Webinar: De Europa a Chile, Claves para la implementación de la nueva Ley.

el rol rol número 15733 y24 Este es un<br>control obligatorio de<br>constitucionalidad y bueno quedó la<br>revisión por parte del pleno del<br>tribunal constitucional la causa quedó<br>en estado de acuerdo Qué significa esto<br>que en un plazo de 30 días máximo 30<br>días corridos eh vamos a tener una<br>noticia con respecto a si algún artículo<br>debe ser modificado o si alguno de los<br>tengase presente son considerados dentro<br>de de este proyecto ley y este plazo<br>corre desde desde el 2 de octubre y como<br>les comenté anteriormente lo dejamos<br>invitados al seguimiento legislativo en<br>nuestro linkedin ley de datos entonces<br>nuestros invitados primero tenemos<br>invitado a Marcos judel eh desde España<br>él es presidente de la asociación<br>profesional española de privacidad la<br>Pep es socio de audens desde el 2009 Ha<br>ganado el galardón de Best lawyers en<br>privacidad y protección de datos desde<br>el 2021 al 2024 todos los años seguidos<br>y es profesor en el máster de derecho de<br>las telecomunicaciones y tecnologías de<br>la ilo school y la universidad Carlos<br>tero de<br>Madrid luego está Eduardo López Román él<br>es vicepresidente de la asociación<br>española de abogacía digital en atic dpo<br>del ilustre colegio de abogacía de<br>Barcelona cofundador y coordinador del<br>máster en derecho digital y sociedad de<br>la información de la Universidad de<br>Barcelona y director del comité<br>científico del foro Ibero americano de<br>derechos digitales y finalmente por<br>parte de chile está Diego morandé el<br>líder del área de propiedad intelectual<br>y protección de datos personales en<br>Guerrero olos director de la asociación<br>chilena de profesionales en protección<br>de datos personales la agdp chile<br>miembro del comité de Inteligencia<br>artificial y protección de datos de<br>amcham y abogado de la Universidad de<br>los Andes con llm en derecho y<br>tecnología de la uc<br>berc Cuál es la agenda hoy día vamos a<br>dividir este espacio en tres inter<br>tantos uno los desafíos de<br>implementación del proyecto de ley o sea<br>de la Perdón las lecciones aprendidas<br>del rgpd y el proceso de adecuación de<br>chile Entonces yo ahora voy a dejar de<br>compartir y me gustaría comenzar con una<br>primera pregunta vamos a ir con todos<br>los invitados pero vamos a partir hoy<br>día con Marcos que quiero que nos<br>cuentes un poco los principales desafíos<br>y obstáculos que enfrentaron las<br>empresas europeas y españolas también<br>principalmente en este proceso de<br>implementación Cuando comenzó el rgpd<br>bueno eh Muchas gracias por la<br>presentación por la invitación y muchas<br>gracias a todos ustedes por estar esta<br>mañana eh esta tarde aquí desde España<br>eh con nosotros eh A<br>ver retos desafíos obstáculos eh hubo<br>muchísimos y y lo sigue viendo esto eh<br>que quede claro Los profesionales de la<br>privacidad nos estamos enfrentando día a<br>día con una normativa eh Muy<br>eh muy amplia un escenario muy vasto y<br>para nosotros en en España que por<br>cierto ya teníamos ya una tradición en<br>protección de datos a nivel legislativo<br>muy importante desde el año 1992 que fue<br>nuestra primera Ley Orgánica 1999 como<br>la que tienen ustedes ahora<br>eh actual que es la que se va a<br>modificar eh se se amplió y se difundió<br>mucho más a nivel empresa eh pero el<br>2016 eh ent en en en vigor el reglamento<br>general de protección de datos y da 2<br>años para su plena aplicación eh el<br>principal reto que tuvimos el primer<br>desafío fue eh aprender eh un cambio<br>cultural muy grande adaptarnos a un<br>cambio cultural muy grande veníamos de<br>una normativa eh Muy reglada muy<br>taxativa una normativa en la que nos<br>decía absolutamente todo lo que había<br>que hacer básicamente un checklist en el<br>que se iba revisando Eh pues eh este<br>tratamiento medidas de seguridad no sé<br>qué y eh se catalogaba se hacían unos<br>documentos y ya estaba Nos pasamos a una<br>eh a un reglamento europeo de aplicación<br>en los 27 países eh de la unión que<br>tiene un alma Eh<br>Pues de 27 países son 27 países que se<br>tienen que poner de acuerdo en una<br>normativa común para todos ellos con lo<br>cual hay cosas que se cogieron del<br>modelo alemán hay cosas que se cogieron<br>del modelo inglés Hay cosas que se<br>cogieron del modelo italiano del español<br>etcétera entonces al final se hace un<br>una norma a la que todos nos tuvimos que<br>que adaptar en España como teníamos esa<br>tradición y ese conocimiento Pues nos<br>fue fácil en algunas cosas y en otras<br>eh el<br>principal aspecto en el que nos tuvimos<br>que que adaptar eh Bueno pues fue la la<br>la contabil un enfoque a riesgos un<br>enfoque a eh cumplir y demostrar que se<br>está cumpliendo en base a los riesgos<br>para los derechos y libertades de las<br>personas cada responsable ten y cada<br>encargado tenía que realizar un nivel<br>de fiscalización de de auditoría de qué<br>tratamientos se estaba haciendo cómo los<br>estaba haciendo para qué los estaba<br>haciendo si eran para adaptarse Y eso<br>llevó tiempo y para Los profesionales de<br>la privacidad esto no nos implicó pues<br>eh una formación muy muy grande y luego<br>batallar eh con el tiempo dos años<br>pasaron tremendamente rápido y y Ed eh<br>seguro que que puedes aportar cómo<br>estábamos el 25 de mayo de 2018 eh con<br>la lengua fuera porque eh había empresas<br>que habían dejado esto el reglamento<br>para eh Para más adelante y no daba<br>tiempo no daba tiempo porque era<br>tremendamente complicado este nuevo eh<br>este nuevo modelo no hay dos empresas<br>iguales sus tratamientos<br>son aunque aunque se parezcan va a haber<br>determinadas diferencias que hay que<br>tratarlas de forma particular hay que<br>registrarlas hay que hacer toda una<br>serie de procesos<br>que Que bueno que hay que hacerlos y hay<br>y hay que saber hacerlos Y eso es una<br>cosa que<br>eh F un problema cultural por resumirlo<br>hemos pasado una cultura de un<br>cumplimiento normativo<br>muy sobre el papel a un cumplimiento<br>normativo práctico práctico y que había<br>que demostrarlo entonces eh ese fueron<br>Yo creo que por por por resumir eh<br>cultura<br>eh enseñar al al al responsable<br>encargado Cómo era este nuevo sistema eh<br>normativo cosa que implicaba también que<br>Ellos tenían que realizar cambios<br>estructurales o cambios eh También<br>culturales en sus eh organizaciones y el<br>tiempo de llevarlo de llevarlo a cabo<br>que implicaba formación del profesional<br>y el propio de<br>aplicarlo perfecto muchas gracias marco<br>y en esa misma línea Eduardo nos podrías<br>transmitir tu experiencia con andor<br>respecto a los desafíos que tú<br>implementar esta ley sí efectivamente<br>para poner un poco de contexto bueno<br>primero agradecer evidentemente La la<br>invitación a este webinar ponerme en<br>contexto Bueno aparte de de ser pores<br>eso compañero abogado con con Marcos<br>aquí en España bueno aquí España eh Y<br>ser profesor en en la universidad de<br>Barcelona también coincide que soy<br>profesor en protección de datos en la<br>universidad de andorra eh más o menos me<br>imagino que todo el mundo ya ubica<br>andorra si no voy a explicarlo un poco<br>andorra es un principado un país que<br>está entre Francia y España y no forma<br>parte de la Unión Europea O sea no es<br>uno de los 27 estados que ha comentado<br>antes Marcos eso que implica que eh<br>digamos que no forma parte no les aplica<br>el acerbo comunitario o sea cuando<br>hablamos de acerbo es el jurídico de la<br>Unión Europea pero sí que tiene eh unos<br>convenios desde el 2010 eh digamos que<br>le equipara nivel de adecuación en<br>protección de datos igual que pasa con<br>Argentina en este caso no para poner un<br>ejemplo<br>eh Lo que pasa que para unos ha habido<br>unos trámites en los que se ha obligado<br>bueno Están en trámite de asociación<br>Europa que no quiere decir ser miembros<br>sino es como una especie de paso previo<br>a formar parte de la Unión Europea sobre<br>todo a nivel económico y eso obliga y<br>les ha obligado en este caso entre otras<br>cosas a cumplir con la normativa Europea<br>de protección de datos de forma más<br>estricta de lo que lo hacían hasta ahora<br>no eh eso que ha implicado la aprobación<br>de la ley cualificada de protección de<br>datos en el año 2021 que entró en vigor<br>al año siguiente O sea que es muy<br>reciente y puede servir como un poco<br>ejemplo o experiencia de lo que podría<br>ser eh en otros países no en Chile lo<br>pas que pensemos que es un laboratorio<br>andorra por lo pequeñito que es estamos<br>hablando de no más de 100,000 habitantes<br>o sea estamos hablando de de un sitio<br>muy pequeñito pero sirve muy bien como<br>ejemplo no Qué experiencias eh primero<br>lo que bien decía Marcos no hay cultura<br>O sea si no hay una cultura de de<br>privacidad Y eso quiere decir que todo<br>el mundo entienda Para qué sirve esta<br>ley eh Y Y qué beneficio le va a aportar<br>al ciudadano eh da igual lo que hagan<br>las empresas de de hecho eso ya lo<br>veíamos en España sobre todo con la ley<br>del 99 y con la directiva del 95 pero es<br>que en dorra se ve claramente cuando tú<br>hablas con cualquier profesional de<br>cualquier área administración pública<br>abogados arquitectos eh sanitario se<br>sanitario da igual es es una norma que<br>que en parte queda como algo lejos no<br>Entonces cuál sería mi sin repetirme con<br>lo que ha dicho Marcos que es así O sea<br>que eh toda esta adecuación requiere<br>mucho esfuerzo porque al final es<br>implementar análisis de riesgos hacer<br>mapas de riesgos para una mayoría de<br>empresas que no tienen ni idea de lo que<br>estoy hablando eh que no saben No<br>sabrían ni por dónde empezar ni mucho<br>menos Cómo evaluar un riesgo jurídico o<br>sea Hablamos de evaluación de riesgos en<br>Cómo puede afectar en derechos y<br>libertades el uso que hago de los datos<br>no Entonces es algo muy complejo dentro<br>del ámbito jurídico estamos hablando de<br>algo que normalmente lo determina un<br>juez a última instancia esta ponderación<br>de derechos no Entonces le estamos<br>transmitiendo esa dificultad a cualquier<br>empresa Es verdad que en la mayoría de<br>tratamientos eh De alguna forma se puede<br>establecer riesgos muy bajos Eh entonces<br>eso implica que la complejidad no es<br>tanta la implementación eso es la<br>mayoría de casos pero en aquellos que<br>hay eh una complejidad en el tratamiento<br>por el volumen o por el tipo de datos<br>Porque son datos sensibles Son<br>biométricos son eh Son datos de<br>categoría especial Entonces ahí sí<br>entramos en en un lugar en el que