamente si no hay una una persona<br>Autónoma independiente con los recursos<br>es poco probable que el autodenuncia<br>suceda adecuadamente Y por último<br>obviamente la más obvia de la de todos<br>los incentivos alineados en programas de<br>cumpleaños es que el responsable el<br>tratamiento de datos tiene que haber<br>cumplido diligentemente sus niveles<br>deberes de dirección y supervisión con<br>el certificado expedido por la autoridad<br>y obviamente esto Sin una persona<br>interna que tenga los medios de recursos<br>y que hay y que cuente con la confianza<br>de la máxima autoridad de la empresa es<br>poco probable que se lleve a cabo un<br>programa de certificación del del modelo<br>de con playas Me parece que estos puntos<br>por sí solo muestran la convergencia<br>entre programas de cumplimiento y<br>agencias regulatorias y en esto yo creo<br>que que solo para ir cerrando digamos yo<br>creo que hay que tener presente que que<br>a diferencia de lo que alerta javiera<br>por ejemplo de que aquí pudiésemos tener<br>un regulador sin dientes<br>las posibilidades en este caso son más<br>difíciles el diseño institucional<br>despeja los fantasmas de sernac<br>Ah esto es una autoridad<br>muchísimo más independiente que ser<br>Y entonces las dudas son otras de hecho<br>por ejemplo a mí me genera dudas que la<br>competencia de esta autoridad por los<br>problemas que de cómo se ha interpretado<br>las autonomías constitucionales en<br>nuestro ordenamiento no alcancen a los<br>órganos constitucionales autónomos Y<br>esto es un problema grave a mi juicio<br>respecto a las competencias de la<br>agencias reguladora piensen está por<br>salir un artículo que escribimos junto a<br>Michelle bordachar sobre el escándalo de<br>protección de datos del año pasado que<br>fue Ni más ni menos la filtración o<br>digamos la la falla de seguridad de la<br>información de ser<br>esa falla de seguridad de la información<br>que todavía no tienen resultado en su<br>investigación en su sumarios en fin eso<br>hoy día no quedaría cubierto bajo la<br>competencia a la agencia de protección<br>de datos por las disposiciones que<br>establece que establece el proyecto de<br>ley y me parece que eso es insuficiente<br>de cara lo que necesitamos puede ser hoy<br>día servel puede ser mañana Ministerio<br>Público<br>el día de mañana podemos tener más<br>órganos autónomos constitucionales Banco<br>Central también puede ser en fin me<br>parece que aquí hay una claramente un<br>problema todavía no resuelto en nuestro<br>ordenamiento jurídico pero para el resto<br>de las instituciones que tratan datos<br>toda la administración del estado Por<br>cierto registro civil Ministerio de<br>salud Pero todas las empresas<br>y sobre todo aquellas empresas<br>cuyos reguladores no van a ser la<br>agencia de protección de datos<br>imaginemos una empresa que provee<br>energía y que tiene una superintendencia<br>que que los fiscaliza la agencia de<br>protección de datos va a ser un<br>raro y por lo tanto la labor que presta<br>el delegado protección de datos en esta<br>materia es clave porque es ajeno al giro<br>el negocio y sin embargo las multas<br>pueden ser en algunos casos peores que<br>las de su propio regulador del giro del<br>negocio por eso el desafío enorme yo<br>creo que estamos en buen pie es<br>razonable dos años de vigencia eso fue<br>el plazo de del reglamento general de<br>protección de datos Pero obviamente<br>nuestra brecha nuestro Delta es mucho<br>mayor<br>por lo tanto este tipo de actividades<br>que ya empiezan a alertar sobre Cuáles<br>son las las fortalezas del proyecto<br>Cuáles son las advertencias son claves<br>para poder iniciar un diálogo entre<br>instituciones y al interior de las<br>mismas Muchísimas gracias<br>Muchas gracias Pablo por tu por tu<br>presentación la verdad que has hecho un<br>punto bien bien importante que tiene que<br>ver con la inminente aprobación de este<br>proyecto de ley lo que lo que<br>evidentemente nos pone en un punto<br>importante acá<br>al plazo para la entrada en vigencia