Seminario Adecuación a la nueva Ley de Datos en Chile

Procesado: 01:02:16 652

Hacer Pregunta

Análisis

RESUMEN DEL WEBINAR SOBRE LA NUEVA LEY DE DATOS EN CHILE

Introducción

El webinar, organizado por Ley de Datos, aborda la adecuación a la nueva normativa de protección de datos personales en Chile. Ignacio Gallardo, socio fundador de Ley de Datos, presenta la empresa y sus soluciones tecnológicas para facilitar la implementación de la nueva ley, actualmente en discusión en el Congreso. Se destaca la importancia de herramientas como el mapeo de datos, registro de actividades de tratamiento, evaluaciones de impacto e inventario de activos. El objetivo es familiarizar a los profesionales con los conceptos clave de la protección de datos.

Ponentes y Temas Principales

El webinar contó con dos expositores: Yacopo Cortinavis y Cristina Faraón. Yacopo, abogado especialista en protección de datos, analizó los puntos de contacto entre el Reglamento Europeo de Protección de Datos (RGPD) y el proyecto de ley chileno, el proceso de adecuación al RGPD, los programas de cumplimiento y las acciones ante incumplimientos.

Cristina, ingeniera comercial y economista, ofreció una mirada práctica sobre la implementación de la normativa, con énfasis en los principios y las aplicaciones prácticas dentro de las organizaciones. Ambos expositores respondieron preguntas de la audiencia al final de sus presentaciones.

Puntos Clave de la Presentación de Yacopo Cortinavis

  • Introducción: Comparación de la normativa europea (RGPD) con el proyecto de ley chileno. Se mencionan los principios comunes de protección de datos.
  • Proceso de Adecuación:
    • El proceso de adecuación al RGPD fue complejo y requirió tiempo.
    • Destaca la importancia de elaborar registros de actividades de tratamiento (RAT), que son inventarios de los tratamientos de datos.
    • Se enfatiza la necesidad de evaluar los riesgos y realizar evaluaciones de impacto.
    • Destaca la importancia de auditorías y revisiones periódicas.
  • Programas de Cumplimiento: Se mencionan estándares como ISO 27001 e ISO 37301 como guías para la implementación.
  • Sanciones: Se mencionan multas significativas impuestas en Europa por incumplimiento de la normativa.

Puntos Clave de la Presentación de Cristina Faraón

  • Principios de la Ley: Revisión práctica de los principios de licitud, finalidad, proporcionalidad, calidad, responsabilidad, seguridad y transparencia, con ejemplos concretos para su aplicación.
  • Datos de Menores: Recomendaciones específicas para el tratamiento de datos de niños y adolescentes, incluyendo la importancia de la minimización de datos y el uso de políticas de privacidad claras.
  • Consejos Prácticos: Se ofrecen recomendaciones para la gestión de datos, incluyendo la devolución de información innecesaria y el conocimiento de los datos tratados.

Conclusión

El webinar concluye con un agradecimiento a los asistentes. Se anunciaron el envío del material presentado y el video del evento y se invitó a los participantes a conocer las herramientas disponibles en el sitio web de Ley de Datos.

Sabiduría

RESUMEN

Ignacio Gallardo presenta un seminario sobre la adecuación a la nueva Ley de Datos en Chile, con exposiciones de Jacobo Cortinavis y Cristina Faraón, quienes discuten la implementación de la normativa y las mejores prácticas.

IDEAS

  • Ley de Datos facilita a empresas la implementación de la nueva normativa de protección de datos personales.
  • Ley de Datos ofrece herramientas como mapeo de datos, registro de actividades de tratamiento, y evaluaciones de impacto.
  • El seminario busca acercar conceptos del ecosistema de protección de datos para su correcta implementación.
  • Jacobo expondrá sobre los puntos de contacto entre el reglamento europeo y la normativa chilena de datos.
  • Se analizará el proceso de adecuación al reglamento europeo y los programas de cumplimiento.
  • Se discutirán las acciones por incumplimiento del reglamento europeo en materia de protección de datos.
  • El foco del reglamento europeo es el tratamiento de datos personales, introduciendo nuevas obligaciones.
  • El reglamento europeo introdujo nuevas obligaciones impactando el ámbito de la protección de datos personales.
  • La normativa chilena refleja, en gran medida, los principios de protección de datos del reglamento europeo.
  • El registro de actividades de tratamiento es la piedra angular de cualquier programa de cumplimiento de datos.
  • El proyecto de ley chileno también introduce evaluaciones de impacto y responsabilidad proactiva.
  • El reglamento europeo se ha convertido en un marco de referencia para otras legislaciones, como en Costa Rica.
  • El reglamento europeo es aplicable a empresas extranjeras que prestan servicios en el espacio económico europeo.
  • El proceso de adecuación al reglamento europeo fue un desafío para muchas empresas, con plazo de adaptación.
  • La adecuación normativa requiere elaborar documentos, implementar medidas técnicas y organizativas.
  • La planificación previa es crucial, incluyendo informar a los órganos directivos y programar actividades.
  • Un cambio normativo representa un riesgo y una oportunidad para los profesionales de protección de datos.
  • Elaborar registros de actividad de tratamiento es fundamental para el cumplimiento normativo.
  • Los activos de soporte son clave para la seguridad de los datos personales.
  • Se debe valorar la posibilidad de asignar la gestión del cumplimiento a una figura específica.
  • La evaluación de impacto es esencial para determinar si un tratamiento es de alto riesgo.
  • La auditoría y revisión son necesarias para garantizar el cumplimiento constante de la normativa.
  • Identificar las actividades de tratamiento es crucial, ya que si no, la adecuación es imposible.
  • Los registros de actividad de tratamiento deben ser detallados y de alta calidad.
  • Las herramientas informáticas facilitan la elaboración y actualización de los registros.
  • La evaluación de impacto y la gestión de riesgos son relevantes en la protección de datos.
  • La normativa europea y el proyecto de ley chileno consideran estas actividades imprescindibles.
  • Definir la necesidad y proporcionalidad de los datos a recolectar minimiza el riesgo de privacidad.
  • La no anonimización de datos implica que se pueda identificar al titular si no se encriptan.
  • El programa de cumplimiento implementa estándares, como ISO y BSI, para la mejora constante.
  • Se mencionan sanciones relevantes en Europa, por ejemplo, a Meta, por incumplimiento.
  • Cristina Faraón destaca que el dato electrónico es consumido por muchas personas a la vez.
  • En este sentido, el dato es un activo que no se deprecia por su uso, sino por quedar obsoleto.
  • Cristina comparte la importancia que tiene el uso de los datos y no dañar nunca al titular.
  • Se debe identificar los datos y la legislación asociada al uso de los datos personales.
  • Cristina recalca la importancia de verificar el alcance de los consentimientos en el tratamiento de datos.
  • Bases de datos sin claridad legal de uso deben ser eliminadas del registro.
  • Es crítico registrar las revocaciones de consentimientos de los titulares de datos.
  • Se debe tener claridad de la finalidad en la recolección de datos y los usos que se le darán.
  • Involucrar al delegado de protección de datos desde el inicio de un proyecto es vital.
  • La finalidad declarada debe ser clara para evitar imprecisiones para el titular del dato.
  • Revisar periódicamente la finalidad declarada para asegurar su vigencia en el tiempo.
  • Establecer mecanismos de actualización de consentimientos en la recolección de datos personales.
  • No compartir información dentro de la organización para un uso distinto al declarado.
  • Se debe usar los datos mínimos necesarios para evitar exponer a la organización a riesgos.
  • Es esencial conocer los plazos de retención legal para cada tipo de dato personal.
  • No pedir información innecesaria, aunque se quiera mostrar una imagen de inclusión y diversidad.
  • La anonimización no es reversible; la encriptación, sí, si se posee la llave.
  • Se deben crear políticas de conservación y destrucción, incluyendo levantamiento de actas.
  • Incorporar cláusulas para que proveedores devuelvan o destruyan información y entreguen actas.
  • Se debe hacer un diagnóstico de cómo se está frente al proyecto de ley de cumplimiento.
  • Capacitar a toda la organización es fundamental para crear una cultura de protección de datos.
  • Explicar a los colaboradores el riesgo personal que asumen al tratar datos personales.
  • Clasificar los datos dentro de la organización según niveles de sensibilidad y confidencialidad.
  • Tomar en cuenta los canales de transmisión de los datos para establecer medidas de seguridad adecuadas.
  • El encargado de protección de datos debe colaborar con el encargado de seguridad de la información.
  • Establecer los derechos de acceso a la información según los roles dentro de la organización.
  • La ficha clínica con genoma humano debe estar encriptada en almacenamiento y transmisión.
  • La política de privacidad y términos de uso deben ser consistentes con la finalidad de contratación.
  • Usar un lenguaje sencillo y claro, evitando tecnicismos en la comunicación con los usuarios.
  • Deben existir cláusulas de confidencialidad en los contratos de trabajo y en los finiquitos.
  • Es necesario analizar los términos de contratación, políticas de privacidad y seguridad de los proveedores.
  • Definir cómo reaccionar ante una violación de confidencialidad, incluyendo procedimientos internos.
  • Considerar productos o servicios que recopilan datos de menores y tener especial cuidado.
  • Minimizar la recolección de datos de menores, y eliminar la información cuando ya no se requiera.
  • Declarar expresamente en la política de privacidad si se tratan datos de menores de edad.
  • La política de privacidad de Lego es un ejemplo de cómo informar a los niños.
  • Los datos de los menores de edad de los colaboradores deben ser protegidos.
  • Deben manejarse los datos de los menores de edad con un estándar ético, el interés superior.
  • No solicitar la información si no es necesaria, y devolverla al cliente si no es requerida.
  • Conocer los datos que se tratan de clientes y prospectos, que también se recaban.