si no<br>hay una costumbre dentro de la empresa<br>una cultura de cumplimiento normativo o<br>de gestión de riesgos es muy complicado<br>que que de la noche a la mañana puedan<br>hacer nada por mucho que se den 2 años<br>como decía Marcos no nosotros al final<br>la implementación de do años se resumió<br>en dos meses o sea porque todo el mundo<br>vio la sanción de hecho yo me acuerdo de<br>esa fecha en la<br>que lo que más le preocupaba a mucha<br>gente era legitimar consentimientos o<br>sea era enviar a loco correos<br>electrónicos para para para legitimar<br>los consentimientos con la misma ley<br>cuando es un error no o sea porque si no<br>lo tenías bien tampoco lo ibas a tener<br>Ahora peor no dejabas prueba era peor<br>era peor claro dejabas evidencia de lo<br>mal que lo hacías Entonces era todavía<br>peor hacer ese tipo de de comunicado tan<br>solo para para resumir qué es lo<br>importante que yo veo desde el punto de<br>vista eh de un país como como andorra no<br>pues primero hacer un esfuerzo<br>importante en generar esta cultura a los<br>ciudadanos explicarles y y muchas veces<br>incluso con cierta experiencia con con<br>Perú no sé si hay alguna persona de Perú<br>eh yo creo que es más importante muchas<br>veces porque eso va a presionar a es<br>organizaciones a cumplir que el<br>ciudadano entienda por ejemplo la<br>importancia que tiene ejercer el derecho<br>de acceso a la información de cualquier<br>empresa cualquier administración pública<br>y vea el beneficio que aporta ese<br>ejercicio de derechos y que todo el<br>mundo se acostumbre a ejercer esos<br>derechos porque eso obligará a que todo<br>lo que viene después o todo todas<br>obligaciones de gestión adecuada de los<br>datos vendrá después O sea ya obligará<br>la organización a cumplir estrictamente<br>porque el ciudadano está exigiendo ese<br>ese ese ejercicio correcto del derecho<br>entonces a veces yo me centraría en eso<br>es hacer explicar muy bien Qué<br>beneficios le va a aportar al ciudadano<br>ejercer sus derechos eh explicándoles<br>bien Para qué sirve esta normativa o sea<br>cuál la finalidad normativa y luego<br>bueno que hagan uso de ellos y que con<br>ese uso presionen el cumplimiento de la<br>ley por parte de la Administración<br>pública y por parte de las entidades<br>privadas s me permití un aporte Estoy<br>totalmente de acuerdo con con lo que<br>dice Eduardo y y recordando Aquel aquel<br>mayo de 2018 eh en en España recibimos<br>todo el mundo es que todo el mundo todos<br>los días Eh varios emails de de empresas<br>eh con<br>e la privacidad es muy importante para<br>nosotros por eso Esta es nuestra nueva<br>política de privacidad adaptada al<br>reglamento Y entonces necesitamos tal y<br>tiene sus derechos y est el<br>consentimiento y luego hablaremos de eso<br>cl claro eh pasábamos de un extremo en<br>el que nadie sabía que era la privacidad<br>nadie sabía que tenía unos derechos a<br>todo el mundo recibir 40,000 correos<br>electrónicos de su compañía de seguros<br>de su gimnasio de su eh teleoperadora de<br>de de todo el mundo incluso de gente que<br>no sabía ni que tenía sus datos de su<br>privacidad es muy importante para<br>nosotros su privacidad es muy importante<br>para nosotros su privacidad es muy<br>importante tiene estos derechos estos<br>derechos estos derechos Qué pasó que la<br>gente lo entendió la gente supo que<br>tenían los derechos y de hecho ante la<br>agencia de protección de datos la tutela<br>de derechos las denuncias que se<br>realizaban por por por temas de<br>protección de datos se dispararon se<br>dispararon y la gente empezó a ejercitar<br>sus derechos ante las empresas y como no<br>le contestaban iban a la agencia eso es<br>la palanca que decía eh Ahora Eduardo e<br>eh cuando el ciudadano ejerce un derecho<br>obliga a a la otra parte a a Bueno a a a<br>establecer los medios para para cumplir<br>sus sus obligaciones yo creo recordar<br>que en toda mi carrera de antes del<br>reglamento No sé a lo mejor no llega a<br>la Decena<br>de atención de derechos que que que he<br>atendido como como profesional en no sé<br>todos estos 10 años<br>eh en estos 6 años de reglamento Son<br>miles asesoras en miles de tal eso es un<br>eso es una palanca y es<br>cultura perfecto Marc Muchas gracias y<br>por otro lado Diego tú que estás ya en<br>el lado de nosotros en Chile que estás<br>viendo como empresas quieren implementar<br>esto qué desafío estás viendo o qué<br>dificultades estás viendo tú de Cara a<br>esta<br>implementación Hola Rodrigo eh Hola a<br>todos eh Muchas gracias por por esta<br>invitación creo que es una instancia s<br>super interesante el conocer la la<br>experiencia aquí de dos distinguidos<br>profesionales<br>eh que operan en en España y que han<br>visto eh esta implementación me parece<br>particularmente interesante la la<br>experiencia de andorra que nos comentaba<br>Eduardo eh sin desmerecer por supuesto<br>eh la entrada en vigencia de El gdpr en<br>la Unión Europea yo fui testigo de la<br>vorágine que había por ahí a fines del<br>año 2017 principio de 2018 en un viaje a<br>Barcelona que experimenté por un<br>congreso eh Y y la verdad que el<br>congreso era de un tema absolutamente<br>distinto pero lo que se robaba digamos<br>la la Pauta absolutamente era la entrada<br>en vigencia del reglamento eh Y y eso me<br>hace pensar que nosotros vamos a entrar<br>en un espiral más o menos parecido eh Y<br>por eso hago desde ya el llamado a eh<br>aprovechar el tiempo de vacancia que va<br>a tener la ley de no dejar este tema<br>para último minuto eh porque hay varios<br>desafíos y varios obstáculos que vamos a<br>tener que ir superando al primero de<br>todo yo creo que el más importante que<br>he<br>podido presenciar digamos Es la falta de<br>cultura en protección de datos que<br>existe hoy día en Chile las empresas eh<br>en general obviamente siempre hay<br>excepciones hay empresas que son muy<br>mateas pero en general las empresas<br>desde sus directorios hacia abajo no<br>entienden la eh profundidad de este<br>cambio normativo entienden las<br>implicancias que va a tener para el<br>desarrollo de los negocios hoy en día me<br>atrevería a decir que no hay empresas<br>que no traten datos de una u otra manera<br>y por lo tanto Esta es una ley que<br>afecta a todas las empresas eh eso eso<br>como primer punto ya<br>eh el segundo tema que creo que aquí es<br>especialmente relevante Es que la brecha<br>entre la Norma anterior y la y la nueva<br>ley es enorme ya estamos pasando de eh<br>Cómo se llama esto un Nissan a un<br>mercedesbenz eh En el sentido de que<br>e España la Unión Europea en general la<br>mayoría de los países Tenían un eh<br>derecho de datos eh con un cierto grado<br>de desarrollo<br>e ya tenían eh reguladores Ya habían<br>multas eh quizás se Se vinieron a<br>apretar el cinturón a subir el estándar<br>pero ya había una construcción había<br>jurisprudencia habían casos eh en Chile<br>eh eso no es así eh pasamos de una ley<br>que está eh absolutamente obsoleta desde<br>año 99 eh que fue concebida en un mundo<br>que hoy día no existe eh desde el punto<br>de vista de eh transformación digital eh<br>desde el punto de vista de cómo se llama<br>esto de la importancia que han cobrado<br>los datos personales en el tráfico<br>económico y jurídico Entonces el el la<br>la valla que tenemos que superar para<br>adecuarnos a la nueva ley creo que es<br>aún más importante que la que tuvieron<br>ustedes en en Europa eh se cambia el<br>paradigma ya y en ese sentido traté de<br>bu una palabra menos eh eh dramática<br>digamos pero la magnitud del trabajo<br>tanto de los responsables los encargados<br>y también de la nueva agencia que aún ni<br>siquiera se ha creado va a ser titánico<br>Va a ser un trabajo muy muy grande ah eh<br>En el mismo sentido que comentaban Marc<br>y Eduardo de eh tener que revisar cada<br>una de las bases de datos de eh entender<br>que no va a bastar con empezar a mandar<br>correos masivos pidiendo eh eh<br>consentimiento Sino que hay una<br>obligación eh desde el diseño y por<br>defecto eh Y que por lo tanto vamos a<br>tener que replantearnos todas estas<br>bases de datos que se adquirieron en el<br>pasado eh Por qué sé yo eh web scrapping<br>o comprando bases de datos de terceros<br>eh Y que son la base de eh el negocio de<br>varias empresas entonces eh es un cambio<br>que va a ser<br>eh importante que va a ser eh que va a<br>afectar el núcleo de el negocio en<br>varias empresas y que por lo tanto eh<br>requiere de e Cómo se llama esto de de<br>una tensión temprana<br>eh También en ese mismo sentido para<br>bajar un poco la alarma y no y no sonar<br>tan eh eh apocalíptico en mi discurso<br>creo que es perfectamente posible<br>adecuarse es perfectamente posible<br>llegar a tiempo eh pero requiere tomarle<br>el peso y entender nosotros eh estamos<br>asesorando eh a clientes mediante<br>primero capacitaciones en los<br>directorios para que entiendan En qué<br>consiste la nueva ley para que entiendan<br>digamos cómo le afecta eh normalmente<br>llega eh por ahí un un oficial de<br>cumplimiento Cómo se llama esto o algún<br>gerente legal que está digamos<br>preocupado porque algo entendido de lo<br>que se viene pero tiene que que<br>convencer digamos a una a un número<br>grandes stakeholders que no le están<br>tomando el peso y que está poniendo<br>énfasis en otras prioridades y no en<br>esto y y es importante que no no<br>lleguemos como como se llama est como<br>comentaba Eduardo a estar a dos meses de<br>de la entrada en vigencia corriendo<br>porque de partida no van a quedar<br>profesionales para poder tomar eso esos<br>encargos<br>no Además creo que hay hay varias<br>dudas en torno a cómo va a ser este<br>sistema no tenemos desde luego una<br>agencia Eh hay ciertas eh cosas que va a<br>ser la misma agencia la que va a tener<br>que determinar Hay ciertos conceptos que<br>no tienen ningún desarrollo el interés<br>legítimo por ejemplo es un concepto que<br>eh en chile no existía en la o no existe<br>digamos en la legislación actual Y que<br>ahora va a cobrar un importancia y una<br>relevancia tremenda eh Entonces cómo<br>vamos a delimitar eh Ese es es esa base<br>de licitud cómo vamos a eh eh Buscar<br>nuestros propios estándares obviamente y<br>afortunadamente eh nosotros tenemos<br>donde mirar digamos tenemos la<br>experiencia europea tenemos la<br>experiencia española eh y y y cómo se<br>llama esto y también tenemos la<br>experiencia de eh nuestros hermanos<br>latinoamericanos que han ido adoptando<br>sistemas similares al al gpr pero aún<br>así no tenemos certeza de eh cómo va a<br>ser interpretado Cómo van a ser<br>interpretados estos conceptos por la<br>agencia y después por por por los<br>tribunales eh Y el otro