de<br>la ley donde van a tener que hacerse<br>todos los ajustes necesarios en las<br>empresas entonces están igual como lo<br>decíamos con los expositores anteriores<br>con Nicolás javiera y Felipe la<br>importancia que las empresas tomen<br>conciencia efectivamente de que esta es<br>una ley que va a ser aprobada finalmente<br>que va a entrar en vigencia y donde los<br>distintos ajustes que se van a tener que<br>hacer desde el punto de vista del sector<br>privado pero también desde el punto de<br>vista del sector público en materia<br>institucional ponen una cantidad de<br>desafíos bien importantes sobre todo y<br>viendo una línea en la cual tú has<br>puesto énfasis que tiene que ver con los<br>planes de cumplimiento y la importancia<br>del delegado en materia de cumplimiento<br>que juega un gol y va a jugar un gol<br>importante sin duda en esta área Les<br>propongo lo siguiente tenemos varias<br>preguntas en que han realizado nuestro<br>público esta ha sido un seminario muy<br>muy interesante para esta materia y dado<br>que estamos con el proyecto de<br>tramitación hay muchas preguntas que van<br>en esa línea también yo voy a hacer una<br>lectura ustedes como expositores pueden<br>ver y tienen a la vista cada una de las<br>preguntas yo solamente las voy a señalar<br>rápidamente para después darles un<br>tiempo de cinco minutos a cada uno de<br>ustedes para que puedan responder estas<br>preguntas si les parece bien lo voy a<br>hacer en el mismo orden que han sido las<br>presentaciones para poder dar cuenta<br>estas preguntas que están acá tengo una<br>primera pregunta que dice Cuál es la<br>extensión de la excepción de<br>consentimiento para el tratamiento de<br>datos personales Respecto a los datos<br>que sean necesarios para comunicaciones<br>comerciales de respuesta directa o<br>comercialización o venta directa de<br>bienes o servicios<br>después se señala una que entiendo que<br>el derecho a reclamar sobre software de<br>algoritmo tiene que ver No solo con la<br>alimentación errónea sino también con<br>los seres de quienes alimentan la<br>máquina es así esa pregunta de Soledad<br>Alonso después viene Sebastián izquierdo<br>quien ha señalado se establece en el<br>proyecto algunas formas de fiscalización<br>de las obligaciones o la agencia de<br>protección de datos quedaría a la espera<br>de recibir denuncias por infracción de<br>derecho<br>Cristian Medina señala pregunta cómo se<br>determinará o Cuál será la medición para<br>la empresa y organización en el<br>cumplimiento de la implementación de las<br>medidas adecuadas en la protección de<br>datos sobre todo cuando sufren un ataque<br>de tipo informático y al momento de la<br>revisión de sus procedimientos esta<br>empresa no cumple con normas mínimas<br>como decir<br>control o no mantiene políticas<br>adecuadas qué será el organismo que<br>determinará ese cumplimiento<br>después hay una pregunta de Cristian<br>Medina<br>la empresa sufre acceso ilícito y<br>alteración de la información pero a la<br>vez no realizó una implementación<br>normativa mínima por filtración de sus<br>bases de datos esto era perdón para<br>cumplimiento la la misma pregunta<br>anterior<br>Isabel santibáñez pregunta respecto al<br>delegado se sugiere la elección de una<br>persona ajena a la compañía<br>constancia pasarín Cómo ven que tengamos<br>varios órganos con facultades<br>fiscalización en materia de protección<br>de datos por ejemplo cmf sernac y la<br>propia agencia Cómo se va a resolver en<br>la práctica<br>Claudia taulis<br>dice soy encargada de cumplimiento de<br>una de una pyme estas capacitaciones en<br>materia libre competencia consumidor<br>tributario ahora protección de datos<br>entre otras siempre se plantea la<br>conveniencia oficial de cumplimiento<br>para cada materia específica creo que<br>eso en realidad no es viable son<br>demasiadas las preguntas en materia del<br>soplado demasiado por materia<br>después viene otra pregunta de<br>Isabel santibáñez que dice cómo se se da<br>la relación entregada prevención y el<br>delegado<br>Cristian