INSIGHTS

  • La adaptación a la nueva ley de datos requiere un enfoque holístico, involucrando a toda la empresa.
  • El registro de actividades de tratamiento es la columna vertebral para la gestión efectiva de datos.
  • La evaluación de impacto y la gestión de riesgos son esenciales para un cumplimiento proactivo.
  • La creación de una cultura de protección de datos es tan importante como la tecnología que la sustenta.
  • Se debe priorizar la protección de datos personales, considerando el principio del interés superior.
  • Es crucial comprender el ciclo de vida de los datos, desde la captura hasta su eliminación.
  • La colaboración entre departamentos es básica, integrando protección de datos, seguridad y tecnología.
  • Las políticas de privacidad claras y accesibles fortalecen la confianza y el cumplimiento normativo.
  • El uso de herramientas informáticas es clave para una gestión eficiente y actualizada de los datos.
  • La revisión y auditoría constante de los procesos asegura el cumplimiento y la mejora continua.
  • La adaptación y actualización a las normativas de datos deben ser un proceso permanente.
  • Gestionar los datos personales implica un compromiso ético y una responsabilidad fundamental.
  • Los proveedores y socios deben ser evaluados rigurosamente para garantizar la seguridad de los datos.
  • La capacitación continua y la sensibilización son esenciales para el éxito de la protección de datos.
  • El diagnóstico proactivo y el entendimiento a la normativa son pasos clave para alcanzar la mejora.

CITAS

  • "Nuestro principal objetivo es facilitar a todas las empresas la implementación de la nueva normativa."
  • "El reglamento europeo se ha transformado en un marco de referencia para otros ordenamientos jurídicos."
  • "El hecho de no identificar una actividad de tratamiento conlleva la imposibilidad de cumplir la normativa."
  • "Es muy importante llevar a cabo esta actividad de forma detallada y con mucha atención a la calidad."
  • "La seguridad del dato depende de los activos de soporte que intervienen en el tratamiento."
  • "Es un documento básico e imprescindible para garantizar el cumplimiento normativo dentro de la organización."
  • "La normativa en materia de protección de datos la europea y el proyecto de ley chileno basan estas actividades."
  • "Estamos hablando de un nuevo concepto, pero sí bastante nuevo, si se aplica a la normativa materia de datos."
  • "Las empresas han apostado bastante por el cumplimiento en protección de datos."
  • "El principio de licitud es fundamental para el tratamiento de los datos personales."
  • "Hoy día debería ser un registro que tengo y eliminar aquellas bases respecto a las cuales no tengo el principio."
  • "La finalidad declarada tiene que ser completa y evitar generalizaciones o imprecisiones."
  • "Hay que tener claridad del uso que voy a hacer con la información personal."
  • "Yo tengo que acostumbrarme dentro de las organizaciones a pedir lo mínimo necesario."
  • "La anonimización no es reversible, una vez que anonimizo el dato no hay forma de volver atrás."
  • "Se deben incorporar cláusulas en los contratos con proveedores que accedan a la información personal."
  • "Se está definiendo a priori cómo se va a reaccionar cuando tengamos una violación de confidencialidad."
  • "La calidad del dato se mantiene a través de todo el ciclo de vida del dato".
  • "Realmente es el énfasis, hay que capacitar a toda la organización".
  • "Tenemos que garantizar que estamos protegiendo los datos que tenemos adecuadamente".
  • "El encargado de protección de datos a mí siempre me gusta decir que es primo hermano del encargado de seguridad".
  • "Bajo la ley en chile y en sencillo, para no ofender a los titulares, que se entienda".

HÁBITOS

  • El cumplimiento normativo requiere una planificación y un diagnóstico exhaustivo y proactivo.
  • Jacob hace énfasis en la importancia de la planificación antes del nuevo cumplimiento.
  • Se debe analizar y revisar el cumplimiento a través de evaluaciones de impacto.
  • Jacobo recomienda llevar a cabo una revisión del cumplimiento anual y constante.
  • Cristina insiste en la importancia de capacitar, capacitar y capacitar a la organización.
  • Se debe identificar y clasificar los datos sensibles de la organización.
  • Las empresas con más de 250 empleados son obligadas a tener un registro de datos.
  • Se deben establecer los derechos de acceso a la información segmentado por roles.
  • Jacobo aconseja actualizar el registro cada vez que hay un nuevo tratamiento.
  • Cristina recomienda revisar continuamente la finalidad del uso de los datos.
  • Jacobo aconseja la auditoría para verificar y mejorar el sistema de datos.
  • Hay que establecer mecanismos de actualización de datos de forma periódica.
  • Cristina recomienda no pedir información que no sea necesaria ni útil para el fin.
  • Es esencial incluir cláusulas de confidencialidad en contratos laborales.
  • Es necesario involucrar al delegado de protección de datos desde el inicio.

HECHOS

  • La nueva Ley de Datos en Chile busca modernizar la normativa actual, datada de los años 90.
  • El reglamento europeo en materia de protección de datos entró en vigor en el año 2018.
  • El reglamento europeo es un instrumento jurídico directamente aplicable en la UE.
  • En España, la Ley Orgánica de Protección de Datos regula el tratamiento de datos personales.
  • El reglamento europeo exige tener un registro de actividades de tratamiento.
  • Las evaluaciones de impacto y la responsabilidad proactiva son novedades del reglamento europeo.
  • El reglamento europeo ha creado un marco de referencia para otras legislaciones.
  • El artículo 3 del reglamento europeo se aplica a empresas fuera del espacio económico europeo.
  • Muchas empresas europeas iniciaron proyectos de adecuación en los últimos meses de 2017.
  • La adecuación al reglamento europeo conlleva muchas actividades y la implementación de medidas.
  • El proyecto de ley chileno no prevé la figura del delegado de protección de datos explícitamente.
  • El registro de actividades de tratamiento es un inventario básico de los datos internos.
  • El artículo 30 del reglamento europeo define los elementos básicos de un registro de actividades.
  • La agencia española de protección de datos española define parámetros ante la información.
  • La norma ISO 29.139 define directrices para llevar a cabo la evaluación de impacto.
  • El artículo 5 y 24 del reglamento europeo obligan la implementación de un programa de cumplimiento.
  • Meta fue sancionada con 1200 millones de euros por incumplimiento del reglamento.
  • En Chile, el proyecto de ley establece la responsabilidad legal de cumplir los principios.
  • La ficha clínica tiene que estar guardada quince años desde el último registro.
  • El grupo Facebook es sancionado por incumplimiento de protección de datos.
  • La ficha clínica que contiene genoma humano debe de ser encriptada.
  • El delegado de protección de datos y el encargado de seguridad deben trabajar en coordinación.
  • El reglamento y proyecto de ley en Chile, tienen una mirada europea.

REFERENCIAS

  • Ley de Datos, empresa que facilita la implementación de la nueva normativa chilena.
  • Reglamento Europeo de Protección de Datos (RGPD).
  • Ley Orgánica de Protección de Datos y garantía de derechos digitales (España).
  • ISO 26701, estándar para la implementación de programas de cumplimiento.
  • ISO 37301, norma para implementar programas de cumplimiento.
  • Comité Europeo de Protección de Datos (CEPD).
  • Autoridad de Control Española (AEPD).
  • Normas ISO (varias).
  • Página web de ley de datos y herramientas sobre protección de datos.
  • Enlace a la política de privacidad de Lego.

CONCLUSIÓN EN UNA FRASE

La adaptación a la nueva ley de datos requiere un enfoque holístico, planificación, registros, capacitación y mejora continua.

RECOMENDACIONES

  • Elabore registros de actividades de tratamiento para un cumplimiento normativo adecuado.
  • Evalúe los impactos y gestione los riesgos asociados al tratamiento de datos.
  • Implemente una cultura de protección de datos a través de capacitaciones constantes.
  • Asegúrese de comprender el ciclo de vida completo de los datos personales.
  • Involucre activamente a la figura del Delegado de Protección de Datos.
  • Clasifique sus datos según su sensibilidad para optimizar las medidas.
  • Implemente políticas para la seguridad y el tratamiento de datos sensibles.
  • Use lenguaje claro y sencillo en sus políticas de privacidad.
  • Realice revisiones y auditorías periódicas para asegurar el cumplimiento.
  • Evalúe y seleccione cuidadosamente a sus proveedores de servicios.
  • Considere la anonimización y encriptación de los datos como medidas clave.
  • Actualice los registros de actividades de tratamiento de forma regular.
  • Priorice el interés superior del niño al manejar sus datos.
  • No acumule datos innecesarios para minimizar riesgos.
  • Verifique el alcance del consentimiento y revóquelo.