tema que creo<br>que<br>es un desafío quizás una una materia de<br>preocupación son las facultades amplias<br>de de fiscalización que tiene la agencia<br>por ejemplo sijo puede solicitar todos<br>los antecedentes que es neces<br>en su rol fiscalizador No hay ninguna<br>limitación a ese respecto Entonces el<br>nivel de intromisión que puede tener la<br>agencia es super relevante también en<br>cuanto a los rangos de las multas<br>estamos hablando de rangos que son super<br>amplios y que se pueden prestar para<br>arbitrariedades si bien la ley establece<br>criterios eso va a depender<br>fundamentalmente de la agencia Cómo se<br>aplican esos criterios eh<br>y Y eso mismo eh es especialmente<br>relevante en la diferenciación de trato<br>que va a tener que haber respecto de El<br>tamaño de la empresa eso es un tema que<br>es muy sensible eh chile es un país que<br>tiene eh un porcentaje altísimo de<br>empresas que son de menor eh de menor<br>tamaño e y en ese sentido si es que las<br>no las multas por infracciones no se<br>aplican con criterio hay empresas que<br>simplemente podrían dejar de existir<br>eh Ahora la buena noticia Es que la ley<br>establece un Rango amplio y por lo tanto<br>si es que tenemos una agencia eh<br>ponderada eh Cómo se llama esto vamos a<br>tener la posibilidad de eh ir educando<br>digamos eh Y que esto se vaya se vaya<br>dando de una manera eh más cercana a una<br>transición que simplemente una eh que<br>nos caiga la guillotina digamos una vez<br>que la<br>ley s y en ese sentido bueno quizás como<br>primero recapitular que algo que Se<br>repitió mucho en la exposición de los<br>tres participantes respecto a la cultura<br>ahí tenemos un problema que pareciamos<br>estar todos de acuerdo eh otro es el<br>tema del consentimiento también la<br>capacitación es muy muy importante para<br>hacer frente a esta a esta nueva ley y<br>un tema que también Se repitió es el<br>tiempo de no estar corriendo y quizás la<br>pregunta que tiene el público que<br>también no invitamos a dejar preguntas<br>en el chat nosotros al final del chat de<br>la estas preguntas que tenemos<br>preparados nosotros vamos a abrir<br>espacio para esas preguntas que ustedes<br>nos pueden ir compartiendo en el chat es<br>cuánto tiempo necesito o sea por ejemplo<br>soy una empresa pequeña mediana y<br>pregunto Marcos qué tan apurado estoy<br>por o digo Bueno soy una empresa muy<br>grande que apurado est implement<br>entonces podrías partir tu marco ahí<br>contando un poco los tiempos y qué<br>tiempo toma Más o qué cosas toman más<br>tiempo implementar est tipo de leyes a<br>ver a<br>ver yo soy Gallego soy español pero yo<br>soy de la Coruña de Galicia con lo cual<br>puedo decir tranquilamente eso de<br>Depende depende totalmente de el número<br>de tratamientos depende de la estructura<br>de la empresa depende de la cultura que<br>tengan depende de la importancia que se<br>le dé lo decía Edu Eduardo Perdón al<br>principio si hay una un nivel cultural<br>de cumplimiento normativo si te lo<br>impone el jefe de arriba y dice esto es<br>importante esto se va a hacer de una<br>manera que no si va de de abajo a arriba<br>no<br>eh pero yo creo que sobre<br>todo va a depender de la metodología del<br>profesional va a depender de del<br>profesional Cómo cómo aborde el est esta<br>consultoría o esta fase de de de<br>adaptación eh va a depender de las<br>herramientas que utilice va a depender<br>de su kn va depender de sobre todo de de<br>experiencia de saber detectar dónde van<br>a estar los problemas porque no se trata<br>de aquí con el reglamento no se trata de<br>tamaño o sea el tamaño es un es un<br>factor que tiene que ver con la sanción<br>por ejemplo o el tamaño en base a<br>facturación por ejemplo eh o número de<br>empleados para determinadas cosas pero<br>la cuestión principal está en los<br>tratamientos qué está usted haciendo es<br>decir H yo conozco tenemos experiencia<br>de clientes que son dos dos<br>personas dos personas Pero qué hacen con<br>Inteligencia artificial hacen perfilado<br>de de usuarios de internet con fines de<br>mercadotecnia<br>directa a nivel masivo claro es que eso<br>da igual el tamaño eso es eso es alerta<br>máxima eso está en rojo ya Eh entonces<br>luego hay empresas enormes de 5000<br>trabajadores cuyos riesgos son mínimos<br>porque lo único que hacen es pues es una<br>fábrica que fabrica pues botellas y y lo<br>que hacen es gestionar los recursos<br>humanos de una manera normal Entonces el<br>tamaño no es lo importante por tante son<br>los tratamientos los tiempos pues va a<br>depender a depender se puede hacer en<br>dos meses sí se puede hacer en dos años<br>también de todas maneras esto y y quiero<br>que quede muy muy claro Esto no es hacer<br>una<br>ación hacer unos papeles y ya está Esto<br>es algo vivo los tratamientos de datos<br>son vivos<br>eh se van modificando ahora se hace esto<br>Ahora se hace lo otro eh ahora tenemos<br>una idea para hacer esto en marketing<br>ahora vamos a cambiar recursos humanos<br>vamos a dar un plan flexible no sé qué<br>ahora vamos a hacer una nueva línea de<br>negocio con esta todo eso implica eh una<br>diligencia un estar pendiente en en en<br>el reglamento tenemos eh uno de los<br>principios una de las obligaciones<br>básicas es la privacidad desde el diseño<br>y por defecto entonces hay que estar en<br>el desde el primer momento en en esto<br>entonces una cosa es la adaptación<br>inicial y otro es mantenerlo eh con el<br>tiempo y para eso también están los<br>delegados de protección de datos los los<br>abogados o los los consultores externos<br>o internos o lo que sea pero no es lo<br>hag una vez y me olvido esto es una<br>carrera de de fondo<br>Muchas gracias marco Eduardo por tu lado<br>Cómo ves el tema de los plazos Ho Qué<br>actividades crees tú que pueden ser más<br>largas de implementar para cumplir con<br>esta ley bueno para no repetirme porque<br>Marcos bueno prácticamente ha hecho un<br>despliegue de todo lo más importante es<br>que es así O sea lo que ha dicho Marcos<br>es así Bueno yo para Añadir en la<br>siguiente en la siguiente Habla tú<br>primero no me va bien porque así<br>solamente añado tan solo añado no no<br>comentaba fuera bromas Bueno hay el<br>principio de responsabilidad proactiva<br>en el reglamento europeo que lo que es<br>Es realmente el principio que hace el<br>cambio de paradigma de como se hacía<br>antes la implementación de esa normativa<br>ahora es al final el equivalente a lo<br>que se llama diligencia de vida en<br>protección de datos no es no vale solo<br>con hacerlo bien sino acreditar que se<br>hace bien entonces el esfuerzo que tiene<br>que hacer la empresa ahora no es una<br>cuestión de vamos en dos meses a cumplir<br>no como bien decía Marcos es un tema de<br>iniciar procesos para que se mantengan y<br>que al final eh vayan madurando o sea<br>tenemos que conseguir un grado de<br>madurez en el que al principio no lo<br>vamos a tener bien todo pero sí que<br>tenemos que tener cautela para cubrir<br>aquellos tratamientos que requieran por<br>su urgencia importancia ser gestionados<br>correctamente por los riesgos y sobre<br>todo la parte más expuesta no Cuál es la<br>parte más expuesta bueno la que ve todo<br>el mundo la página web o sea eh es el<br>punto en el que todo el mundo se va a<br>fijar si Aparentemente Aunque a nivel<br>cosmético o sea aunque sea solamente por<br>eh aparentar no bueno es que si ni<br>siquiera te esfuerzas en aparentar es<br>probable que ni si que internamente no<br>te has preocupado de absolutamente nada<br>Entonces qué esfuerzos hay que hacer<br>primero eh aparentar eh Aunque no suene<br>bien pero hacer todo lo posible por<br>aparentar que quieres cumplir y hacer<br>todo lo posible para evitar que parezca<br>que no estás cumpliendo eso estoy<br>hablando de un plazo de un mes o sea<br>esto no vale para siempre o sea esto es<br>un plazo para eh hacerlo ya y luego<br>tener un margen para que no nos<br>renuncien o sea con este plazo tenemos<br>un margen para ir trabajando detrás y<br>por lo<br>menos demostrar que nos está importando<br>este tema de Cara a cualquier tipo de<br>interesado eh estoy hablando de de<br>situaciones reales eh o sea yo ahora<br>estoy poniendo en práctica situaciones<br>reales eh Por otro lado bueno lo que<br>decía lo que decía hace un momento<br>Marcos dependerá del tipo de tratamiento<br>más que el volumen o o la empresa no O<br>sea si es una empresa de muchos<br>trabajador o si es una empresa que<br>factura No no es que depende de los<br>tratamientos con datos que hagan pueden<br>ser como decía Marcos dos personas pero<br>estén llevando una startup de ia de<br>Inteligencia artificial que traten<br>millones de datos Porque lo recopilan de<br>diferentes Fuentes Bueno pues la<br>complejidad que tiene eso tiene más que<br>una multinacional A lo mejor que fabrica<br>un yogur para que se entienda Eh<br>entonces dependerá mucho de los<br>tratamientos por eso habrá que hacer un<br>trabajo exhaustivo de una primera fase<br>de evaluación y diagnóstico de analizar<br>qué datos tenemos y para qué los usamos<br>o sea habrá que identificar qué datos<br>internamente estamos tratando y para qué<br>finalidades Para empezar a hacer un<br>pequeño inventario de lo que tenemos y<br>empezar a tomar decisiones y sobre todo<br>decisiones de digamos de de urgencia no<br>O sea establecer qué obligaciones son<br>más urgentes e importantes que pueden<br>sufrir un menor impacto un mayor impacto<br>de posibles infracciones en la normativa<br>y luego progresivamente ciendo el resto<br>de de de posibles impactos negativos<br>aquí sin querer ya estamos haciendo un<br>análisis de riesgos o sea aquí con tan<br>solo con esta tarea ya estamos haciendo<br>análisis de riesgos que a veces cuando<br>hablamos de análisis de riesgos es<br>pienso yo Que es una equivocación<br>empezar a hacer un mapa con diferentes<br>miles de variables supuestos eh factores<br>de riesgo porque al final eso es lo que<br>colapsa al que lo está desarrollando y<br>no lo gestiona o sea puedes tener un<br>mapa de riesgos con infinidad de<br>elementos de variables y al final nadie<br>lo gestiona Entonces eso mucho peor que<br>son mejor los básicos Exacto tener un<br>mapa de riesgos con los factores de<br>rieso riesgo claros que son evidentes eh<br>para la organización e ir incorporando a<br>medida que los podemos gestionar O sea<br>no abarcar más de lo que no podemos Y<br>eso también hace referencia directa al<br>presupuesto eh No todo el mundo tiene un<br>presupuesto para poder llevar esto a<br>cabo y es un un trabajo burocrático<br>importante y eso es lo que también hace<br>que muchos le tire para atrás eh el<br>hecho de querer cumplirlo cuando es<br>consciente cuando no es