Medina<br>después otra pregunta de Camilo saldía<br>acá la ciberseguridad y la protección de<br>datos tiene ciertos puntos de conexión a<br>juicio los expositores Se observa una<br>adecuada coordinación entre los<br>proyectos de ley marco de ciberseguridad<br>y la ley de protección de datos<br>personales hay felicita también por muy<br>buena exposiciones y me quedan Solo dos<br>preguntas Catalina Aranda dice para<br>nicolado Felipe dados los requisitos<br>para el dpo creen que desincentiva la<br>designación interna de este rol debiese<br>recaer en algún externo Qué beneficios o<br>desventajas ver en cada caso y la última<br>pregunta el encargado de protección<br>podría ser una empresa externa puede ser<br>una persona jurídica bien hay varias<br>preguntas Hay una que está dirigida en<br>específico yo como son varias preguntas<br>le puede dar cinco minutos a cada uno de<br>ustedes puede ser un poquito más También<br>tenemos un poco de margen según el<br>horario que hemos establecido para este<br>seminario Así es que en el mismo orden<br>de las presentaciones Nicolás y<br>Gracias Claudio me voy a hacer cargo de<br>agradecer de tres preguntas que son las<br>que más se repiten primero con respecto<br>a la extensión del consentimiento el<br>proyecto de ley que se está tramitando<br>la cámara al igual que la ley vigente la<br>ley establece dentro del catálogo de<br>excepciones para no para no tener el<br>consentimiento del titular y así<br>realizar su tratamiento está el de las<br>comunicaciones<br>comerciales efectivamente sigue<br>manteniendo la línea de lo que se llama<br>el up out básicamente es lo que hay<br>detrás de esto es incentivar el<br>marketing la publicidad en especial en<br>aquellas empresas que no tienen el<br>tamaño suficiente ni en la espaldas<br>financieras para hacer publicidad sin<br>perjuicio evidentemente quedamiento se<br>mezcla con temas del consumidor es que<br>habiendo yo recibido una publicidad<br>siempre me tienen que dar las<br>facilidades y un<br>Hay un procedimiento claro para cancelar<br>el envío de esas comunicaciones<br>comerciales momento en que cuando una<br>vez lo manifiesto deja de ser<br>obligatorio para la empresa no seguir<br>enviándome comunicación eso se<br>mantendría y y se mezcla un poco la la<br>pregunta mezcla también pero de buena<br>manera o y que aprovecha de tocar otros<br>temas con respecto a Qué pasa cuando hay<br>una relación contractual de un medio<br>bueno eso en términos prácticos<br>significa que hay un interés legítimo O<br>sea yo no puedo contratar con alguien<br>con un proveedor con alguien que me<br>presta un servicio en un determinado y<br>que me pide los datos Yo después no<br>puedo ejercer los derechos arcos para<br>eliminar eso eso esos datos Porque<br>básicamente estaría dejando desarmado al<br>acreedor para exigir el cumplimiento de<br>las obligaciones imagínense que el día<br>de mañana yo quiero cancelar o eliminar<br>mi dato relacionado con el domicilio<br>Bueno cómo me van a poder notificar de<br>la demanda Y cómo voy a poder hacer<br>todas las acciones que me faculta la ley<br>para el cumplimiento de una obligación<br>en específico<br>la segunda pregunta de la cual me quiero<br>acercar o que fue específico pero que se<br>fue repitiendo Era sobre la conveniencia<br>de si el dipio tenía que ser una persona<br>interna o externa a ver en lo personal<br>yo creo que lo mejor es que sea alguien<br>interno porque es alguien que conoce la<br>dinámica del del negocio sabe el volumen<br>o tiene una aproximación del volumen de<br>datos que se trata de la naturaleza los<br>datos de extensión en territorio lo que<br>les va a permitir tener una mejor<br>posición para responderle a los<br>distintos requerimientos de la agencia<br>en especial tomando en consideración que<br>va a ser una agencia con facultad de<br>fiscalizadora de consulta etcétera yo no<br>sé si alguien tan externo podría<br>contar con es con esa ventaja ahora<br>poniendo un poco ahora el diálogo y<br>Tratando de buscar las ventajas de una<br>moción