Sabiduría PRO DeepSeek V3

Análisis más profundo usando un modelo de IA avanzado. Genera insights más detallados y refinados.

bueno se sigue conectando gente<br>vamos a esperar un poco<br>Perfecto<br>Bueno vamos a partir primero que todo<br>Muy buenos días a todos y bienvenidos a<br>este el primer webinar organizado por<br>ley de datos sobre proceso de adecuación<br>a la nueva normativa de protección de<br>datos y su implementación al interior de<br>las empresas<br>saludamos a todos Quienes se encuentran<br>conectados el día de hoy y nos acompañan<br>en este evento el cual hemos organizado<br>para todos los profesionales interesados<br>en la protección de datos personales me<br>presento mi nombre es Ignacio Gallardo<br>soy abogado máster en derecho digital y<br>uno de los socios fundadores de la ley<br>de datos en primer lugar para quienes<br>recién nos están conociendo quisiera<br>comentarles que ley de datos es una<br>empresa<br>que desarrolla soluciones tecnológicas<br>relacionadas con el tratamiento de los<br>datos personales nuestro principal<br>objetivo es facilitar a todas las<br>empresas la implementación de lo que es<br>la nueva normativa de protección de<br>datos personales<br>que como muchos de Ustedes sabrán se<br>encuentra actualmente en discusión en el<br>congreso un proyecto de ley que busca<br>reformar la actual normativa y<br>ordenamiento jurídico chileno el cual<br>Data de los años 90 para efectos de<br>llevarlo a estándares internacionales<br>como los que realizaremos más adelante<br>por lo mismo nuestro principal objetivo<br>es facilitar a todas las empresas la<br>implementación de esta nueva normativa y<br>Contamos con herramientas tales como por<br>ejemplo el mapeo de datos el registro de<br>actividades de tratamiento<br>el Las evaluaciones de impacto los<br>inventarios de activos entre otras<br>herramientas Así mismo dentro de nuestro<br>propósito como empresa se encuentra<br>precisamente<br>el acercar a todos ustedes los<br>diferentes conceptos que envuelven el<br>ecosistema de la protección de datos<br>personales a fin de que se puedan<br>familiarizando y profundizando en estos<br>conceptos para efectos de que ustedes<br>también a su vez puedan implementarlos<br>en sus respectivas organizaciones<br>dicho esto estamos muy contentos primero<br>porque tenemos una gran convocatoria el<br>día de hoy Y en segundo lugar porque<br>Contamos con la presentación de dos<br>grandes exponentes<br>ya poco cortinavis y Cristina faraón<br>quienes ya se encuentran conectado y<br>aprovecha también de saludarlos<br>también comentarles que con Contamos con<br>un link que se encuentra en el chat de<br>de la plataforma en el cual Ustedes<br>pueden ir ingresando sus preguntas las<br>cuales contestaremos también Al final de<br>la exposiciones<br>también pueden enviar sus preguntas por<br>el chat de zoom las cuales las<br>revisaremos y se la daremos también a<br>los expositores<br>Pues bien en honor al tiempo dejo con<br>ustedes a nuestro primer expositor él es<br>abogado especialista en protección de<br>datos gestión de riesgos y con playas<br>actualmente es gerente de exits y<br>también es docente en distintas<br>universidades e instituciones de España<br>además es miembro del comité técnico<br>uner sobre el sistema de gestión de<br>cumpleaños y del comité técnico hizo<br>sobre gobernanza de la organización<br>dejo con ustedes entonces a yacopo quien<br>ha venido especialmente el día de hoy a<br>exponer a todos ustedes<br>perfecto muchas gracias Ignacio por la<br>presentación y la verdad que<br>es un placer compartir con vosotros y<br>con todos los asistentes<br>Bueno este gran cambio normativo que<br>va a conllevar la entrada de vigor de la<br>de la nueva normativa chilena en materia<br>de protección de datos básicamente mi<br>intervención se va a centrar en cuatro<br>puntos un primer<br>una primera introducción sobre los<br>puntos de contacto entre<br>el reglamento europeo en materia de<br>protección de datos y normativa<br>el proyecto de normativa chilena materia<br>de protección de datos después un<br>análisis del proceso de adecuación a<br>reglamento<br>europeo en materia de protección de<br>datos es decir todas las actividades que<br>han tenido que llevar a cabo las<br>empresas europeas para adaptarse a este<br>nuevo marco normativo Espero que este<br>punto sea de interés Porque<br>en mi opinión muchas de las dudas que<br>se están generando a fecha de hoy en<br>Chile sobre el proceso de adecuación<br>quizás a través de la revisión de<br>de este punto ya se podrán solucionar o<br>simplemente<br>básicamente compartir la experiencia<br>europea puede ser un buen Punto de<br>partida el tercer punto<br>analizaremos muy brevemente<br>los programas de cumplimiento en materia<br>de protección de datos que es uno de los<br>grandes cambios que también en este caso<br>plantea<br>Aunque en forma indirecta el reglamento<br>europeo de protección de datos Y por<br>último<br>considero importante también indicar<br>las principales acciones que han en<br>Europa<br>vinculadas al incumplimiento de<br>reglamento europeo Bueno antes de<br>empezar a revisar los puntos de contacto<br>y después el proceso de adecuación que<br>en mi opinión es la fase más interesante<br>de esta presentación es importante tener<br>presente un poco la normativa Europea de<br>referencia en este caso nos estamos<br>refiriendo a reglamento europeo en<br>materia de protección de datos que ha<br>sido aprobada en el 2016 y ha entrado en<br>vigor en el 2018 y como veremos más<br>adelante lo que ha hecho el legislador<br>europeo ha sido dejar a las empresas<br>europeas<br>un margen de tiempo para adecuarse un<br>poco las etapas que<br>las empresas europeas han dado para<br>adecuarse a la a la a la normativa<br>europea un aspecto importante que hay<br>que tener presente para entender un poco<br>el contexto normativo es que<br>el reglamento europeo es un instrumento<br>jurídico europeo es bastante eficaz<br>porque son normas que son directamente<br>aplicables en todos los<br>estados europeos a diferencias de las<br>directivas que necesitan una<br>transposición al nivel local<br>a nivel europeo También es importante<br>tener presente que además de<br>reglamento europeo en materia de<br>protección de datos los diferentes<br>países que componen la Unión Europea<br>también han aprobado normativas locales<br>que<br>cuyo objetivo es un poco integrar el<br>texto europeo estamos hablando de una<br>norma europea bastante importante<br>son un total de 90 artículos y más de<br>170 considerandos Entonces estamos<br>hablando de una normativa que introduce<br>bueno ha introducido en su día<br>nuevas obligaciones para<br>y cómo se estaba comentando además a<br>nivel local español<br>contamos también con la normativa local<br>que es la Ley Orgánica de protección de<br>datos y garantía de derechos digitales<br>que es la Norma que junto con el<br>reglamento europeo regula el tratamiento<br>de dos personales aquí en cuanto a la<br>Norma española por vuestro por vuestra<br>información tener en cuenta que la<br>normativa llega a regular también los<br>derechos digitales de la de las personas<br>y en particular<br>también los derechos digitales de los<br>trabajadores para que veáis un poco<br>indicó esto para que veáis un poco la<br>diferencia entre el reglamento y después<br>normativas locales y todo esto bueno<br>básicamente tras una breve revisión del<br>proyecto de ley en este caso<br>se han Bueno he podido detectar<br>diferentes puntos de contacto en este<br>caso me refiero por ejemplo aquí lo que<br>he hecho ha sido indicar un poco los<br>puntos de contacto los principios en<br>materia de protección de datos son los<br>mismos la comparativa es siempre con el<br>reglamento europeo el principio del<br>instituto transparencia limitación de la<br>finalidad minimización plazo de<br>conservación que esto ya para entrar un<br>poco en el contenido el principio<br>vinculado a la limitación del proceso de<br>conservación es decir que los datos<br>personales<br>se tienen que tratar solo el plazo de<br>tiempo necesario para conseguir la<br>finalidad por el cual se tratan y<br>después hay que borrarlos es uno de los<br>principios de las obligaciones que<br>incluso a las empresas europeas está<br>costando más implementar<br>bueno las obligaciones vinculadas a las<br>variedades y tú Aquí indicar que<br>tanto la normativa chilena como la<br>oportunidad normativa europea introduce<br>la nueva base del instituto que es de<br>interés legítimo y para que<br>podáis tener un poco constancia de la<br>situación en Europa el uso de la base<br>legítima está generando bastante dudas<br>de hecho ha sido objeto de sanción por<br>parte diferente es<br>autoridades de control en cuanto es un<br>uso apropiado las condiciones para el<br>consentimiento son las mismas de verte<br>informar los derechos de los interesados<br>hay diría una total coincidencia entre<br>normativa Europea y<br>y proyecto de ley chileno Y en este caso<br>sí que un aspecto bastante importante<br>que<br>también indicado iñaz en su presentación<br>que en este caso sí que la normativa<br>europea prevé la obligación de tener