consciente van a<br>a cualquier servicio de 20 para que se<br>me entienda $ eh que te hacen todo no eh<br>Y te lo mantienen 20 al mes por eh es<br>imposible tan solo pensad en lo que<br>supone hacer un mapa de riesgos eh en<br>que haga una evaluación de riesgo<br>respecto al impacto en derechos y<br>libertades de vuestro sistema de<br>información tan solo entender vuestra<br>empresa ya son no sé 20 horas 30 horas<br>no sé pero calcular Cuánto es el precio<br>de un consultor y un abogado entonces 20<br>no sé qué hace A lo mejor te saludas y y<br>y por ciencia infusa pues eh adivinas<br>qué es lo quea Sí aquí aquí si si me<br>permites<br>eh una cosa nosotros en la asociación<br>profesional española de privacidad eh<br>tenemos<br>denunciado anre la anre las autoridades<br>en a muchos niveles agencia española de<br>protección de datos consumo trabajo eh<br>seguridad social Hacienda etcétera<br>tenemos denunciado eh precisamente a<br>empresas que se dedican a hacer eh Bueno<br>pues lo que se llamó aquí lopd a coste<br>cero eha un fraude eh A toda regla que<br>lo que dice Eduardo con 100 con 100 al<br>año eh te daban el cumplimiento Y esto<br>es un poco lo que decía antes no existe<br>ese cumplimiento es decir un papel<br>comprar un papel comprar unos papeles no<br>implica que estés cumpliendo cumplir<br>tienes que cumplir tú los papeles te<br>ayudarán más o menos a hacerlo entonces<br>eso es eso es muy cuidado con con eso<br>Nadie tenemos aquí un dicho en España<br>Nadie regala duros a cuatro pesetas esto<br>quiere decir que<br>eh que lo barato sale caro y y hay que<br>tener cuidado pero ahí desde la<br>asociación tenemos de esto denunciado<br>porque hay mucha gente que que confunde<br>a la empresa no Claro hay alguien que lo<br>está vendiendo por 100 y viene luego<br>alguien serio un despacho serio un<br>consultor serio di no mire Es que solo<br>por análisis de riesgo no s qué tal<br>hacer esto los tratami<br>me lo invento pues son 2000 esto es un<br>timo s Claro pero luego vienen los<br>problemas luego sacarte de la de la<br>multa del procedimiento sancionador ya<br>no<br>son 2000 son 10 y ahí bien que que paga<br>Pero bueno Solo era solo un Matiz que<br>esto Esto es importante que decía<br>Eduardo es es<br>clave perfecto y en esa misma línea<br>Diego cómo ves tú que está chile<br>preparado está siendo se está<br>anticipando para cumplir la ley bien y<br>no cumplir la ley solo en papel como<br>estaban mencionando antes Eduardo y<br>Marcos yo creo que es importante ver por<br>ejemplo la convocatoria que tiene eh<br>este webinar eh creo que es un tema que<br>ha suscitado eh interés desde muy<br>temprano y eso me parece que es una<br>buena noticia todavía no tenemos una ley<br>eh promulgada Ni publicada eh estamos<br>esperando digamos los últimos trámites<br>ahora en en acuerdo en el tribunal<br>constitucional como tú comentabas y aún<br>así<br>e la gente<br>Eh está haciendo un alto digamos en su<br>en su eh eh obligaciones eh comoo se<br>llama esto y prioridades empresariales<br>para empezar a entender un poco más de<br>este tema y eso creo que es eh una buena<br>noticia ahora eh volvemos un poco a lo<br>que comentaba al principio de esta falta<br>de cultura ya<br>eh En el sentido de que salvo las<br>personas que se están dando el tiempo de<br>entender en mayor profundidad eh qué es<br>lo que se viene e Tenemos también una<br>serie de personas que están eh a cargo<br>de organizaciones y que eh están<br>minimizando este tema y pensando Ah<br>ahora Hoy hay que hacer una política de<br>protección de datos que probablemente<br>antes ni siquiera tenían digamos eh Y<br>vamos a hacer un par de eh eh políticas<br>eh Y protocolos internos etcétera<br>papeles papeles y más papeles e pero eh<br>No sé si es que están entendiendo<br>digamos que esto es un cambio eh más<br>profundo y que eh altera la seguro que<br>no Exacto seguro que no Exacto Entonces<br>eh probablemente eh el trabajo de<br>difusión y de Educación que va asociado<br>a este cambio va a ser uno de los de los<br>primeros y más grandes desafíos eh que<br>existen Ah porque si no<br>el tema va a cobrar relevancia cuando<br>aparezcan digamos los requerimientos de<br>agencia o cuando empiecen a aparecer la<br>las denuncia de los<br>titulares Perfecto Bueno en esa misma<br>línea respecto a lo que pueden ser estos<br>primeros requerimientos de la agencia<br>querías decir algo no no no vale voy a<br>dejar Ignacio que también es socio y<br>cofundador de ley de datos para la<br>segunda parte de este<br>panel Gracias Rodrigo eh un placer acá<br>poder compartir panel también con Marco<br>Eduardo y Diego est muy buena la<br>conversa Así que Espero seguir en la<br>misma línea<br>eh queremos hablar un poco ahora esta<br>sección la segunda parte del webinar<br>como con las lecciones que quedaron<br>después de la publicación de del rgpd<br>las lecciones que ustedes han podido<br>sacar eh y que también nos pueden servir<br>acá en chile para para también saber a<br>qué abstenernos<br>eh Hablamos antes de la del foco de la<br>agencia cuando la agencia ya tiene esta<br>nueva normativa las distintas agencias<br>en el caso de usted la agencia española<br>cuando ya tiene esta normativa y ya<br>tiene que aplicarla hablaba comentaba<br>Eduardo también que se pone en foco la<br>responsabilidad proactiva o sea son las<br>empresas las que tienen o las<br>organizaciones las que tienen que<br>demostrar el cumplimiento pero acá la<br>pregunta<br>es dónde puso el foco la agencia en un<br>primer<br>minuto dónde estaban los ojos puestos al<br>ipio<br>eh seguramente también Cuáles fueron las<br>sanciones Y qué tan ejemplificador<br>fueron O sea qué efecto tuvieron las<br>sanciones quiero dejar esta pregunta<br>para Eduardo y después voy a ir<br>complementando con los demás este tema<br>Bueno pues n ahora empiezo yo<br>Marcos no no a ver en principio el foco<br>quien lo sabe mejor es la agencia No<br>pero en todo caso sí que es verdad que<br>hubo un periodo de 2 años que<br>Aparentemente la<br>estaba más para educar digamos o para<br>ayudar a a la empresa y no empezar a<br>sancionar Pero evidentemente eso quiere<br>decir que no actuaban de oficio pero si<br>recibían una denuncia tenían que actuar<br>O sea no no no no no dejaban de cumplir<br>la normativa pero sí que había una<br>especie de vacatio legis no establecida<br>por ley en la que se permitía pues<br>ciertas cosas no Y y se podía ir<br>adecuando poco a poco eh las propias<br>empresas cierto que por por ejemplo la<br>primera sanción si no recuerdo mal es<br>fue en Portugal y fue un hospital O sea<br>que en principio sí que es verdad que en<br>este caso cuando era algo muy evidente o<br>cuando era algo que podía afectar<br>categorías especiales o era podía<br>generar un impacto sustancial en en los<br>derechos y libertades pues actuó o sea<br>eso eso está claro o sea no esperaron a<br>ver qué pasaba sino que se actuaba y<br>además de forma de forma contundente en<br>ese sentido Eh bueno por lo general Cómo<br>se puede saber también o cómo se pudo<br>saber el grado de cumplimiento por algo<br>tan sencillo Como cuántos registraron el<br>delegado de protección de datos no eh<br>Por qué Porque aquí es obligatorio hay<br>ciertas obligaciones de disponer de un<br>dpd creo que la ley chilena No creo eh<br>creo que la ley chilena es voluntario no<br>no es obligatorio es voluntario verdad<br>pero aquí aquí sí que sí que es<br>obligatorio para cierto tipo de<br>tratamiento incluso la Ley Orgánica de<br>protección de datos española estableció<br>una lista o establece una lista de<br>aquellas organizaciones eh que tienen<br>que disponer obligatoriamente un dpd por<br>ejemplo toda administración pública toda<br>tiene que disponer de un delegado de<br>protección de datos Y todavía quedan<br>sobre todo entes locales en los que<br>todavía no existe un delegado de<br>protección de datos todavía quedan unos<br>cuantos no quiere decir cuántos pero<br>quedan digamos sustancialmente unos unos<br>cuantos Y eso sí es un índice para la<br>agencia eh porque tienen la obligación<br>de haberlo hecho Ya hace hace años es un<br>índice de ver el grado de eh<br>conocimiento preocupación en este caso<br>que puede haber la sociedad si la propia<br>administración pública no le importa eh<br>qué podemos esperar del sector privado<br>no es un poco la reflexión a veces eh si<br>tendría que ser el primero que da<br>ejemplo a la hora de de cumplir eh Pues<br>si ves que muchas entes locales todavía<br>no cumplen y ya no me meto en otro tema<br>que es interesante también el esquema<br>nacional de seguridad no pero que es<br>otro tema todavía más más doloroso más<br>doloroso todav es un agujero negro eso<br>es modoso todavía no que es como las<br>normas de ciberseguridad para<br>administración pública no pero en este<br>caso H digamos que son eh PK o son<br>índices que te permiten de alguna forma<br>el registro ver cuál ha sido el grado de<br>impacto el grado de de de concienciación<br>que ha podido haber durante esos años a<br>la hora de implementar esta<br>normativa gracias gracias Eduardo eh Y<br>bueno en la misma línea siguiendo con<br>marco<br>eh hablando Ya derechamente de las<br>sanciones y las multas e<br>Cuál cuál fue el efecto que viste tú eh<br>cuando ya se empezaron a implementar<br>estas sanciones eh Cuál fue el efecto eh<br>que tuvo las empresas que se le aplicaba<br>las sanciones también si es que había<br>algún cambio de comportamiento si es que<br>había algún alguna forma en que ellas<br>después pu no sé si tiene algún caso de<br>alguna una empresa que quizás la hayan<br>multado en un principio en algún momento<br>y que hoy en día quizás sea una empresa<br>que cumple con la normativa se pueda<br>decir que cumple con la normativa eh o<br>simplemente acá también hay un ejercicio<br>que pasa muchas veces de que de repente<br>hay un cálculo de Cuánto me cuesta la<br>multa Y cuánto me cuesta cumplir<br>Entonces exo cuéntame un poco Cómo se<br>hace el juego a ver eso sí Yo me viene<br>muy bien esta pregunta porque quería<br>quería Añadir eh cosas a a lo que decía<br>Eduardo y lo que decía antes antes Diego<br>que estoy Completamente de acuerdo entre<br>los tres oo con los dos o sea estamos yo<br>creo que completamente alineados eh Pero<br>hay una hay una cuestión que se está<br>mencionado la agencia claro nosotros en<br>España tenemos una agencia de protección<br>de datos activa desde desde hace muchos<br>años eh Ya en el Pues eso A mediados de<br>los 90 a partir del 99 en todo lo que<br>son los 2000 hasta 2007 que salió un<br>reglamento de desarrollo medidas de<br>seguridad etcétera o sea nuestra agencia<br>de protección de datos Era la más de<br>Europa sea las sanciones de la agencia<br>de protección