que no estoy de acuerdo el el<br>una un ipv externo podría contar con la<br>gran ventaja de de tener esa<br>Independencia tanto económica como<br>administrativa como mencionaba Felipe<br>cierto De que al ser las personas<br>importantes las que me van a Designar a<br>mí si yo soy externo no hay una relación<br>de subordinación y dependencia con<br>respecto a ello Y lograr tu me va a<br>dejar con más libertad para poder hacer<br>el trabajo y no va a importar tanto el<br>día de mañana mantener mi trabajo frente<br>a un eventual daño reputacional que<br>podría tener una filtración de datos no<br>Entonces que esos esos son básicamente<br>mis dos respuestas que son bastante<br>repetidas y una de ellas está dirigida<br>muy bien muchas gracias Nicolás por tu<br>respuesta<br>siguiendo el orden que hemos establecido<br>después ahora viene<br>Felipe Fernández<br>Muchas gracias yo me voy a referir<br>algunas preguntas que también<br>se repiten respecto a el quién debiera<br>ser el delegado de materia de protección<br>de datos<br>y Y la verdad es que la respuesta<br>no es que sea difícil pero sí tiene que<br>atender a la realidad particular de cada<br>compañía y y en ese sentido reitero lo<br>que dije acá no existen las cosas<br>estándares o cosas que sean replicables<br>simplemente que uno puede buscar en<br>internet y la verdad es que lo copio mi<br>compañía porque depende mucho la<br>realidad de una empresa y en ese mismo<br>contexto el delegado de protección de<br>datos Bueno hay algunas preguntas que<br>dicen bueno puede ser el encargado de<br>prevención puede ser el oficial de<br>cumplimiento la verdad es que es la<br>medida que cumpla con los requisitos o<br>con las condiciones que te establece el<br>proyecto de ley no hay ningún problema<br>la ley no dice si es que el delegado<br>tiene que estar radicado en fiscalía o<br>en auditoría o en el departamento de<br>cumplimiento Y la verdad es que es<br>nuestra experiencia muchos casos por<br>ejemplo en empresas de tecnología el dpo<br>está a cargo de el área de Haití Por qué<br>Porque son los que conocen con mayor<br>detalle En cuál es el día a día en el<br>procesamiento de los datos conoce mejor<br>los riesgos conocen mejor En definitiva<br>para qué día entre estamos ocupando los<br>datos entonces<br>más que en el quién uno debiera ser<br>capaz de identificar cuál es el cargo<br>independiente del área de la compañía de<br>que se trate que pueda cumplir con estos<br>roles de autonomía no tener conflictos<br>de interés En definitiva ser<br>independiente entonces raya para sumas<br>para las preguntas dos preguntas<br>específicas puede el delegado ser el<br>encargado de prevención Sí en la medida<br>que cumpla con lo que dice el proyecto<br>puede ser el oficial de cumplimiento Sí<br>en la medida que para esa compañía le<br>funcione En definitiva porque<br>dependiendo de la industria que se trata<br>las particulares características de esa<br>compañía como les digo podría ser que el<br>delegado A lo mejor funcione mucho mejor<br>en el área de ti por decir por decir<br>algo y respecto a la pregunta respecto a<br>si es que quizás conviene<br>tercerizar el rol del delegado yo<br>coincido con con Nicolás respecto a que<br>es un rol que requiere tener mucho<br>conocimiento del día a día del<br>funcionamiento de la compañía es alguien<br>que tiene que entender el negocio que<br>tiene que estar al tanto del flujo de<br>los datos del ciclo de vida de los datos<br>del día a día y por lo tanto pareciera<br>si bien la verdad es que esto depende<br>del caso caso Yo sé que la gente oye que<br>uno diga que depende el caso caso pero<br>de verdad depende la realidad de cada<br>industria pero pero tiende a coincidir<br>de que<br>el ese rol pareciera que una persona<br>interna podría asumirlo de mejor manera<br>eso no quiere decir que en otras en<br>otros países que son mucho más maduros<br>que nosotros en cuanto a el tiempo que<br>llevan cumpliendo con<br>altos estándares en materias de<br>crecimiento de datos personales<br>efectivamente tercerizan