un<br>registro de actividades de que no es<br>otra cosa que un inventario de los<br>tratamientos llevados a cabo por parte<br>de la de responsable de carrera de<br>tratamiento y por otro lado la la<br>normativa el proyecto de ley chilena ya<br>veremos más adelante que en realidad a<br>pesar de no ser un documento obligatorio<br>en base al proyecto de ley chileno y<br>Incluso en base a reglamento europeo la<br>obligación de tener un registro de<br>actividades de tratamiento<br>solo para las empresas con más de 250<br>empleados a pesar de esto ya veremos<br>como<br>los inventarios tanto de activos de<br>soporte como<br>del tratamiento de datos se representan<br>la piedra angular diría de cualquier<br>sistema de cumplimiento programa de<br>cumplimiento en materia de protección de<br>datos y sin duda alguna es una actividad<br>que hay que llevar a cabo Sí o sí de<br>hecho es la primera actividad que hay<br>que llevar a cabo para normativa y<br>también indicar que otros puntos de<br>contacto muy relevantes que representan<br>también una de las principales novedades<br>de reglamento europeo<br>que han sido introducidas en su día en<br>el 2018<br>son las cuestiones vinculadas a la<br>evaluaciones de impacto y<br>responsabilidad proactiva en gestión de<br>riesgos entonces para concluir y sin<br>entrar demasiado en detalle<br>la por el momento el proyecto de ley<br>chileno<br>introduce básicamente casi las mismas<br>obligaciones prevista por reglamento<br>europeo aquí indicar que<br>es un fenómeno bastante difundido el<br>hecho de que el reglamento europeo tras<br>su entrada en vigor en Europa en el 2018<br>se ha transformado como un marco de<br>referencia para otros ordenamientos<br>jurídicos por ejemplo también<br>para que veáis un poco la fuerza que<br>tiene esta territorial también el<br>reglamento europeo en Costa Rica se está<br>debatiendo sobre la modificación de la<br>normativa local y también en este caso<br>se ha escogido como modelo como marco de<br>referencia reglamento europeo el<br>reglamento europeo además es muy<br>importante para todas aquellas empresas<br>extranjeras establecidas fuera de<br>de del espacio económico europeo que<br>pero este prestando servicio interesados<br>ubicados en espacio económico propio<br>Aquí es importante tener en cuenta que<br>en base artículo 3 de reglamento europeo<br>y el reglamento europeo resulta<br>aplicable no solo a las empresas<br>ubicadas en Europa sino también a<br>aquellas empresas ubicadas fuera del<br>espacio económico europeo pero que esté<br>prestando servicios interesados ubicados<br>en el espacio<br>económico europeo y de aquí también la<br>obligación para estas empresas<br>extranjeras que prestan servicios para<br>interesados ubicados en la Unión Europea<br>la obligación de nombrar un<br>representante local<br>bueno dicho lo siguiente<br>ahora lo que me parece interesante<br>plantear es un poco Cómo llevar a cabo<br>el proceso de adecuación eso Porque es<br>importante porque como os comentaba el<br>reglamento europeo<br>y había dejado a las empresas europeo un<br>plazo de dos años para adecuarse y aquí<br>la verdad que para que compartir con<br>todos los asistentes un poco el proceso<br>de acción europeo indicar que el proceso<br>de adecuación en Europa ha costado<br>bastante las empresas de hecho a pesar<br>de tener estos dos años de margen para<br>adaptarse la nueva normativa la mayoría<br>de empresas<br>han empezado los proyectos de adecuación<br>Durante los últimos meses<br>del 2017 y los primeros meses del 2020 y<br>indicar que<br>tanto los años 2019 2020<br>[Música]<br>la mayoría de empresas<br>de alguna forma ya expresaban un poco su<br>preocupación a la adecuación a la<br>normativa Europea y en las dificultades<br>que esta devoción estaba planteando<br>en cuanto al proceso de adecuación<br>indicaros que<br>y que hablamos un poco del reglamento<br>europeo<br>claro es un proceso de adecuación<br>bastante complejo porque como podemos<br>ver en esta en estas conlleva la<br>necesidad de llevar a cabo muchas<br>actividades elaborar muchos documentos<br>implementar diferentes medidas<br>organizativas y técnicas para cumplir<br>con la normativa Entonces esto el<br>proceso de adecuación dependiendo<br>claramente del tamaño de la empresa va a<br>ser un proceso bastante largo las<br>empresas deberán aquí os pongo un poco<br>listado no exhaustivo de las actividades<br>y documentos que deberán<br>elaborarse elaborar un rastro encargado<br>y responsable elaborar políticas de<br>protección de datos una política de<br>conservación de los datos medidas<br>técnicas para borrar los datos de forma<br>segura<br>protocolos internos para la gestión de<br>brechas de seguridad la gestión de<br>derechos se encargado la gestión de los<br>encargados del tratamiento<br>una cheque lista para verificar la<br>prioridad de interés legítimo protocolos<br>y políticas de privacidad por diseño por<br>defecto que es una de la<br>grandes cambios introducido por el<br>reglamento europeo y también que figura<br>en el proyecto de ley chileno la figura<br>del delegado de protección de datos que<br>a diferencia del proyecto de ley chileno<br>en Europa es obligatorio esta figura en<br>determinados Opuestos la definición de<br>programas de auditorías de cierto el<br>proceso de adecuación a la reglamento<br>ha conllevado muchos esfuerzos a las<br>empresas debido a que dichas empresas<br>han tenido que implementar un conjunto<br>de medidas organizativas y técnicas para<br>cumplir con los principios en materia de<br>protección de datos y toda la parte de<br>seguridad de los datos que también en<br>este caso el proyecto de ley chileno<br>recoge su texto entonces la primera<br>pregunta que nos podríamos plantear por<br>dónde empiezo aquí indicar que<br>básicamente para<br>adecuarse correctamente a la normativa<br>es muy importante llevar a cabo una<br>actividad previa de planificación tanto<br>que tanto para las empresas más<br>estructuradas y más maduras quizás en<br>materia de protección de datos como las<br>empresas más pequeñas<br>en cuanto a la planificación me refiero<br>a sobre todos los profesionales que<br>[Música]<br>se dedican a protección de datos dentro<br>de las empresas la necesidad de informar<br>a los órganos directivos de básicamente<br>la futura entrada en vigor de esta<br>normativa y también la necesidad de<br>planificar un poco las actividades de<br>adecuación que<br>ahora os indicaré aquí el tema muy<br>importante que para un poco compartir<br>también la experiencia europea la un<br>cambio normativo tan relevante<br>representa tanto riesgo es decir que<br>básicamente se introducen nuevas<br>obligaciones que la empresa tiene que<br>cumplir materia de protección de datos<br>probar es presentar también a gran<br>oportunidad para todos aquellos<br>profesionales que se dedican protección<br>de datos Y es un poco bueno la<br>experiencia europea que a partir de la<br>entrada en vigor de reglamento europeo<br>también<br>las empresas han apostado bastante para<br>el cumplimiento protección de datos y<br>han empezado a aparecer figuras como la<br>del delegado de protección de datos que<br>antes de la entrada en vigor de<br>reglamento europeo no existían entonces<br>para explicar muy brevemente los pasos<br>que hay que dar para adecuarse a la<br>normativa materia de protección de datos<br>que sea tanto europea como en este caso<br>chilena el primer paso que hay que dar<br>ahora veremos un poco la importancia es<br>elaborar los registros de actividad de<br>tratamiento vuelvo a decir a pesar de<br>que quizás el proyecto de ley chileno en<br>este momento no prevea la figura Ok este<br>documento Pero así como veremos más<br>adelante es un documento básico y<br>imprescindible para garantizar el<br>cumplimiento<br>dentro de la organización de la<br>normativa materia de protección de datos<br>por registros se entiende básicamente un<br>inventario de las actividades de<br>tratamiento llevadas a cabo y también de<br>los activos de soporte que se utilizan<br>para a los datos personales los activos<br>de soporte es muy importante<br>identificarlos puesto que<br>la seguridad del dato depende de las<br>medidas de seguridad<br>implementadas de los activos de soporte<br>que se utilizan para tratar los datos<br>Okay entonces después de esta primera<br>fase de inventario de activos y de<br>actividades de tratamiento<br>el siguiente paso sería la en este caso<br>para para en base al proyecto de ley<br>chileno que es verdad no previene la<br>figura del delegado de protección de<br>datos pero lo que deberían hacer los<br>organizaciones es la valorar la<br>posibilidad de encomendar un poco la<br>gestión del cumplimiento en materia de<br>protección de datos a una figura interna<br>o a un departamento incluso Ok después<br>después a ver elaborado los registros<br>definido quién se va bueno como os<br>comentaba en Europa la figura que se va<br>a encargar un poco de la gestión del<br>cumplimiento en materia de protección de<br>datos es el delegado Data protección<br>oficial delegado de protección de datos<br>Pero esto no quita el hecho de que<br>aunque el proyecto de ley chileno no<br>haga referencia esta