de datos en España<br>tenían las sanciones muy graves eran de<br>600000 eur cada una y precisamente lo<br>que se hacía Era ese cálculo que acabas<br>de decir es decir<br>yo asesorando empresas decía Bueno qué<br>vamos a hacer vamos a hacer una campaña<br>de marketing comercial no s qué tal<br>beneficio esperado 3 millones si nos si<br>nos cogen 600000 Bueno pues sigo tenendo<br>un buen un buen margen me arriesgo sigo<br>y había empresas que le metían 600000<br>400000 otros 600000 y seguían y seguían<br>y seg porque les salía rentable o había<br>el<br>caso un<br>caso anecdótico real que era irse a<br>Portugal deir haciendo lo mismo con la<br>normativa portuguesa la sanción no eran<br>600000 eran<br>Entonces se cogía la empresa y se decía<br>montamos una empresa en Portugal y haces<br>la labor de marketing Desde allí con lo<br>cual el beneficio de los 3 millones si<br>te si te sancionan son 5000 qué ha<br>pasado decía Eduardo una de las primeras<br>multas en Europa de protección de datos<br>fue la<br>autoridad de Portugal e amigo ahora ya<br>el reglamento<br>eh va a otro nivel Y eso también me<br>lleva a que ahora entro en responder<br>decir explícitamente la pregunta es<br>que realmente aquí en España eh el<br>reglamento fue también 2018 ampliado<br>mejorado comentado eh por por una Ley<br>orgánica que que daba unas una serie de<br>de que amolda más este reglamento<br>multicultural europeo a a una tradición<br>más jurídica española en ciertos<br>aspectos no y uno de de esos era<br>establecer el tema del apercibimiento<br>y durante muchos años al principio el<br>apercibimiento sirve como un toque de<br>atención la tarjeta amarilla eh para el<br>para el investigado decir Oiga Pues a<br>usted le hemos le hemos encontrado aquí<br>este incumplimiento le podíamos Haber<br>puesto una multa de 40.000 eh queda<br>percibido mejóralo aplique medidas y no<br>lo vuelva a hacer ojo como lo vuelva<br>hacer No pero Y eso la agencia lo ha<br>hecho durante durante mucho tiempo qué<br>pasa eh luego ya yo creo que también lo<br>decía antes Eduardo la la la agencia<br>eh todas las agencias europeas se han<br>volcado en en dar un un nivel de<br>concienciación eh muy<br>importante han sacado guías yo no sé si<br>la agencia de protección de datos en<br>España tiene más de 200<br>guías más de 200 recursos sobre sobre<br>cosas muy muy relevantes por sectores<br>pero cosas Cómo hacer una evaluación de<br>impacto cómo hacer una ponderación de<br>interés legítimo Cómo hacer una<br>evaluación de riesgo oa cosas realmente<br>útiles para para empresas y para y para<br>profesionales<br>eh Y a partir de ahí pues también<br>e nos hemos encontrado con otro problema<br>y es que no todas las agencias en Europa<br>Iban por el mismo camino claro aquí en<br>Europa estamos en un mercado único y<br>teníamos que poner el ojo En qué se<br>estaba diciendo en Irlanda o qué se<br>estaba diciendo en Italia qué se estaba<br>diciendo en Francia y una de las quejas<br>que teníamos desde la asociación<br>profesional de privacidad que estábamos<br>a en Bruselas quejándonos al regulador<br>era precisamente esto es Oiga si cómo es<br>posible que la agencia española de<br>protección de datos tenga para hacer una<br>evaluación de impacto adecuada tenga 25<br>criterios que hay que revisar Sí o sí y<br>la de Irlanda tenga<br>150 eso qué quiere decir que si lo hago<br>en España en un TR generaba mucho mucho<br>problema y el problema<br>eh problema barra solución eh No solo<br>estaba en la cultura sino que estaba<br>también en el miedo a la multa el miedo<br>a la multa eh siempre es siempre es<br>importante y ahora el reglamento tenemos<br>Pues en el teníamos eh leve sanciones<br>leves graves y muy graves y ahora<br>tenemos pues muy graves y Terribles no<br>eh Hasta 2 millones y el 2% de volumen<br>de facturación global mundial o 4<br>millones y el 4% del volumen de<br>facturación pero como decía antes Diego<br>Aquí también Es ponderable depende del<br>volumen de facturación depende de un<br>montón de cosas agravantes eh atenuantes<br>etcétera se actuó muchísimo en base al<br>miedo a esa multa pero yo creo que es un<br>error o sea es importante eh actuar por<br>por miedo a a la multa pero yo creo que<br>tiene que ser un tema de de de creer en<br>la privacidad como un valor añadido como<br>un elemento diferenciador que te va a<br>permitir eh A la que va a permitir a las<br>empresas diferenciarse en el mercado va<br>a permitir eh destacar en una protección<br>al consumidor al cliente al ciudadano eh<br>que otros no lo van a hacer y eso si se<br>coge de una manera eh adecuada va a ser<br>perfectamente posible hacerlo eh yo<br>también comparto eh la idea de de Diego<br>en el que es una Norma yo me he revisado<br>vuestro vuestro proyecto es una norma<br>que se parece bastante en muchas cosas<br>eh Hay un trasfondo muy importante que<br>tenéis que que que dedicarle tiempo que<br>es el factor de la necesidad del<br>tratamiento que esto es una cosa que nos<br>nos tiene a nosotros locos pero en el<br>fondo se trata de<br>eh que aunque por muy dura que sea por<br>muy que las multas sean muy elevadas son<br>lo suficientemente flexibles para poder<br>desarrollar negocios para poder<br>desarrollar políticas lo que pasa es que<br>lo que requiere son de profesionales que<br>con estrategia que con unas skills<br>adecuadas que con un<br>e con un conocimiento noow pueda ayudar<br>a moldear esas esa Norma para ese para<br>ese negocio Eh Al principio creo que lo<br>también lo mencionaba Diego que podía<br>haber<br>situaciones en las que una empresa pues<br>desapareciese del mercado Sí sí es que<br>va a haber situaciones en Europa hay<br>determinados temas de marketing que han<br>desaparecido han desaparecido porque el<br>legislador ha querido que<br>desapareciese hay otras que se han<br>tenido que adaptar y y han podido seguir<br>seguir adelante Pero eso requiere<br>estrategias requiere eh verlo como un<br>valor diferenciador y que y algo que que<br>puede impulsar el nego<br>es decir hay que<br>eh jugar con el palo y la zanahoria la<br>la cultura eh lo decíamos al principio<br>el que el ciudadano pues vea sus datos<br>que esto sea importante que se crea en<br>ello eh la democracia los los valores<br>familiares ta ta ta y<br>eh la multa que también impulsa mucho un<br>cumplimiento normativo eh Aunque sea eh<br>inicial también me vais a permitir una<br>cosa eh siempre va a haber dos<br>velocidades el que crea en la privacidad<br>se lo va a tomar en serio y lo hará bien<br>y le Irán bien las cosas y el que no el<br>que lo vea como un gasto como un como<br>decían aquí en España en muchas veces un<br>impuesto revolucionario más que tengo<br>que pagar eh Bueno pues si si lo ves así<br>si alguien ve que esto es así tiene un<br>problema y lo va a tener en el futuro y<br>eso es algo que tenemos que que cambiar<br>Y por último y ya me callo<br>e nosotros tuvimos la suerte de Eh bueno<br>la la asociación profesional españ de<br>privacidad la montamos hace 15 años eh<br>También montamos en<br>atic que<br>que Eduardo es vicepresidente ahora pero<br>lleva también toda la vida en la<br>junta y hemos y desde las asociaciones<br>eh de asociaciones de profesionales de<br>abogados como nativo de profesionales y<br>delegados de profos ap tenemos eh eh una<br>capacidad de de de impulsar esta cultura<br>y de contar con el hemos tenido la<br>suerte de contar con el regulador con<br>contar con las agencias la española las<br>autonómicas y las y las europeas y nos<br>han trasladado eh sus criterios yo<br>recuerdo una ocasión cuando fue la<br>pandemia de del covid-19 eh que hicimos<br>una sesión online con la agencia<br>española de protección de datos y nos<br>estuvieron contando Cuáles eran los<br>criterios de la agencia para permitir<br>aplicaciones de seguimiento de del covid<br>o de sistemas de medición de temperatura<br>empleados nos lo estaban diciendo ellos<br>porque Los profesionales Somos la<br>primera línea de eh de asesoramiento<br>para que el sujeto obligado que son las<br>empresas y las administraciones de los e<br>y las entidades cumplan la normativa<br>Entonces si si vuestra agencia de<br>protección de datos eh os ve como un<br>como un Aliado<br>para favorecer ese cumplimiento eh os os<br>dará eh os dará herramientas y os dará<br>criterios y os dará knowhow muy muy<br>relevante eh yo creo que eso es una cosa<br>que hay que que hay que aprovechar sobre<br>todo los primeros años luego ya se les<br>va pasando el el tema y es mucho más<br>sale más en las noticias el que se ha<br>hecho una multa de no sé cuántos<br>millones a no sé quién Y como decía<br>antes esto es muy vivo y hay empresas<br>que reciben una multa invierten<br>muchísimo dinero<br>en profesionales en equipos en<br>tecnología en no sé qué y les puede<br>venir otra multa porque no es algo<br>absoluto no es una cosa de cumplo o no<br>cumplo es el día a día puede haber un<br>fallo técnico puede haber un error<br>humano puede haber un no sé qué que te<br>lleva a un a un problema en protección<br>de<br>datos me emocionado me<br>emocionado bueno la pasión de la de la<br>protección de datos Diego bueno tomando<br>un poco lo que ha señalado Eduardo y y<br>marco eh Ya aplicándolo a la realidad de<br>chile tenemos una situación tú vas a<br>compartir conmigo tenemos una situación<br>que tenemos una agencia que se va a<br>crear muy poquito antes de que empiece a<br>implementarse ya en regla la la nueva<br>normativa eh hemos tenido también harto<br>miedo a la multa como se Llamar marco en<br>ya en la etapa temprana de la<br>tramitación del proyecto en la parte<br>final también eh Cómo ves que esos<br>factores están jugando o van a jugar a<br>futuro<br>eh Y si tú tuvieses que hacerle una<br>recomendación a la agencia qué les<br>podrías decir dónde pueden poner el foco<br>tienen que aplicar multas grandes a<br>grandes empresas tienen que educar a las<br>pequeña y también Cómo puede afectar<br>también a las pequeñas cuéntanos un poco<br>cómo lo estás viendo<br>claro Sí mira Primero me gustaría<br>comentar respecto a lo que comentaba<br>marco valga la redundancia hace unos<br>momentos de la colaboración entre las<br>asociaciones gremiales y la y la y el<br>regulador eh que creo que eso es<br>fundamental sobre todo en un inicio en<br>que como tú dices la agencia no está no<br>existe todavía digamos eh uno de los<br>roles de la agencia precisamente educar<br>y entregar eh herramientas para eh<br>que las empresas puedan cumplir Entonces<br>el rond de las asociaciones criminales<br>creo que que es importante y en ese<br>sentido como se llama est nosotros<br>creamos junto a un grupo de<br>profesionales Rodrigo Ignacio también<br>son son socios de la asociación de<br>profesionales en protección