esto exista<br>creado industrias secundaria abogado<br>externo Bueno usted tiene a su dvo<br>externo que prestan este servicio pero<br>muy probablemente sobre todo en una<br>etapa de implementación de la ley que va<br>a ser compleja eh coincido con mi amigo<br>Nicolás de que de que probablemente una<br>persona interna pueda cumplir mejor con<br>ese rol<br>Muchas gracias Felipe javiera<br>bien Bueno yo me gustaría que me cargo<br>respecto de la pregunta de Soledad que<br>señala que el respecto el derecho a<br>reclamar sobre dos fuerzas de algoritmo<br>en este caso eh Bueno en tanto la<br>experiencia comparada de lo que está el<br>reglamento el reglamento europeo<br>protección de datos La idea es que este<br>nuevo derecho que nace hoy día con<br>además de los Derechos arcos es sin<br>poder impugnar las decisiones que se<br>tomen en cuanto a<br>las decisiones automatizada y da la<br>posibilidad en este caso de acuerdo a la<br>experiencia corporal se puede reclamar<br>esta no solamente en la alimentación<br>sino que también es un derecho propia<br>mental o sea es más amplio de lo que lo<br>que señale esta pregunta lo que se<br>apunta es importante también que lo<br>recoge en la dentro de la de la<br>normativa que está en el proyecto que<br>dentro de la evaluación de impactos se<br>busca evaluación de la evaluación<br>sistemática de estos aspectos personales<br>del tratamiento o las decisiones<br>automatizadas para la elaboración de<br>perfiles entonces importante que sea un<br>derecho más que le otorga el titular<br>para poder reclamar respecto de estas<br>decisiones y solicitar en este caso<br>también<br>la intervención de la intervención de la<br>humana en este tipo de decisiones<br>también<br>había otra pregunta<br>acá Ah bueno Sebastián izquierdo bueno<br>efectivamente una de las principales<br>facultades que tiene la ciencia<br>protección de datos de la manera en que<br>está redactado el proyecto establece una<br>que sus principales obligaciones la<br>fiscalización de la agencia de<br>protección de datos Entonces en este<br>caso no solamente sería a través de la<br>de recibir denuncias de la infracción<br>sino que también en la fiscalización<br>es se le otorga como una de sus<br>principales y que bueno también estoy<br>muy de acuerdo con lo que con lo que<br>señala<br>Felipe y Nicolás Respecto a los dpo<br>porque principalmente por el nivel de de<br>conocimiento que tienen que tener la las<br>personas que estén dentro de la empresa<br>y la relación que tengan ahora es el<br>conflicto efectivamente de lo que decía<br>Nicolás si es que quiere mantener su<br>pega o no pero la importancia es de<br>poder tener la principal Independencia y<br>Carta blanca Para poder ejercer los<br>deberes que como de peores implica y le<br>otorga la ley<br>Muchas gracias javiera<br>corresponde para cerrar la parte de la<br>respuesta de Pablo Contreras<br>Gracias Claudio creo que me voy a<br>enfocar en tres temas lo que preguntaba<br>Sebastián y contestaba javiera respecto<br>de la agencia que tenga facultades de<br>fiscalización<br>autónomas no no previa denuncia<br>esto es clave porque significa que si<br>uno observa la la experiencia comparada<br>unas primeras cosas que debe definir una<br>agencia reguladora como esta es un plan<br>de fiscalización en base a riesgos ya Y<br>si realiza eso<br>tomemos la experiencia Europea el la<br>primera área<br>de riesgo en la experiencia europea si<br>un observador regulador europeo es salud<br>ya<br>datos médicos datos sensibles Por cierto<br>y luego son niños niñas y adolescentes<br>porque capturar esos datos te permite<br>diseñar trayectorias de perfiles<br>entonces puede ser que algunos crean<br>esto la experiencia europea entonces<br>puede ser que algunos crean que una<br>escuela un colegio particular<br>subvencionado no está como en la misma<br>posición que el retail y sin embargo<br>puede ser que el tratamiento que<br>realicen ahí no esté al nivel de lo que<br>se espera y que puede hacer una parte el<br>mapa de riesgo que Define a un plan