figura la necesidad<br>para garantizar el cumplimiento<br>normativo dentro de la Organización de<br>identificar un área una función<br>específica<br>competente en materia de protección de<br>datos el siguiente paso después sería<br>verificar la necesidad de realizar una<br>evaluación de impacto Y en este caso sí<br>que<br>hay una completa coincidencia entre<br>proyecto de ley chileno y el reglamento<br>europeo que hay es decir hay que hacer<br>una valoración previa a efectos de<br>valorar si él los tratamientos que está<br>llevando a cabo la organización son<br>tratamientos de alto riesgo y de esto<br>llevar a cabo una evaluación de impacto<br>una gestión de riesgo ordinaria<br>implementar todas las medidas<br>organizativas y técnicas que hemos<br>brevemente revisado antes y después otro<br>factor muy importante la actividad de<br>auditoría y revisión esto porque porque<br>la única forma para garantizar un<br>cumplimiento constante de la de la<br>normativa es llevar a cabo una actividad<br>de revisión que<br>básicamente los instrumentos principales<br>de la actividad de revisión son<br>auditorías internas eso es importante<br>indicar que<br>básicamente lo que hay que hacer No es<br>solo averiguar sino adecuar mantener<br>revisar y<br>básicamente garantizar y mejorar el<br>sistema de cumplimiento en materia de<br>protección de datos<br>bueno entrando un poco más en detalle<br>analizaremos solo brevemente la figura<br>de los registros y su importancia dentro<br>de lo que es el cumplimiento de materia<br>de protección de datos y de Las<br>evaluaciones de impacto Porque es<br>importante<br>elaborar los inventarios o que hay<br>inventarios o también llamado registro<br>de actividades de tratamiento porque el<br>hecho de no identificar una actividad de<br>tratamiento que se está llevando a cabo<br>dentro de la organización conlleva la<br>imposibilidad de llevar a cabo<br>correctamente el proceso de adecuación y<br>cumplir con la normativa aquí para que<br>tengas un poco una referencia<br>la reglamento europeo sí que defiende un<br>poco los elementos básicos que tienen<br>que figurar en el rap y en este caso el<br>artículo 30 del reglamento europeo hace<br>referencia por ejemplo a una breve<br>descripción el tratamiento la finalidad<br>la base de licitud<br>los destinatarios sean tanto otro<br>responsable de tratamiento en<br>tratamiento<br>la la si en el tratamiento se llevan a<br>cabo transferencias internacionales eso<br>es importante bueno decir y es básico y<br>diría que como has comentado antes un<br>poco la piedra angular de todo el<br>sistema de cumplimiento y del<br>cumplimiento en materia de protección de<br>datos en general los registros de<br>actividad de tratamiento que consiste<br>básicamente saber aquí os he puesto una<br>imagen que sirva un poco para expresar<br>este concepto y la importancia de rat<br>saber lo que tiene una casa okay sí no<br>hago correctamente un inventario<br>registro de actividades de tratamiento<br>no podré llegar a gestionar<br>correctamente los riesgos que afectan a<br>las actividades de tratamiento que estoy<br>llevando a cabo y otro tema muy<br>importante<br>siempre volviendo un poco a la<br>experiencia europea es muy importante<br>llevar a cabo esta actividad<br>de forma<br>detallada y también con mucha atención a<br>la calidad de la información recogida<br>esto es un consejo que os doy porque<br>viendo un poco la experiencia europea<br>muchas empresas y estoy hablando también<br>de empresas de<br>Gran tamaño han tenido después de la<br>entrada en vigor del reglamento europeo<br>y estoy hablando del<br>2019-2020 volver a elaborar los<br>registros de actividades de tratamiento<br>puesto que en su día cuando Se<br>realizaron el 2017 principios del 2018<br>no se habían laborado con la suficiente<br>calidad aquí un tema muy importante que<br>como os comentaba antes en el registro<br>de actividades de tratamiento o como<br>documento separado hay que identificar<br>también los activos de soporte eso es<br>importante porque la seguridad del dato<br>depende de los activos de soporte que<br>intervienen en el tratamiento y vuelvo a<br>decir errata<br>que en Europa la normativa requiere<br>elaborar un redacto de responsabilidad<br>de tratamiento una vez encargado es un<br>elemento imprescindible para cumplir con<br>la normativa y también gestionar los<br>riesgos para la seguridad de los datos<br>Entonces cómo se elaboran los gastos el<br>objetivo es claramente identificar todas<br>las actividades de tratamiento llevado a<br>cabo por la organización mi consejo es<br>partir del organigrama de la sociedad<br>identificar los tratamientos por proceso<br>es decir al entrar en el área del<br>recurso humano y identificar los<br>tratamientos por proceso<br>Selección del personal contratación<br>elaboración de nóminas<br>hay efectos de identificar aquellos<br>procesos internos que tratan datos<br>personales eso es bastante útil y eficaz<br>el hecho de identificar los tratamientos<br>en base a los procesos internos de la<br>organización Cómo se identifican los<br>tratamientos a través de reuniones<br>internas con el personal o simplemente<br>también a través de check lista para<br>compartir un poco la experiencia europea<br>que se envían a las diferentes áreas y<br>permiten<br>mapear los tratamientos y aquí una<br>elemento muy importante<br>el hecho de utilizar herramientas<br>informáticas que permitan elaborar y<br>mantener actualizador<br>como os comentaba antes<br>una de las áreas de cumplimiento que ha<br>generado más problemas para las<br>organizaciones ha sido la elaboración de<br>los relatos y un poco en base a mi<br>experiencia las empresas quizás de un<br>determinado tamaño incluso que desde el<br>principio han implementado herramientas<br>informáticas para<br>elaborar los han tenido ventajas<br>bastante relevantes en lugar de decir<br>elaborar ficheros ofimáticos Word o<br>Excel bueno pasando un poco al siguiente<br>tema que<br>considero importante plantear<br>ahora hablaremos brevemente la<br>evaluaciones de impacto y gestión de<br>riesgos esto por qué Porque en base al<br>proyecto de ley chileno y también Así ha<br>sido para el reglamento europeo se trata<br>de una de los cambios más relevantes<br>en materia de protección de datos<br>básicamente<br>porque suenen tan importantes esas<br>actividades porque la normativa en<br>materia de protección de datos la uropia<br>y incluso ahora el proyecto de ley<br>chileno vas a Estas actividades como<br>imprescindibles para<br>cumplir con la normativa entonces para<br>que vea ese rápidamente un poco la<br>actividad de<br>de que hay que llevar a cabo vinculación<br>de impacto es cuando de nuevo<br>tratamiento hay que valorar si estamos<br>en una situación de alto riesgo y si<br>estamos en una situación de alto riesgo<br>de impacto Esto es lo que llamamos bueno<br>en Europa es un poco la evaluación<br>objetiva En qué consiste una evaluación<br>de impacto aquí la verdad es que el<br>reglamento europeo es bastante claro<br>sobre este punto consiste en llevar a<br>cabo una descripción detalla del<br>tratamiento valorar la necesidad de<br>proporcionalidad evaluar evaluar los<br>riesgos que afectan al tratamiento aquí<br>indicar que la agencia española por<br>ejemplo ha indicado que existen<br>diferentes riesgos<br>que afectan los tratamientos riesgo para<br>asegurar los datos de incumplimiento y<br>para los derechos y libertades aquí<br>también os he puesto alguna referencia<br>de guía tanto de la autoridad de control<br>española como del comité europeo de<br>protección de datos que facilitan<br>directrices para llevar a cabo la<br>evaluación de impacto y también una<br>norma ISO la 29.139 que que básicamente<br>Define directrices para llevar a cabo<br>evaluaciones de impacto bueno aquí<br>concluyo sobre los programas de<br>cumplimiento en materia de protección de<br>datos básicamente aquí<br>estamos hablando de un nuevo concepto<br>Bueno en realidad tampoco muy nuevo pero<br>sí bastante nuevo si se aplica a la<br>normativa materia de protección de datos<br>aquí indicar que sobre todo el<br>reglamento europeo obliga de facto a<br>todas siempre responsables en claro el<br>tratamiento ha implementar un programa<br>de cumplimiento esto porque el artículo<br>5 de 24 del reglamento europeo obliga a<br>la responsabilidad encargado del<br>tratamiento cumplir con la normativa<br>el por gran problema que tenemos es que<br>tanto la ropa como en el proyecto de ley<br>chileno que no se facilitan directrices<br>para<br>implementar un sistema de un programa de<br>cumplimiento y por este motivo lo que os<br>propongo en estas light son algunos<br>estándares de referencia que se pueden<br>utilizar para<br>implementar un programa de cumplimiento<br>aquí Me refiero a un estándar inglés que<br>el bce 2012 a la más conocida ISO 26701<br>y también a la ISO 37.301 que es una<br>norma de que permite implementar<br>programas de cumplimiento sistema de<br>cumplimiento que pueden ser aplicados<br>también a protección de datos aquí<br>termino pido disculpas que me he<br>alargado un poco indicando que<br>tras la entrada en vigor del reglamento<br>europeo en Europa han habido