de datos en<br>chile y creo que esa es una buena<br>noticia porque como estamos vamos a<br>estar un periodo de vacancia en que no<br>vamos a tener agencia y la agencia no va<br>a estar est operando por lo tanto no va<br>a estar eh generando digamos estos<br>insumos eh la asociación de<br>profesionales eh creo que Eh puede tener<br>un rol interesante al respecto ahora<br>dicho lo anterior eh creo que yo había<br>anotado en un punteo eh las<br>recomendaciones que como tú dices habría<br>que hacerle a la a la eh a la nueva<br>agencia eh Y van bastante en la línea de<br>lo que ya hemos conversado eh primero yo<br>creo que eh tiene que haber una<br>aplicación gradual de las multas ya si<br>bien la ley establece un un periodo<br>transitorio eh en que se pueden eh<br>aplicar multas de cortesía a ciertos<br>empresas básicamente las de menor tamaño<br>eh creo que eh el criterio acá eh es<br>fundamental la agencia tiene que<br>comenzar eh eh aplicando muy<br>criteriosamente las multas Ojalá eh en<br>los rangos más Bajos en un principio eh<br>Y cómo se llama esto y y y y asumir como<br>bien comentaba Eduardo creo un rol<br>eh de difusión de concientización y de<br>educación muy potente porque<br>acá lo importante como comentaba Marcos<br>también no es solo el miedo a la multa<br>Que obviamente está y es necesario que<br>esté digamos pero sí es importante que<br>se entienda que aquí cambió el<br>ecosistema o va a cambiar el los sistema<br>y la forma en como todas las los<br>miembros de la sociedad nos relacionamos<br>con los datos personales eh tiene que<br>ser distinta eh Y si es que no es miedo<br>a la multa será eh miedo al daño<br>reputacional por ejemplo que también<br>Creo que es un motor super poente de<br>cambio eh casi tan importante como el el<br>de las multas nadie quiere salir la<br>portada del diario digamos eh Cómo se<br>llama estd eh eh multado digamos por por<br>un tratamiento fraudulento de datos eh<br>Por ejemplo<br>e otro otro criterio creo que es<br>importante es que la agencia eh se<br>focalice en un principio eh o parta<br>desde lo más grave a lo menos grave ya<br>que eh busque digamos eh Cuáles son eh<br>los actores que están cometiendo<br>infracciones gravísimas eh y y vaya<br>atrás ellos y después vaya una vez que<br>eso se se se vaya purgando digamos eh<br>También vaya revisando eh lo lo menos<br>grave y también desde luego aplicar un<br>criterio de eh empresas de tamaño de<br>empresa no de irse más duro contra los<br>grandes primero y luego ir bajando eh<br>hacia las pymes para darles también eh<br>mayor eh tiempo y mayores recursos para<br>poder ir<br>adaptándose y lo otro no sé si tiene<br>tanto que ver con la agencia eh tiene<br>que ver con el presupuesto que se le<br>asigne eh y y y y tiene que ver también<br>con eh la oleada de denuncias que se va<br>a venir que ya anticiparon marco y<br>Eduardo eh una vez que empiece eh las<br>empresas a implementar eh su su modelos<br>de prevención de infracciones eh sus<br>alertas e y y que la gente empiece a<br>tomar conciencia digamos de que tiene<br>todos estos derechos y lo empiece a<br>ejercer la agencia va a tener que tener<br>la robustez suficiente para poder cubrir<br>esa demanda eh ya que una cosa es la<br>fiscalización que también requiere de<br>tiempo y recursos pero otra cosa va a<br>ser el cubrir la enorme cantidad de<br>denuncias que previsiblemente van a<br>ocurrir eso yo creo que es lo que<br>debería tener en cuenta la agencia pero<br>repito el concepto que considero más<br>importante el criterio el criterio la<br>nuestra tiene un problema con eso con el<br>la nuestra nuestra agencia España de<br>protección de datos tiene un problema<br>precisamente con ese tema eh básicamente<br>sigue teniendo el el mismo personal y<br>poco más y el mismo presupuesto que que<br>antes de la entrada en vigor del del<br>reglamento eh lo están<br>intentando mejorar pero siguen siguen en<br>cuadro como se suele decir y eso tiene<br>bloqueados pues muchos y alarga mucho<br>los los procedimientos pero si tuviesen<br>necesitan el triple o el cuadruple de<br>personal y habría en España muchísimas<br>más sanciones de que hay o sea eso Esto<br>va eh que puede llegar a pasar<br>bu Claro sí no yo creo que ese es un<br>tema que que eh es de extrema relevancia<br>o sea podría o sea si que si es que no<br>se le otorga los recursos eh necesarios<br>para que pueda operar eh aunque aunque<br>no de una manera perfecta digamos<br>siempre se van a necesitar más recursos<br>pero de una manera que pueda operar de<br>manera razonable eh corremos el riesgo<br>de eh caer en letra muerta que que no no<br>no es la<br>idea Sí aquí me permitís un una solo un<br>apunte yo yo yo no quería dejar de de<br>decir una cosa<br>importante a todo chile eh a todos los<br>profesionales en chile y es que esto les<br>está abriendo est esta nueva normativa<br>eh que está tan basada en el reglamento<br>general de protección de datos eh les<br>está abriendo una ventana de oportunidad<br>a las empresas chilenas para poder ser<br>proveedoras de empresas españolas o<br>empresas europeas y es una ventana de<br>oportunidad muy importante eh aquí en en<br>en Europa tenemos el uno uno de los<br>artículos principales del del reglamento<br>más importante para este tema de cosas<br>el artículo 28 el tema de el contrato de<br>encargo al tratamiento entre el<br>responsable y el encargado y al al<br>cliente al responsable tiene una doble<br>obligación tiene la obligación de eh eh<br>in eligendo de de elegir exclusivamente<br>aquellos proveedores que van a tratar<br>sus datos de forma adecuada la<br>protección de datos es tiene que no no<br>vale escoger a uno u otro tiene que ver<br>que quien está contratando sea gdpr o<br>sea o que cumpla con la protección de<br>datos de forma adecuada eh Y luego<br>vigilar eh Y esto eh el paso para para<br>que chile pueda pueda aprovecharse al<br>máximo de esto sería que lograr un un<br>reconocimiento de la de la Unión Europea<br>como país con nivel adecuado de de<br>protección para que esto fuese directo y<br>eliminar trabas trabas burocráticas como<br>lo tienen ahora mismo creo que Argentina<br>y y Uruguay Me parece que en<br>Latinoamérica son esos dos eh si no me<br>equivoco<br>e Y esto es esto es básico es decir<br>si se se les está abriendo a las<br>empresas chilenas un un nuevo Nicho de<br>de Mercado eh de de ser proveedores de<br>de empresas europeas gracias al<br>cumplimiento normativo eh porque<br>nosotros como delegados de protección de<br>datos como abogados de protec datos como<br>profesionales de la privacidad<br>eh vamos a revisar Quiénes son los una<br>de las cosas que hacemos principalmente<br>es revisar con quién se está contratando<br>y da igual que sea de de un país u otro<br>de Francia Portugal o España se va a<br>revisar qué grado de cumplimiento se<br>tiene y si es adecuado se le contrata y<br>si no no se le contrata eh Y Y eso es<br>una de las cosas que además también ha<br>impulsado mucho el el la protección de<br>datos a nivel interno no solo a nivel<br>internacional una pequeña empresa cuyo<br>principal cliente es una gran empresa se<br>puede quedar sin esa cuenta sin el 80%<br>de su facturación si no se pone las<br>pilas como se suele decir<br>en en en coloquial coloquialmente si no<br>se si no se eh esmera en en cumplir la<br>se puede quedar sin ese cliente y punto<br>Entonces ya no es una cosa de miedo a la<br>multa miedo reputacional eh cultura no<br>es que o lo cumples o te quedas sin<br>negocio se<br>acabó aprovéchenlo quio darle el pase<br>Aprovechando que tocaste el tema tenemos<br>que ya poner término esta sección para<br>pasar a a a bueno algo que tenemos que<br>contarles como ley de datos pero también<br>a las preguntas del público pero dentro<br>la agenda teníamos el tema del proceso<br>de<br>adecuación entonces quería preguntarle<br>muy en breve<br>Eduardo ya que Marcos tocó el tema del<br>proceso<br>decación<br>apertura apertura que podríamos tener<br>con la Unión Europea y que estamos aquí<br>haciendo el lazo ya estamos haciendo la<br>conexión claro cuén un poco y tú Yo sé<br>que tú leiste la ley chilena cuéntanos<br>estamos estamos listos qué nos falta<br>a a ese nivel todavía no llego o sea<br>falta información como para hacer un<br>análisis de todo el ordenamiento<br>jurídico de de chile y establecer unas<br>pautas como para saber exactamente<br>porque no solamente la ley es las<br>garantías del ordenamiento jurídico que<br>establece porque estamos hablando que<br>ación de datos final es un derecho<br>fundamental instrumental que lo que<br>busca es garantizar el resto de derechos<br>fundamentales en el uso basado en el uso<br>de los datos personales no Entonces es<br>algo mucho más complejo Que que yo no yo<br>no podría abarcar ahora pero sí que<br>puedo comentar algún tema por ejemplo<br>que ha dicho lo acaba de decir Marcos no<br>lo importante que esta ley para poder eh<br>ser proveedores de servicios por ejemplo<br>para empresas españolas o empresas<br>europeas en general no pero también hay<br>que recordar que el reglamento general<br>de protección de datos europeos Tiene<br>efectos extraterritoriales O sea a lo<br>mejor no todas las empresas serán<br>conscientes de que si ofrecen servicios<br>por internet por ejemplo a ciudadanos<br>europeos aunque no un establecimiento<br>permanente físico en Europa Igualmente<br>tienen que cumplir con el reglamento<br>general de protección de datos claro eh<br>otra cosa es luego cómo se exige desde<br>fuera no a otro país que que cumplan con<br>la normativa pero digamos que también es<br>la oportunidad de que si tienen que<br>ofrecer sus servicios a a ciudadanos<br>europeos de alguna forma esta normativa<br>les facilita eh recorrer ese camino o<br>sea poder poder llegar a tener ciertas<br>garantías respecto al cumplimiento por<br>eso decía o sea es es un es una norma<br>muy ambiciosa la europea respecto a esto<br>O sea que tenga efectos<br>extraterritoriales que obligue incluso a<br>otros países a que a que tengan que<br>cumplir con normativas que sabes que<br>luego Y si no hay una comisión rogatoria<br>eh es muy difícil que se pueda exigir eh<br>eh que se cumpla en ese caso si no hay<br>una colaboración o un convenio bilateral<br>entre los dos estados eh pero eh Por<br>dónde empezaría Bueno<br>pues empezaríamos por donde se ha<br>empezado o sea establecer una ley que de<br>alguna forma intente ser equiparable a a<br>la europea que garantice el ordenamiento<br>jurídico los derechos y fundamentales<br>establecidos en el convención de<br>Naciones Unidas de creación de las<br>Naciones Unidas de los Derechos Humanos<br>O sea que que sea realmente un<br>ordenamiento jurídico en el que se<br>proteja y se contemple la