de<br>fiscalización claro nos han fiscalizado<br>todos los colegios particulares<br>subvencionados pero o a todos los<br>jardines infantiles digamos pero pero<br>por el mapa de riesgo esos son datos<br>muy muy significativos en esta materia<br>Entonces no solo y con esto que para<br>contestar la la pregunta no solo es que<br>la autoridad tenga la<br>facultad legal para<br>de oficio de de su propia iniciativa<br>fiscalizar sino que además Define y esto<br>puede ser más o menos participativo<br>Define<br>Cuáles son los criterios de riesgo para<br>la priorización en la fiscalización y es<br>una cuestión clave o sea esto existe hoy<br>día por ejemplo son Nike tiene planes de<br>fiscalización en base a mapas de riesgo<br>o sea son cosas que ya existen en chile<br>y no No es novedad pero pero si uno<br>observa la experiencia comparada donde<br>hay mucha intersección entre datos<br>personales y ciberseguridad<br>Esas son dos materias que uno debiese<br>advertir desde ya Ah entonces no sé si<br>hay alguien aquí asesorando a<br>responsables de tratamiento materia de<br>salud o en materia de niños niñas y<br>adolescentes Ah ojo esto no significa<br>solo colegio digamos o establecimiento<br>educacionales bueno Esto es clave<br>solo para ver las tendencias comparadas<br>el segundo tema quiero a propósito de de<br>las preguntas de de seguridad la<br>información falla de seguridad<br>ciberseguridad etcétera que que por ahí<br>está Cristian y también estaba<br>Camilo a ver esto cada vez que uno<br>conversa de esto a veces no sé cuando a<br>mí me ha tocado conversar con gente en<br>empresa creen que que datos personales<br>es básicamente seguridad la información<br>es como que no se filtren los datos Ah<br>que no me hackeen el computador entonces<br>hay una mirada un poco reduccionista y<br>es obvio que<br>estos dos conjuntos tienen<br>intersecciones Ah la ciberseguridad<br>tiene intersección con la protección de<br>datos en la seguridad de activos de<br>información en donde se incluyen Por<br>cierto los datos personales pero la<br>ciberseguridad protege otros activos de<br>información que no son datos personales<br>nada pueden haber cifras que no permiten<br>identificar a un a un a una persona<br>determinado y o determinable entonces<br>hay una intersección Pero hay Campos<br>completamente autónomos digamos en la<br>ciberseguridad hay toda una parte de los<br>delitos informáticos<br>toda una parte de de resiliencia de los<br>fierros de la de los del Hardware que<br>puede o no tener intersección con datos<br>personales<br>y hay una parte de datos personales que<br>no se toca o es difícil que se toque<br>digamos a veces con<br>con ciberseguridad por ejemplo<br>ciberseguridad no se encarga de<br>solicitudes de derechos de rectificación<br>de datos personales<br>puede tener el sistema informático que<br>operar pero no no es que la<br>ciberseguridad está pendiente eso<br>Entonces el caso más por qué digo los<br>derechos arcos porque la solicitud de<br>acceso a datos personales puede ser una<br>cuestión más corriente de que haga de<br>las facultades que ejerza un titular de<br>datos presta Un responsable del<br>tratamiento y que el encargado de<br>seguridad de la información no tenga<br>mucho que decir se fijan<br>y y esto digamos El ejercicio del<br>derecho de acceso las reclamaciones de<br>laico el regulador de de Reino Unido el<br>laico recibe al año<br>mil reclamos por infracciones al derecho<br>de acceso o sea Esa es la magnitud y<br>estamos hablando solo del derecho acceso<br>y esto no tiene punto de intersección<br>con ciberseguridad ahora a la pregunta<br>de esto es por ejemplo si tengo una<br>falla de seguridad y puede haber<br>involucrado un delito informático eh<br>Quién tiene que tomar Qué decisión y<br>esto es una típica pregunta en donde uno<br>tiene que decir aquí hay distintos<br>ámbitos del derecho involucrado una<br>cuestión en la investigación penal Y<br>puede que el mismo hecho genere<br>responsabilidad desde el punto de vista<br>de la protección de datos y no genere<br>responsabilidad