sanciones<br>muy relevantes Para que veas un poco el<br>impacto que va a tener que ha tenido y<br>que tendrá el futuro también la<br>normativa chilena pero a las empresas en<br>Europa<br>se ha Interpuesto una sanción hace unos<br>meses a meta al grupo Facebook para<br>llamarlo así de 1200 millones de euros<br>Ok y en España por ejemplo el sector más<br>al sector bancario y en los últimos años<br>se han Interpuesto sanciones bastante<br>relevantes y incluso por no haber<br>elaborado correctamente una evaluación<br>de impacto Okay Es verdad que la mayoría<br>de sanciones están vinculadas en<br>cumplimientos del deber de deber de<br>informar pero también<br>han habido últimamente también sanciones<br>por el hecho de o no haber elaborado una<br>evaluación de impacto o no no haberla<br>elaborado correctamente y incluso por<br>incumplimiento de el principio principal<br>de<br>aquí en la ppt que pasaré a Ignacio Pues<br>también algunos links de interés al<br>comité europeo de protección de datos o<br>la autoridad francesa española<br>las normas ISO y bueno con esto<br>básicamente termino<br>indicando un poco eso la importancia o<br>decir de en el proceso de adecuación por<br>un lado de planificar correctamente esta<br>actividad y por otro lado de como primer<br>paso<br>imprescindible elaborar los registros de<br>actividades de tratamiento y Bueno<br>aquí termino Ignacio y os dejo la<br>palabra Muchas gracias Jacobo muy<br>completa tu presentación vemos Que<br>resulta una tarea titánica al parecer la<br>implementación de de todo lo que es la<br>normativa de protección de datos al<br>interior de la empresa Pero no ha<br>ordenado bastante la idea y no ha podido<br>orientar un poco de cómo es este proceso<br>así que te agradecemos<br>bueno siguiendo con las presentaciones<br>viene ahora la exposición de Cristina<br>farah ella es ingeniero comercial<br>economista y máster en derecho a los<br>negocios diploma planes y gobierno<br>corporativo<br>ejecutiva sen ior una destacada con una<br>destacada trayectoria de más de 25 años<br>la industria financiera y en consultoría<br>es especialista en temas de cumplimiento<br>con efa sin protección de datos<br>personales una mirada transversal y<br>práctica a las organizaciones<br>actualmente está a cargo de Data<br>complains en una empresa una destacada<br>empresa chilena dejo con usted a<br>Cristina Muchas gracias Cristina<br>perfecto me pueden avisar si ven la<br>pantalla por favor<br>Sí se ven perfecto primero agradecer a<br>Sergio a Rodrigo y a Ignacio de la por<br>la invitación a participar y a estar hoy<br>día con ustedes y también agradecerle a<br>los asistentes que nos están acompañando<br>la idea de mi presentación hoy día es<br>bastante práctica Espero que les<br>que les resulte Útil para poder adecuar<br>o poner énfasis en algunos temas dentro<br>de la de la organización<br>alguna consideraciones iniciales que<br>quisiera compartir tiene que ver con Qué<br>es un dato pero pero no no en lo medular<br>del dado sino algunas características<br>del dato electrónico No no el físico<br>a mí me gusta mucho esta reflexión que<br>el dato dentro de la organización es un<br>activo cualquiera los dos en papel o<br>electrónico digamos pero el electrónico<br>tiene una característica Y es que puede<br>ser consumido por muchísimas personas a<br>la vez por lo tanto a diferencia de otro<br>tipo de activo que tiene la organización<br>si tienen alguna retroexcavadora solo la<br>puedo usar en una faena y no la puedo<br>estar usando sin simultáneamente en<br>distintas faenas a la vez y otra<br>característica que tiene es que incluso<br>me lo pueden robar y yo no darme cuenta<br>de ello no lo pierdo porque alguien me<br>lo está robando es un activo que no se<br>deprecia por por consumirlo sino que se<br>deprecia por ir quedando obsoleto y es<br>importante conocer el dato<br>en todo el ciclo de vida desde que yo<br>capturo el dato hasta que lo elimino<br>porque en la medida que conozco el dato<br>y mantengo la calidad del dato mantengo<br>el valor que va a generar en la<br>organización<br>y una consideración ética que tiene el<br>uso del dato es que no debemos dañar<br>nunca Al titular del dato nosotros<br>hacemos uso de la información personal<br>pero no debemos<br>dañar cierto Al titular del dato del<br>mismo<br>Vamos a repasar brevemente los<br>principios que tiene el el la ley y el<br>proyecto de ley chileno pero con énfasis<br>a Qué significa esto en la práctica el<br>principio del instituto en el proyecto<br>de ley dice que solo puedo hacer lo que<br>cierto lo que se regula a través de de<br>la ley<br>y aquí o sea puedo usar los datos según<br>lo que la ley me dice y aquí es<br>importante identificar hoy día qué datos<br>tengo en la organización y cómo los<br>obtuve también asociar los datos que<br>tengo a las legislaciones pertinentes<br>por ejemplo toda la información laboral<br>que tengo en mis colaboradores tienen<br>como base del instituto cierto lo que me<br>obliga el código del trabajo<br>es importante verificar el alcance de<br>los consentimientos que hemos solicitado<br>nuestros clientes porque eso es lo que<br>más allá de la de lo que establece una<br>ley en particular puedo hacer con los<br>datos<br>en el en la eventualidad que me doy<br>cuenta que mi consentimiento no es<br>suficiente para el tratamiento del dato<br>Necesito ir a ampliar o ir a volver a<br>obtener un consentimiento que abarque<br>este tipo de tratamiento que quiero<br>hacer<br>yo sé que estos dolorosos Para algunas<br>empresas pero hay que eliminar aquellas<br>bases de datos respecto a las cuales no<br>tengo Claridad si tengo o sea si tengo<br>un<br>un derecho legal de utilizar le tengo<br>una ley que me faculta para ello o bien<br>tengo el consentimiento y aquí<br>antiguamente se prestaba o se utilizaba<br>mucho el concepto de vender bases vender<br>y comprar bases de datos pero hoy día<br>Debería ser un registro de lo que tengo<br>y eliminan aquellas respecto a las<br>cuales no tengo el principio de licitud<br>activo digamos<br>y lo otro que es súper importante tener<br>un registro actualizado de las<br>revocación de consentimientos que hagan<br>los titulares de los datos<br>respecto del principio de finalidad el<br>proyecto ley dice que debe ser<br>recolectado con fines específicos<br>explícitos ilícitos cierto y esto es la<br>práctica significa que yo antes de ir a<br>capturar los datos antes de de ir a<br>escribir un consentimiento si es lo que<br>voy a requerir para poder tratarlo es<br>reflexionar dentro de la organización<br>qué datos requiero esto es con el ánimo<br>de no ir<br>reiteradamente a pedirle un<br>consentimiento adicional o un<br>consentimiento mayor al titular de datos<br>es súper importante desde el inicio del<br>proyecto desde que tengo una idea de un<br>proyecto de un servicio nuevo de un bien<br>nuevo que Quiero ofrecer a los<br>consumidores Respecto a los cuales de<br>alguna manera voy a estar capturando los<br>datos personales es involucrar al<br>delegado de protección de datos<br>emocionales o la persona que tenga el<br>rol de de Peón como por las siglas en<br>inglés digamos esto es con el ánimo de<br>no tener que corregir una vez que el<br>proyecto ya están dando o demorarlo a<br>veces Se involucra tardíamente a las<br>personas que tienen a su cargo la<br>protección de datos personales y el<br>proyecto que está contemplado para salir<br>en tres meses dos semanas antes de la<br>salida Le pedimos la opinión al al<br>encargado de protección de datos<br>personales nos hace algunos reparos o<br>nos dice que tenemos que adecuar esto y<br>lo otro y el proyecto ya está a punto de<br>salir y por lo tanto se produce un<br>retraso y habría sido evitado el evitado<br>si en el inicio del proyecto cierto lo<br>involucramos a él con las experiencias<br>que tienen la finalidad declarada tiene<br>que ser completa y aquí hay que evitar<br>generalizaciones imprecisiones o algo<br>que pudiera producir incertidumbre al al<br>titular del dato<br>lo otro es que hay que tener Claridad el<br>uso de cualquier uso voy a hacer con la<br>información personal y cotejar lo que lo<br>de declarado tiene relación con la<br>finalidad y también en el tiempo porque<br>a veces la Declaración inicial está<br>perfecta pero con el tiempo nos damos<br>cuenta que hemos usado el dato o<br>queremos usar el dato por algo distinto<br>Y no y no tiene que quedar estático<br>digamos hay que hacer una revisión<br>periódica<br>definir mecanismos de actualización de<br>consentimiento cuando necesitamos y aquí<br>es importante no hacerlo<br>quiero un dato pido el consentimiento<br>pido un dato amplio si no tener una<br>mirada bastante más de largo plazo<br>también para no agotar y no estar<br>cansando a nuestros clientes y lo otro<br>que esto es difícil pero es no<br>compartirlo dentro de la organización<br>para un inicio y distinto al declarado<br>si yo capturé el dato con e informe el<br>titular que lo voy a usar solo para esto<br>no porque viene otra área dentro de la<br>organización y me dice Oye Cristina Pero<br>tú tienes la base de datos yo la<br>necesito y el uso que va a hacer no<br>tiene relación con la que le