dignidad<br>humana o sea realmente se proteja como<br>uno de los principales Pilares la<br>dignidad de las personas porque si no se<br>garantiza en el ordenamiento jurídico la<br>dignidad de las personas de que de eso<br>va protección de datos lo digo porque a<br>veces falta cultura porque parece que<br>hablamos de de temas informáticos no no<br>no protección de datos va de garantizar<br>la dignidad de las personas y el libre<br>eh desarrollo de la personalidad algo<br>tan importante como ser libres Eh<br>entonces eh si no conseguimos ciudadanos<br>libres y el ordenamiento jurídico no<br>busca ese objetivo de ser ciudadanos<br>libres eh de poco sirve la ley de<br>protección datos porque recordemos que<br>china también tiene una ley de<br>protección de datos O sea me refiero lo<br>digo para para que lo sepan eh Y eso no<br>quiere decir que sea equiparable por muy<br>parecido que sea el texto europeo que<br>puede haber puntos que digas ostras<br>parece que sea europeo no hay que<br>analizar bien el ordenamiento jurídico<br>para que realmente el propio<br>ordenamiento establezca esos principios<br>de garantía de la dignidad humana y<br>libre desarrollo de la<br>personalidad claro al final es un todo<br>No no es solamente la ley es una foto a<br>la a la realidad a la realidad chilena<br>que bueno ya nos va a tocar cuando<br>llevemos un grado de madurez con con la<br>nueva normativa<br>eh Un par de temas Sí dale dio una<br>acotación muy muy breve eh para señalar<br>que eh chile incorporó dentro del<br>catálogo de derecho y garantía<br>fundamentales en la Constitución el<br>derecho a la eh protección de los datos<br>personales hace hace algunos años atrás<br>eh Y la ley también en ese sentido eh<br>Busca siempre eh proteger digamos los<br>derechos y libertades de los titulares<br>eso está en nuestra Constitución al<br>menos así es bueno tomando un poco<br>algunos conceptos que han han dado eh<br>hemos hablado de cultura hemos hablado<br>de conscientización hemos hablado de<br>formación de capacitación<br>eh han dado en esclavo creo que al final<br>la protección de datos no va Lo eh en la<br>en el miedo a una sanción no va en una<br>ley que amenace con sanciones sino va en<br>como nosotros como ciudadanos como<br>nosotros como miembros de la<br>organización nos preparamos a frente a<br>esta normativa Y cómo nos vamos<br>enfrentando a esta normativa y vamos<br>adoptando estos conceptos que en Europa<br>ya tienen un desarrollo pero para Chile<br>Son nuevos es todo como dijo Diego en<br>algún momento todo un ecosistema nuevo<br>que hay que conocer Entonces quiero<br>dejar a Rodrigo que nos tiene también<br>una novedad desde ley de datos eh<br>para que todos ustedes puedan<br>capacitarse en estos<br>temas muchas gracias Ignacio Muchas<br>gracias también al panel efectivamente<br>la capacitación salió como tema<br>transversal durante la conversación no<br>es que estuviera gallete no es que lo<br>conversamos ant con los invitados pero<br>es un tema importante Entonces tenemos<br>un nuevo módulo es el módulo de<br>capacitación que permite habilitar<br>distintos cursos dentro de la<br>organización como es importante que toda<br>la organización esté al tanto de la<br>protección de datos y sea un tema por<br>diseño y por defecto y est dentro la ura<br>habilitamos este nuevo módulo donde<br>tenemos un curso introductorio y se han<br>ID agregando nuevos cursos Durante los<br>transcursos de la semana con distintos<br>tópicos o materiales que son importantes<br>para cumplir con la ley de protección de<br>dos personales entonces acá ustedes<br>pueden por ejemplo ver los distintos<br>cursos que son distintos módulos El<br>Progreso que tiene el alumno Durante<br>cada uno de esos módulos los materiales<br>que están habilitados dentro de la<br>plataforma para poder hacer frente a<br>estos cursos eh evaluación por cada uno<br>de los módulos con preguntas tanto de<br>desarrollo abierto como preguntas de<br>alternativa que luego la plataforma eh<br>da un puntaje de manera automática y una<br>parte más eh pedagógica que es qué se va<br>a aprender Durante este curso y los<br>requisitos para poder tomar sí Y también<br>Cuáles son los los porcentajes de<br>aprobación para que la persona que haga<br>este curso pueda decir Bueno yo cumplí<br>con la ley Yo entiendo la ley y también<br>la empresa tenga este respaldo de que<br>capacitó a sus personas dicho eso eh<br>vamos a comenzar con las preguntas las<br>estuvimos agrupando mientras hacemos la<br>conversación la vamos a hacer bien breve<br>entendiendo que ya estamos un poco<br>pasados en el tiempo pero salió un tema<br>que no no ha salido mucho en los webinar<br>y me parece bien interesante poner la<br>mesa que es la parte comercial entonces<br>quizás partir con Marcos tengo una tres<br>preguntas bien parecidas comercialmente<br>pero en distinta Arista vo ser una<br>Marcos una Eduardo y una Diego entonces<br>quizás partir con Marcos que es cómo<br>resolucionar los problemas de venta a<br>través de referido en España que es algo<br>muy común pero que venta Perdón venta a<br>través de referidos dos referidos vale<br>Sí cómo lo solucionar en España con la<br>entrada en vigencia de esta nueva<br>ley Pues a<br>ver vuelvo al depende de antes<br>e a ver aquí una de las claves y que yo<br>creo que lo mencioné antes<br>eh aquí hay hubo muchos problemas<br>en<br>para identificar los tratamientos y<br>sobre todo hubo muchos problemas para<br>identificar las bases de legitimación de<br>los tratamientos eh Y eso es una una<br>cosa que yo creo que que tampoco me<br>gustaría irme de aquí sin sin<br>mencionarlo cuidado con el<br>consentimiento cuidado con el<br>consentimiento el consentimiento<br>eh veo que en su caso chile también ha<br>cometido el mismo error que el el<br>legislador europeo y el español de poner<br>el consentimiento como el primero que se<br>nombra en el en en la normativa y para<br>mí es el último es el último recurso el<br>consentimiento es<br>malo el consentimiento se puede revocar<br>y se puede revocar en cualquier momento<br>y cuando se revoca un consentimiento la<br>hemos fastidiado porque eso va a generar<br>problemas operacionales a nivel eh<br>interno entonces en muchos temas de de<br>marketing<br>siempre se pone el consentimiento y no<br>siempre es necesario poner el<br>consentimiento Y si podemos basar las<br>las los tratamientos en una base de<br>legitimación más sólida como el<br>cumplimiento de un contrato como una<br>obligación legal o como Incluso el<br>interés legítimo que también tiene sus<br>problemas pero eh va van a ser mejor que<br>que el consentimiento en muchos casos en<br>respuesta Más directa la pregunta Pues<br>siempre dependía de cómo era esa base de<br>legitim Cómo llegaban esos<br>datos si había habido una transparencia<br>adecuada una información adecuada si<br>había eh ha habido una base de regación<br>si teníamos un interés legítimo Cuál era<br>la forma de de darle posteriormente esa<br>información al interesado si había los<br>opt outs para que se pudiese oponer o<br>sea es es todo un conjunto no no no hay<br>una eh aquí no hay en protección de<br>datos no va a haber una valita mágica de<br>para todos los casos en algunos sí esto<br>se hace así siempre en todos los casos<br>no hay que ver cada caso concreto Pero<br>no es lo mismo que venga desde un<br>sistema de captación online que que<br>venga referido de una<br>Eh pues s de un tercero de una de una<br>plataforma de Market en fin hay mil<br>historias entonces hay que analizarlo<br>bien<br>eh saber sobre todo saber si esa si si<br>el dato el titular del dato ha sido<br>informado sobre el tratamiento que iba a<br>ser que se iba a dar si si si se podía<br>ejercitar los de o sea una acreditación<br>de de la seguridad en cuanto a a la<br>operativa Y a partir de ahí pues ya se<br>se ve si se puede si no se puede y Y<br>cómo hacerlo Pero insisto no<br>es A ver no es problemático en sí mismo<br>eh Es decir no es una práctica prohibida<br>de esto no se puede hacer esto es una<br>cuestión de ver cómo se puede Cómo se<br>puede hacer claro cuando hay situaciones<br>en las que no se tiene información no se<br>sabe cómo viene no se sabe si ha<br>informado no se sabe que vaas ser<br>legitimación no se sabe eh absolutamente<br>nada no se comprueba si los datos están<br>lista Robinson no se dices esto implica<br>un riesgo que siempre hay que ir a lo<br>mismo el riesgo el riesgo no lo hemos<br>comentado pero se se realiza en base a<br>dos factores el impacto en en el<br>Elo gravedad en cuanto al tratamiento de<br>los datos para los derechos y libertades<br>de las personas y probabilidad entonces<br>claro cuanto menos medidas técnicas<br>menos medidas jurídicas menos medidas<br>organizativas más datos no s todo esto<br>empieza a sumar y Oye pues si impacto a<br>esta gente a estas personas que me han<br>venido desde este sistema así puedo<br>tener un problema pero si impacto a esas<br>mismas personas con estas garantías<br>Entonces no hay no puedo<br>contestar lícitamente algo<br>pero de modo general sería un poco<br>así no s si hay A lo mejor puedo ampliar<br>algo más pero yo creo que queada la<br>pregunta tan en genérico la respuesta<br>sería<br>esta<br>perfect Muchas gracias respondiste Más<br>allá de la pregunta as perfecto Eh<br>quiero dejar una pregunta para Eduardo e<br>que también se ha repetido mucho y<br>también hay hay dudas al respecto es<br>respecto de la figura del delegado<br>protección de datos podríamos hacer un<br>webinar completo de este tema entonces<br>claro solamente enfocarnos no es<br>monotemático Sí sí sí Solamente enfocar<br>como en cuál en tu criterio tiene que<br>ser el perfil Cuáles son los<br>eh Cuál es el rol que juega dentro<br>también dentro de una organización el<br>tipo de conocimiento que tiene que tener<br>más o menos sus responsabilidades<br>también para el día de mañana si es que<br>hay algún problema también en la<br>organización abarcar un poquito esos<br>temas Bueno voy a empezar Por quién no<br>debe ser vale creo que que va a ser más<br>fácil un becario que acaba de entrar en<br>la empresa no puede ser excepto que sea<br>un experto que por su cuenta pues tenga<br>tanta experiencia que se pueda pueda<br>ocuparse ese puesto no a a lo que voy no<br>es el<br>no sé el último de la de la empresa que<br>hay que ponerle como delegado porque hay<br>que cumplir la ley eso hay que evitarlo<br>No todo lo contrario tiene que ser un<br>perfil en este caso de alta de alto<br>nivel o de dirección porque tiene que<br>conocer toda la empresa o sea tiene que<br>tener acceso a toda la información de la<br>empresa a todos los procesos a todas las<br>operaciones tiene que conocer en<br>profundidad cómo funciona esa empresa y<br>todo lo que