penal se fijan entonces<br>hay que tenerlo súper presente entonces<br>un mismo hecho en esta materia puede<br>generar distintos órdenes de<br>normatividad y por eso es siempre<br>importante ver que más allá de los<br>puntos de intersección hay que ver las<br>especificidades de cada materia<br>quiero cerrar con con el último perdón y<br>esto conecta con la con la pregunta que<br>que hacía de constanza que aquí tenemos<br>un entorno regulatorio muy complejo<br>donde la agencia de protección de datos<br>llega muy tarde donde ya hay muchas<br>instituciones que realizan labores de<br>enforcement y que ya tienen alguna<br>jurisprudencia en algunos casos tienen<br>algunos criterios Y entonces si uno lee<br>la ley de bases de Procedimientos<br>administrativos donde hay un deber de<br>coordinación regulatoria bueno Esa esa<br>coordinación e insuficiente de cara al<br>esfuerzo y los dilemas de acción<br>colectiva de la agencias en esta materia<br>aquí va a haber un periodo de ajuste<br>Lento no sabemos cuánto<br>y por eso estar al día desde Cuál es la<br>mirada la superintendencia de salud<br>hasta Cuáles fueron los criterios en el<br>pasado el consejo para la transparencia<br>son relevantes para ver cómo argumentar<br>un caso ante la agencia de protección de<br>datos se fijan por eso el mapeo de la<br>fragmentación del entorno sectorial de<br>protección de datos claves Ah entonces<br>Bueno eso es parte de lo que hemos<br>estado investigando hace tiempo desde<br>unos proyectos con decir quiero cerrar<br>con el último tema que que a propósito<br>los encargados y y los delegados de<br>protección de datos y adentro afuera a<br>ver yo creo que aquí hay básicamente dos<br>variables relevantes para calibrar esto<br>teniendo coincidir Que obviamente<br>pareciera más más sencillo y reduce<br>mejor Los costos el elegado interno pero<br>Déjenme Cuáles son las variables primero<br>es la simetría o de la información una<br>de las principales razones para poder<br>tener preferir un dpo interno es porque<br>el interno va a saber mejor Ah conoce<br>mejor<br>puede reducir su brecha información más<br>rápidamente con menos costos es más<br>difícil que lo engañen o que lo birlen o<br>lo que sea se fijan entonces hay la<br>primera variable es asimetría de<br>información la segunda son los<br>contrapesos y esto a propósito de una<br>pregunta que alguien hace sobre si el<br>encargado con playas o el encargado de<br>seguridad de la información puede ser a<br>la vez el delegado de protección de<br>datos la ley prevé la polivalencia<br>del encargado o sea del delegado de<br>protección de datos puede ser delegado<br>protección de datos de con playas y de<br>otras cosas<br>y aquí el en la segunda variable son los<br>contrapesos internos y externos para<br>para tomar esta decisión una en algunas<br>empresas por ejemplo<br>he tenido conversaciones que me han<br>dicho Mira preferimos tener al encargado<br>de seguridad de la información en una<br>persona y una autoridad o sea un<br>delegado en otra precisamente para que<br>sean contrapeso Porque si yo tengo<br>riesgos aquí para poder controlar a eso<br>internamente quiero tener a alguien<br>distinto Y ambos reportan Y entonces<br>igual tengo certeza de que eso llega a<br>la máxima autoridad es un Un diseño<br>organizacional posible en otros casos<br>los temas de costo estructura cantidad<br>de base de datos el diagnóstico me va a<br>decir que ese contrapeso innecesario y<br>tiene que venir dado desde arriba Ah en<br>otros términos los directorios también<br>están para eso en alguna medida Entonces<br>dependerá es un contrapeso interno pero<br>supongamos que una sume un delegado de<br>protección de datos internos ahí también<br>la variable de contrapeso puede ser<br>externa<br>tengo un delegado interno Pero a ese<br>delegado<br>con su autonomía y todo necesito también<br>controlarlo y ahí está las funciones de<br>auditoría que en general tenemos digamos<br>observamos en el entorno regulatorio o<br>sea son empresas afuera estudio de<br>abogados consultoras