informamos<br>Al titular<br>respecto<br>al principio de proporcionalidad esto es<br>que tengo que usar los datos cierto para<br>que sea necesario no no puedo estar<br>pidiendo<br>información y a mí me gusta mucho usar<br>esta expresión pero por si acaso pidamos<br>todo pidamos todos total después vemos<br>para que lo usamos la verdad es que yo<br>tengo que acostumbrarme dentro de las<br>organizaciones a pedir lo mínimo<br>necesario para llevar a cabo lo que<br>necesito esto nos ayuda a minimizar el<br>riesgo de privacidad digamos porque<br>Cuanto más datos tengo más riesgo tengo<br>y cuando tengo datos solo porque tal vez<br>mañana me van a servir estoy exponiendo<br>la organización un mayor nivel de riesgo<br>lo otro es que es súper importante<br>conocer Cuál es el plazo que de<br>retención legal específica que tienen<br>los datos los plazos de retención no son<br>comunes para todos los datos personales<br>y solo a modo de ejemplo la ficha<br>clínica tiene que estar guardada quince<br>años desde el último registro por lo<br>tanto si hay trabajo en una<br>en un hospital en una clínica tengo que<br>tener claro que ese es el plazo de<br>eliminación de la de la Data por lo<br>tanto ese va a ser el plazo y es súper<br>importante porque uno tiende a<br>generalizar es más barato Digamos si yo<br>digo Mira los cinco años destruyo todo<br>pero hay distintas normativas Perdón<br>leyes específicas que me obligan a tener<br>plazos de retenciones para los distintos<br>tipos de datos personales<br>lo otro es no pedir información<br>Solamente porque es bien visto O sea si<br>yo lo necesito conocer la identidad<br>sexual No necesito preguntar<br>no necesito preguntarlo aunque quiera<br>Mostrarme como una compañía como una<br>entidad que que adopta políticas de<br>diversidad e inclusión si no es un dato<br>necesario<br>recolectarlo me expone a un mayor nivel<br>de riesgo<br>lo otro que es súper importante es no<br>confundir la anonimización con la<br>encriptación la anonimización no es<br>reversible una vez que yo no ni mizo el<br>dato No hay forma de Volver atrás e<br>identificar Al titular del dato cuando<br>yo encripto es una información significa<br>que quien tiene la llave de<br>desencriptación va a poder saber con<br>exactitud Quién es el el titular de<br>datos Y este es un error que se comete<br>bastante por eso se lo se los menciono<br>al igual que los otros principios es<br>involucrar al delegado protección<br>crear políticas de conservación y<br>políticas de destrucción de la<br>información y dentro de esta política es<br>súper importante levantar actos de<br>destrucción de datos cuando yo concluye<br>el periodo por el cual requiero la<br>información y la voy a destruir poder<br>hacer un catálogo de lo que fue<br>destruido quién lo autorizó es súper<br>importante<br>y lo otro es incorporar cláusulas a<br>nuestros proveedores que accedan a la<br>información personal cierto a devolverla<br>o a destruirla Y también si la destruyen<br>que nos entreguen un acta de destrucción<br>de los datos<br>en relación a los principios de calidad<br>del proyecto de ley nos señala que tiene<br>que ser exactos completos y actuales<br>cierto y ahí<br>es importante que la calidad del dato se<br>se mantenga a través de todo el ciclo de<br>vida del dato y no hacer el énfasis<br>solamente en el momento de captura y<br>tener presente que cuando el dato es de<br>mala calidad pierde valor la empresa<br>digamos y lo otro es implementar<br>mecanismos tecnológicos y físicos que<br>eviten la adulteración del dato y<br>también esto está ligado cierto con la<br>falsificación informática que uno de los<br>delitos informáticos<br>el principio de responsabilidad del<br>proyecto de ley lo que nos dice es que<br>serán Perdón legalmente responsables del<br>cumplimiento de los principios<br>contenidos en este artículo o sea<br>tenemos que cumplir la ley que es<br>bastante básico digamos y acá lo puse en<br>negritas que es hacer diagnóstico de<br>cómo estamos hoy frente al proyecto de<br>ley porque esto Toma bastante más tiempo<br>de lo que uno piensa es bastante más<br>extenso en términos de tiempo de<br>recursos<br>involucra a toda la organización Esto no<br>es una tarea que se le pueda dar<br>solamente al encargado de la protección<br>de los datos esa persona va a liderar el<br>proyecto va a liderar el proceso se va a<br>tener que juntar con todas las áreas va<br>a tener que entender todos los procesos<br>de la organización y por lo tanto es un<br>tema que Toma bastante tiempo bueno y lo<br>que es bastante obvio subsanar cierto lo<br>que nos expone un incumplimiento<br>y lo otro es hacer esto Esta evaluación<br>este diagnóstico con la la mirada de<br>gestión de riesgo es súper importante<br>bueno capacitar capacitar y capacitar lo<br>puse tres veces no por por fanática sino<br>porque realmente es el énfasis hay que<br>capacitar a toda la organización Hay que<br>crear una cultura de protección de datos<br>Y eso también toma Toma bastante tiempo<br>y lo otro que me parece súper importante<br>cuando tratamos datos personales es<br>siempre invitar o sea Perdón siempre<br>explicar a nuestros colaboradores Cuál<br>es el riesgo personal que ellos asumen<br>cuando tratan datos personales y solo a<br>modo de ejemplo le estoy citando a la<br>Ley General de banco en que pone<br>respecto al secreto cierto al secreto<br>bancario ya las penas personales para<br>quien divulguen la información<br>los principios de seguridad bueno<br>tenemos que garantizar que que los datos<br>que tenemos los estamos protegiendo<br>adecuadamente y aquí es súper importante<br>poder clasificar los datos los datos<br>dentro de la organización tienen<br>distintos niveles de sensibilidad<br>respecto a la a la confidencialidad de<br>los mismos si yo defino que todos los<br>datos que tengo son datos sensibles<br>me encarece mucho porque los niveles de<br>protección tienen que estar segmentados<br>por el tipo de dato un dato si lo tengo<br>catalogado como uso público o uso<br>interno deberían tener medios de<br>protección distintas más laxa que<br>aquellos que tengan clasificados como<br>confidenciales por lo tanto cuando no<br>tengo la clasificación nos va a mandar<br>aquel dato que tiene el mayor nivel de<br>confidencialidad y todos los atributos<br>de seguridad que le tengo que poner a<br>este dato lo voy a tener que poner sobre<br>el universo por lo tanto me va a ser más<br>barato las medidas de seguridad la<br>medida que las podemos segmentar los<br>tipos de datos lo otro que es súper<br>importante es tener Claridad Por qué<br>canales nosotros transmitimos los datos<br>desde el que los capturamos hasta que se<br>eliminan porque las medidas de seguridad<br>tienen que estar puestas en todos los<br>sistemas que voy a usar todas las<br>conexiones que tengo<br>lo otro que es súper importante el<br>encargado de protección de datos a mí<br>siempre me gusta decir que es primo<br>hermano del encargado de seguridad de la<br>información tienen que trabajar súper<br>coordinadamente con seguridad la<br>información con tecnología no no pueden<br>estar en mundos paralelos ni trabajar<br>con Silos tiene que haber una<br>coordinación el encargado de protección<br>de datos entiende respecto de la<br>legislación<br>que tiene relación con el dato mismo y<br>las medidas de seguridad que tienen que<br>tener pero no es quien las pone y por lo<br>tanto es el encargado de seguridad de la<br>información es el encargado de<br>tecnología detrás de la organización<br>quien lleva la práctica las<br>recomendaciones que puede dar el<br>encargado de protección de datos<br>lo otro es importante dentro de la<br>organización enseñar que hay una<br>diferencia<br>o o instaurar este concepto de necesidad<br>de saber y derecho a conocer no todas<br>las personas aun cuando compartan en la<br>misma área dentro de una organización<br>tienen derecho a ver lo mismo se tiene<br>que segmentar la información por los<br>roles que tienen y los derechos de<br>acceso que pueden tener y lo otro<br>es importante también identificar Qué<br>tipo de información tiene leyes<br>específicas respecto a la seguridad la<br>información que tiene que tener ese dato<br>y a modo de ejemplo les puse que si la<br>ficha clínica contiene genoma humano el<br>la información tiene que estar<br>encriptada en tanto en el almacenamiento<br>como en la transmisión y esa es una<br>regulación específica cierto respecto a<br>un dato personal<br>el principio de transparencia<br>en la práctica hay que tener facilidad<br>así como uno Tiene ciertas aplicaciones<br>que son súper intuitivas son súper<br>fáciles respecto de cómo se usan cuando<br>uno va a buscar la política de<br>privacidad o los términos de uso son<br>contraintuitivos cuesta mucho llegar a<br>ellos y ahí y la recomendación es que<br>haya una consistencia entre la finalidad<br>de contratación la finalidad de uso con<br>la facilidad de ejercer los derechos<br>arco con encontrar las políticas<br>encontrar la información que el titular<br>necesita y lo otro es que es usar un<br>lenguaje bajo el principio en chile no y<br>en sencillo Esto no es con el ánimo de<br>de ofender a nuestros titulares sino de<br>hablarle