van a hacer o sea todos los<br>proyectos como bien decía Marcos eh uno<br>de los principios es privacy by design o<br>sea privacidad del diseño eso implica<br>conocer antes de que eso se convierta en<br>algo real en la propia or ese proyecto<br>tienen que conocer exactamente qué es lo<br>que se pretende hacer qué es lo que se<br>va a hacer en ese sentido el el perfil<br>idóneo primero tener ese Rango un Rango<br>de alta dirección dentro de la propia<br>organización luego<br>autonomía es importante que tenga<br>autonomía y quiere decir dos tipos de<br>autonomía en en la toma de decisiones O<br>sea que no tenga ningún tipo de presión<br>a itada por ningún directivo ningún<br>responsable de la empresa para tomar una<br>decisión o otra porque al final lo que<br>está protegiendo son derechos y<br>libertades de personas o sea no nos<br>olvidemos no está protegiendo la<br>actividad económica de la empresa puede<br>ponderar pero su finalidad última es<br>garantizar derechos y libertades de<br>personas y luego autonomía económica o<br>sea también se puede controlar al<br>delegado proteccion datos no poniéndole<br>recursos entonces tiene que haber una<br>garantía para que sea un dpd válido que<br>se acredite en un contrato en un<br>documento interno que explique<br>detalladamente los compromisos de<br>dirección respecto a a los recursos que<br>va a disponer Para poder ejercer<br>correctamente y las garantías de<br>autonomía por ejemplo de no echarle en<br>ningún momento por el hecho de que está<br>haciendo su trabajo o sea que está<br>cumpliendo sus obligaciones Aunque vaya<br>en contra mejor del interés económico de<br>la empresa que eso es muy complicado o<br>sea eh claro muchas decisiones que<br>afectan a Protección datos afectan a la<br>viabilidad de la del negocio muchos<br>entonces eh un dpd que que además<br>intenta siempre tiene que hacer una<br>ponderación no del bien del negocio con<br>los intereses de de los particulares<br>pero muchas veces la tendencia es no no<br>no no no no un buen dpd un buen dpd<br>Perdón un buen dpd como tú hace eso<br>Bueno es muy difícil porque porque a<br>veces las presiones del día a día te<br>pueden en el sentido de que bueno Esto<br>es menor tampoco tanto Claro pero al<br>final dices es que estoy perjudicando a<br>la empresa y estoy perjudicando a lo<br>mejor algún puesto de trabajo por no<br>permitir este tipo de acciones o un<br>contrato que ya eh podía ser interesante<br>eh se lo se lo puede llevar la<br>competencia asumiendo riesgos no Eh<br>hablo de campañas de marketing<br>específicas no de que por No hacerla la<br>competencia se puede llevar eh Eh pues<br>más clientes o claro son muchos muchos<br>sucesos Y eso requiere Pues eso que<br>hemos dicho una persona con mucha<br>experiencia en la materia y conocimiento<br>jurídico sí eh lo que pas que eh Marcos<br>lo dirá Mejor no porque representa la<br>asociación yo represento asociación de<br>abogados no de juristas más que de<br>abogados juristas eh Marcos es de<br>profesionales de privacidad ahí abarcan<br>no solamente juristas sino también<br>técnicos e ingenieros O sea hay muchos<br>más perfiles que no solamente la del<br>jurista pero sí que deben conocer porque<br>yo trabajo continuamente con ingenieros<br>de telecomunicación especializo en<br>ciberseguridad para hacer auditoría<br>siempre tengo que trabajar de la mano de<br>de un ingeniero y conoce la ordenamiento<br>jurídico o sea conoce las leyes en<br>profundidad de protección de datos o sea<br>son dos elementos fundamentales tener<br>experiencia acreditada para incluso<br>diría para el sector en el que vas a<br>trabajar no para todos sino para el<br>sector en el que vas a trabajar<br>experiencia eh acreditada Y luego<br>también conocimientos jurídicos respecto<br>al ordenamiento porque al final se te<br>ponen una multa no es porque seas muy<br>bueno poniendo medidas de seguridad o<br>Estableciendo eh mecanismos técnicos eh<br>Para cortafuegos o para lo que sea no<br>antivirus sino es porque sabes<br>interpretar la ley y puedes evitar que<br>ese tratamiento se convierta en una<br>sanción y eso es un proceso jurídico un<br>análisis y un proceso jurídico que debes<br>comprender en profundidad para evitar<br>que se produzca esa vulneración de<br>derechos y libertades y luego las<br>funciones no me meto tanto yo diría por<br>encima Cuáles son las de aquí<br>básicamente la de dpd aquí es asesorar<br>Eh Al responsable de tratamiento eh ser<br>un mediador entre Los afectados y la<br>empresa o sea no trabajas para la<br>empresa aunque te estés contratado por<br>la empresa sino que tienes que mediar<br>entre el afectado la persona que han<br>tratado sus datos y considera que no se<br>ha tratado de forma adecuada y la propia<br>empresa que es el responsable que te<br>contrata que te tiene en nómina y por<br>otro también ser el punto de conexión<br>mediador también o de entre las<br>autoridades de control Y el responsable<br>aquí por ejemplo en España normalmente<br>si hay una reclamación primero eh<br>consulta no a la empresa sino al dpd si<br>dispone de uno o sea normalmente la<br>agencia de protección de datos primero<br>Habla con el dpd para ver qué ha pasado<br>y que internamente se le suele dar un<br>mes eh para que pueda resolverlo y<br>volverlo a comunicar a la autoridad de<br>control bueno Y si quiere decir algo<br>Marcos porque Marcos puede aportar mucho<br>más también en en ese tema está está<br>perfecto Pues nada pues agradecido<br>perfecto ya está está perfecto Sí a ver<br>os podemos contar anécdotas no anécdotas<br>de de efectivamente lo que dice lo que<br>dice Quién no debe ser el<br>ceo el ceo no puede ser el delado de<br>protección de datos y se nombran eh Ah<br>pues yo Claro pero no puede poner al al<br>al al zorro a cuidar de las de las<br>gallinas Cómo se dice el de mar el<br>responsable de marketing no el<br>responsable de seguridad no hay cosas<br>que son que son bastante obvias eh pero<br>efectivamente yo comparto con aduardo no<br>hay un<br>perfil tien que ser tiene que ser un<br>abogado tiene que ser no tiene que ser<br>alguien que realmente sepa y sepa de ese<br>eh de ese sector en concreto<br>eh yo mismo yo no podría ser del lado de<br>protección de datos de de varios<br>sectores porque yo que sé del<br>biofarmacéuticos pues No yo de ese no<br>puedo ser puedo ser de otros Pero de ese<br>no porque no no no tengo no porque<br>protección de datos es<br>transversal esto es otra cosa importante<br>y y y hay que verlo que que decía<br>Eduardo el el el deado de protección de<br>datos tiene que tener conocimientos<br>jurídicos de la de la materia de<br>protección de datos pero también del de<br>ese negocio y protección de datos va a<br>afectar tanto en un en un aspecto como<br>esto de biosanitario pues va a afectar<br>desde la toma de pacientes ahí hay leyes<br>sanitarias ahí hay leyes de no sé qué<br>ahí hay<br>normativas todo eso puede afectar y<br>entonces no puedes hacer bien tu trabajo<br>sin sin eso la clave para mí la clave<br>fundamental para un profesional de la<br>privacidad para un delegado profesion es<br>formación<br>continua formación continua todo el rato<br>si no eh nos quedamos fuera nos quedamos<br>fuera del del mercado en vamos en en<br>enseguida y Y tenemos el ejemplo ahora<br>mismo en España en Europa primero ha<br>salido el reglamento general de<br>protección de datos Y a partir de ahí<br>empieza a salir normativa porque está<br>todo todo tendente a la digitalización Y<br>entonces sale la normativa ia el<br>reglamento ia que tiene cosas de<br>protección de datos sale el tema del<br>Miss 2 ciberseguridad protección de<br>datos sale la dsa y la dma que es la<br>digital mercados digitales<br>protección de datos privacy protección<br>de datos Entonces al final tienes una<br>cantidad de de normas y que tienes que<br>conocer y si no estás al día te quedas<br>fuera esto es esto Ya no esto es para<br>valientes y es fundamental que contéis<br>con asociaciones que que colaboré que<br>tengáis un compañerismo muy grande entre<br>entre entre colegas eh Y y porque Vais a<br>aportar y solucionar unas cosas eh con<br>otros así hemos sobrevivido también en<br>España<br>eh y Eduardo os lo puede decir o sea al<br>fin final<br>camos en muchas cosas muchos compañeros<br>Oye cómo hiciste Cómo arreglaste vos<br>Tengo este problema cómo lo arreglaste<br>vosotros Ah no yo así Ah y porque es que<br>si no llega un momento que no se puede<br>no se puede esto es enorme hay otras<br>veces que se puede perfectamente por<br>supuesto<br>claro perfecto Muchas gracias Y como<br>última pregunta y para ir cerrando para<br>Diego eh ves Cómo ves tú queé va a<br>ocurrir con la compra de bases de datos<br>que es una práctica muy común hasta<br>ahora pero también es una pregunta que<br>siempre sale en estas conversiones con<br>respecto a estas base de datos que no<br>siempre tien una má solicitud detrás<br>pero que se acostumbran a comprar para<br>hacer envíos de de marketing o distintos<br>fines Sí bueno la la venta de de de base<br>de datos de algo que que no ha apenado<br>por<br>eh año eh yo creo que una práctica que<br>ha ido en retirada Incluso en en en<br>nuestro país incluso sin eh eh cambio en<br>la ley de protección de datos<br>eh por por por temas relacionados con<br>regulaciones y fiscalizaciones del<br>sennac protección al consumidor y han<br>tenido que entrar otro otros organismos<br>digamos en en en escena eh creo que es<br>un tema que eh hoy en día<br>eh si bien ha ha bajado digamos eh está<br>un poco en tierra de nadie y y creo que<br>una de las cosas en que va a impactar eh<br>radicalmente la nueva ley en esta<br>práctica porque las empresas que se<br>hicieron de esas pases de datos ya no<br>las van a poder usar<br>eh Y cómo se llama estd las personas e y<br>quienes hicieron un negocio a través de<br>esto van a morir un poco lo que<br>comentaba Marc anteriormente hay<br>negocios que están destinados a morir eh<br>Y que honestamente no es malo que muera<br>es es uno de<br>ellos perfecto muchas graas por lo menos<br>morir tal y como lo están haciendo<br>reinventar No vamos a matar a<br>nadie estamos hablando de negocio No de<br>person<br>encontrará claro otr de negocio y con<br>esto queremos dar cierre al weinar<br>agradecer ites en verdad se nos pasó<br>volando el tiempo nos extendimos como<br>nunca probablemente pero se sintió muy<br>corto conversamos muchas cosas<br>respondimos la mayor cantidad de dudas y<br>recordar la gente que van a poder ver la<br>grabación en YouTube Y también si<br>quieren agendar una demo cualquier<br>consulta están los datos de lat.com<br>disponible para para atenderlo Así que<br>muchas gracias y que tengan un muy<br>bonito día ha sido un placer gracias<br>muchas an