que van y van a<br>chequear de que la 27001 la hizo digamos<br>exista realmente la organización digamos<br>y si tienes un delegado protección de<br>datos bueno que que esa documentación se<br>cumpla etcétera y levanta la observación<br>entonces hay contrapeso externo también<br>es relevante entonces tú puedes tener un<br>delegado interno pero con control<br>externo porque no te basta confiar en<br>esa persona<br>y eso son distintos diseños yo creo que<br>esas son las dos variables claves en la<br>elección que tomar por ejemplo la máxima<br>autoridad cuando Define Quién va a<br>hacer el delegado de protección de datos<br>si se externaliza o no Si es la misma<br>persona que realizas otra función o no y<br>si va a hacerlo si va a tener controles<br>afuera o internamente<br>desde el punto de vista del diseño Yo<br>solo quiero cerrar con esto Ah el<br>desafío que supone para empresas que no<br>no han abordado esto es enorme desde<br>donde registran los datos<br>porque a veces la seguridad de<br>información anda muy bien en algunas<br>cosas que son del giro Pero puede ser<br>que te caigáis no en el giro<br>en el cuadernito<br>en los papeles archivados digamos<br>entonces eso es un desafío enorme y<br>nosotros partimos al revés no partimos<br>con protección de datos ordenando esto<br>internamente la instituciones partimos<br>con ciberseguridad de hecho la empresa<br>han empezado a avanzar en<br>certificaciones ISO 27001 pero no hemos<br>avanzado en datos personales Y eso puede<br>incluso significa reconfiguraciones a la<br>arquitectura que ya alguna institución<br>se han dado desde el punto de vista de<br>seguridad de activos de la información<br>entonces me parece que el desafío es<br>súper grande el encaje de estas piezas y<br>en este entorno va a ser lento y va a<br>ser doloroso vamos a tener criterios<br>contradictorios y por lo tanto requiere<br>una asesoría especializada de un Nicho<br>que hasta el momento está muy acotado en<br>el medio jurídico y en el medio del<br>control de auditoría eso Muchas gracias<br>Muchas gracias Pablo con esto concluye<br>nuestro seminario del día de hoy La<br>verdad es que en las cuatro exposiciones<br>se han planteado temas muy muy<br>relevantes para poder seguir abordando<br>en distintos seminarios evidentemente<br>aquí quedan muchas cosas que podemos<br>abordar en otras instancias en la<br>inminente aprobación del proyecto de ley<br>también va a ser sin duda ya cuando<br>tengamos la claridad completa cerrado el<br>círculo completo sin duda esta Va a ser<br>otra instancia otro punto de encuentro<br>desde dos y actualidad jurídica para<br>poder analizar precisamente varios de<br>los desafíos que han planteado ustedes<br>Acá respecto a la implementación de la<br>ley lo que va a significar esto para las<br>empresas los ajustes que se van a tener<br>que hacer en términos de las empresas<br>pero también los ajustes institucional<br>en la coordinación institucional que va<br>a tener que existir esto sin duda van a<br>ser algunos temas que vamos a abordar en<br>próximas instancias desde<br>estos seminarios que hemos estado<br>organizando yo les Quiero agradecer<br>nuevamente a javiera a Nicolás a Felipe<br>y a Pablo por habernos acompañado esta<br>en este seminario por su importante<br>aporte y reflexiones les Quiero<br>agradecer a Fernando que nos ha<br>acompañado durante todo este seminario<br>también y a todos y todas cada y cada<br>uno de los integrantes de este público<br>que nos acompañan regularmente en<br>nuestros seminarios quienes han estado<br>disponible Los invito a visitar este<br>seminario que va a quedar disponible en<br>nuestro canal de YouTube a partir de<br>mañana para que lo puedas revisar<br>nuevamente donde además van a poder<br>encontrar los videos de los distintos<br>seminarios que hemos estado organizando<br>en este ciclo y sin duda a través de<br>nuestras redes sociales nuestros canales<br>digitales les estaremos invitando a los<br>próximos seminarios Que estaremos<br>organizando Muchas gracias y muy buenas<br>tardes