en un lenguaje que se entienda<br>y no ponernos en términos súper técnicos<br>que que no se logra transmitir el<br>mensaje la persona que lo lee no es<br>capaz de entender<br>No porque no tenga las competencias para<br>entender sino porque fue redactado a<br>propósito de una manera bastante difícil<br>bueno el principio de confidencialidad<br>nuevamente aquí hay que capacitar<br>capacitar y capacitar debemos tener<br>cláusulas de confidencialidad tanto en<br>los contratos de nuestros colaboradores<br>como en los finiquitos la recomendación<br>de ponerlos en el finiquito es para<br>recordarle Cuáles son las obligaciones<br>de confidencialidad porque normalmente<br>subsisten Más allá de que yo haya<br>terminado<br>haya terminado la relación laboral<br>cierto<br>lo otro es hacen evaluación a<br>proveedores<br>también evaluar los términos de<br>evaluación a los términos de<br>contratación que tengo a las políticas<br>de privacidad de seguridad de<br>transferencia de datos con con<br>proveedores a veces utilizamos algunos<br>Software que que nos facilitan la vida<br>no leemos la política privacidad no<br>leemos los términos y condiciones y se<br>hacen de la información que nosotros<br>podemos cargar en sus plataformas<br>también tener cláusulas de<br>confidencialidad con aquellos<br>proveedores nuestros que traten datos<br>personales<br>definir a priori cómo vamos a reaccionar<br>cuando tengamos una violación de<br>confidencialidad y aquí es cómo se llama<br>administrar realidad van a haber<br>problemas van a haber filtraciones<br>eso ocurre por mucho que tengamos un Un<br>diseño maravilloso tenemos que saber que<br>en algún minuto se puede producir una<br>filtración puede ser interna puede ser<br>externa digamos puede ser un error<br>humano y por lo tanto estar listos y<br>saber cómo voy a reaccionar a ello y no<br>cuando me encuentro en la situación<br>recién ahí ponerme a pensar bueno y<br>ahora ahora qué hago establecer también<br>política y procedimientos internos uno<br>de los ejemplos de la política del<br>escritorio limpio en la cual yo no puedo<br>tener ningún papel con información de<br>titulares o sea de datos personales<br>arriba del escritorio e irme a almorzar<br>y haberlo dejado ahí a vista y paciencia<br>del que del que pase<br>quisimos hablar un poco de de niños<br>niñas y adolescentes también darle<br>algunos unas bajadas prácticas<br>ya terminamos con los principios uno es<br>súper importante entender los productos<br>o servicios en los que capturamos datos<br>de menores de edad a veces nuestros<br>productos están dirigidos a adultos y<br>sin embargo en en la contratación o en<br>la extensión del producto a otros<br>integrantes de la familia podemos estar<br>capturando datos de menores de edad y<br>ahí es súper importante<br>poder tener una identificación dentro de<br>los datos y saber estos datos van a ser<br>de menores de edad<br>minimizar la recolección<br>de datos eso es súper importante pedir<br>lo justo y necesario no extenderme no<br>Buscar<br>pedir más allá de lo de lo necesario<br>disponibilizarlo a los padres Para que<br>vean y revisen Y pueden incluso pedir el<br>borrado un mayor estándar de seguridad<br>en estos datos es súper importante y<br>eliminarlos cuando ya no se requieren<br>También es importante una recomendación<br>en las políticas de privacidad que<br>nosotros tenemos dentro de nuestras<br>organizaciones si es que tratábamos<br>datos de menores de edad<br>declararlo expresamente si el servicio<br>se presta menores de edad la<br>recomendaciones hacer una política de<br>privacidad adoc suena disparatado lo que<br>les estoy diciendo pero pero no lo es<br>tanto digamos Les recomiendo muchísimo y<br>les dejé el link la política de<br>privacidad del ego es un lujo es un<br>video de un minuto 30 segundos donde le<br>explican en un lenguaje para niños<br>digamos<br>Qué hacen los datos y cuáles son las<br>cosas importantes una política<br>privacidad específicamente para ellos<br>Les recomiendo muchísimo verla tener<br>claro que el el uso de los datos de los<br>niños implica un mayor riesgo y aquí hay<br>un estándar ético que tenemos que tener<br>claro que es el el interés superior del<br>niño<br>otras cosas súper importantes no olvidar<br>que dentro de la organización captamos<br>los datos de los menores de edad de<br>nuestros colaboradores y tenerlo<br>presente ahí les dejé algunas ideas y<br>algunos consejos prácticos uno es No<br>recibir información que no requiero a<br>veces nuestros clientes nos entregan<br>información de titulares de datos que no<br>necesitamos para la prestación del<br>servicio<br>devolvámosle esa información porque<br>mantenerla nos implica mayor riesgo<br>es importante conocer los datos que<br>tratamos tanto de los clientes como los<br>prospectos de los clientes que no se nos<br>olvide que quien viene a hacer una<br>evaluación quien está<br>vidriendo digamos también podemos captar<br>sus datos y ahí les dejo algunos otros<br>consejos también para que los puedan<br>revisar porque sé que el tiempo es breve<br>Gracias Ignacio<br>Muchas gracias Cristina muy completa la<br>presentación también poder aterrizar<br>todos estos principios que pueden de<br>repente ser un poco etéreos para las<br>personas aterrizarlo en consejos<br>prácticos estamos muy agradecidos por<br>eso vamos a pasar a la parte de las<br>preguntas ya estamos en el tiempo así<br>que vamos a hacer una pregunta por cada<br>expositor tenemos varias preguntas así<br>que he seleccionado la más relevante<br>esta pregunta para Cristina en el<br>proyecto de ley chileno Cuáles son las<br>obligaciones de protección de mis<br>proveedores externos con los que<br>comparto datos personales<br>si nos puede dar alguna breve<br>explicación Cuáles son Perdón Cuáles son<br>las obligaciones de protección de mis<br>proveedores externos con los que<br>comparto a tus personales en el fondo<br>qué obligaciones tengo con mis<br>proveedores externos si yo comparto<br>datos que yo como responsable tengo le<br>comparto datos a un proveedor externo a<br>ver la responsabilidad no se delega la<br>responsabilidad las voy a tener cierto<br>con el titular y si yo le entregué<br>información de los titulares de datos a<br>un proveedor porque es parte del<br>servicio digamos uno lo tengo que<br>declarar Al titular de datos dos tengo<br>que hacer una evaluación del proveedor<br>yo cuando contrato un proveedor tengo<br>que tener claro de que es capaz de<br>cumplir los estándares de seguridad de<br>calidad que he puesto y dentro de de las<br>recomendaciones sería que el contrato<br>le traspasar a las obligaciones que yo<br>tengo con el titular de datos y que<br>hiciéramos una evaluación correcta del<br>del proveedor<br>perfecto muchas gracias<br>dejamos una pregunta para ti también<br>Cada cuánto recomiendas actualizar los<br>registros de actividades de tratamiento<br>Existe algún tiempo<br>Bueno a indicar que por ejemplo la<br>normativa europea no define un plazo de<br>cada cuando hay que actualizarlo en<br>realidad lo hay que actualizarlo cada<br>vez que hay una nueva actividad de<br>tratamiento es decir que en base al<br>principio de<br>hay que valorar de forma previa nuevos<br>tratamientos de datos y de hecho la<br>última fase del proceso para ver si<br>es la inclusión de la actividad de<br>tratamiento una vez evaluada<br>implementada las medidas organizativas y<br>técnicas<br>narrate Entonces es una actividad<br>acostarte otra cosa es la revisión<br>ordinaria de rap es decir que<br>comentaba durante la presentación<br>responsable que no no no estaría mal<br>sobre todo para las empresas<br>de un determinado tamaño de llevar a<br>cabo una revisión de Rasta anual pero<br>escolar diferente de la actualización<br>constante que hay que llevar a cabo<br>sobre todo cada vez que el nuevo<br>tratamiento O cada vez que se elimina un<br>tratamiento existente entonces son dos<br>actividades diferentes el mantenimiento<br>de rat que eso tiene que ser constante<br>cada vez que hay una negatividad de<br>tratamiento hay que incluirla y por otro<br>lado la actividad más bien de revisión<br>auditoría que no sé para empresas de un<br>determinado tamaño cada año deberían<br>revisar los tratamientos identificados a<br>efectos de verificar si Si siguen si se<br>siguen llevando a cabo o ha cambiado<br>algo en el tratamiento como por ejemplo<br>interviene un otro proveedor entonces<br>tendré que actualizar<br>el rap indicando que entre los<br>encargados de tratamiento<br>ya figura esta empresa o interviene otro<br>activo de soporte<br>Muchas gracias<br>bueno<br>concluimos con esto nuestro primer<br>webinar agradecemos a todos a quienes se<br>han mantenido conectados el día de hoy<br>comentarles que vamos a enviar el<br>material que han compartido Los<br>expositores con nosotros<br>también vamos a compartir con ustedes el<br>video y los invitamos también a conocer<br>nuestra página y las distintas<br>herramientas que hemos desarrollado para<br>todas las empresas en este tema que es<br>la protección de datos y su<br>implementación al interior de cada una<br>de ustedes Muchas gracias Hasta luego<br>que estén muy bien<br>nos vemos Dios Muchas gracias