Multas y cumplimiento en la nueva ley de datos personales: desafíos y riesgos para las empresas

Name: Multas y cumplimiento en la nueva ley de datos personales: desafíos y riesgos para las empresas
Uploaded: 2026-04-08 19:00:05.506776
Description: Análisis y extracción de conocimiento del video 'Multas y cumplimiento en la nueva ley de datos personales: desafíos y riesgos para las empresas'

¿Qué es la información hoy en día? En Doe creemos que es una herramienta vital. La información adecuada en el momento adecuado para el propósito adecuado. La información conectada con otra genera conocimiento. Doe es el banco de información de Chile. Más de 40 millones de datos y documentos disponibles. Más de 200 años de historia digitalizada. Solo fuentes oficiales, innovación, rapidez, actualización y oficialidad. Todo en DOE, el banco de información más completo, rápido y robusto de Chile en una web doe.cl. Doe, el banco de información de Chile, presenta un espacio editorial que incentiva el diálogo del Chile de hoy desde distintas miradas. Actualidad jurídica. Información actualizada, veraz y oportuna sobre temas de interés público, cambio climático, transformación digital, minería, agua, sustentabilidad, equidad de género, transparencia, constitución. una nueva realidad más diversa y compleja con nuevos paradigmas, ideas y debates que abordar. Todo lo que necesitas para estar bien informado. Abramos el diálogo. Abre Actualidad Jurídica, el blog de DoE. Muy buenas tardes. Mi nombre es Natalia Correa, abogada, editora de contenidos de Actualidad jurídica y estaré a cargo de la moderación. Les doy la bienvenida al seminario Multas y cumplimientos de la nueva Ley de Datos Personales, Desafíos y Riesgos para las empresa, organizado por DOE, el Banco de Información de Chile y Actualidad Jurídica, el blog de DOOE. Como sabemos, el régimen de protección de datos personales de Chile está en un proceso de transformación relevante. Pasamos desde un modelo eh más bien limitado como el de la Ley 19,628 a un sistema que incorpora e mayores exigencias de cumplimiento, fiscalización y especialmente un nuevo régimen de sanciones. En este escenario, las multas dejan de ser un riesgo teórico y pasan a convertirse en un elemento central de la gestión de las empresas. lo que especialmente para las PYMIS plantea desafíos muy concretos tanto en términos de recursos como de implementación. Para abordar eh estos temas contamos con un panel de primer nivel. Eh, nos acompaña Pablo Contreras, Catherine Muñoz y Tábata Torbellino. E pasará a dar las palabras de bienvenida el gerente general de DOE, don Ignacio Montiglio. Muchas gracias, Natalia. Eh, bueno, muy buenos días y gracias a todas y todos por acompañarnos en este webinar eh sobre diversos temas relacionados a las sanciones, multas, riesgos y desafíos finalmente para las empresas en el marco de la nueva ley de protección de datos personales. Especial agradecimiento a los panelistas que hoy nos acompañan por haber aceptado la invitación a compartir sus conocimientos y perspectivas. Muchas gracias a Tábata Torbellino, a Catherine Muñoz y a Pablo Contreras. La entrada en vigencia de esta nueva normativa marca un cambio profundo. No solo actualiza las reglas del tratamiento de datos personales, sino que además crea una agencia de protección de datos, establece procedimientos de tutela y sanción, contempla multas y medidas correctivas frente a las infracciones. En otras palabras, la protección de datos deja de ser una manera, una materia secundaria o puramente formal para convertirse en un asunto estratégico de gobernanza, riesgo y cumplimiento para las organizaciones. Pero quizás el principal desafío no está solo en entender la ley ni ajustar contratos, política o sistema. El desafío de fondo es cultural, porque los incumplimientos no suelen producirse únicamente por mala fe. Muchas veces ocurren por hábitos instalados, por falta de criterio, por descoordinación interna, por desconocimiento o por una cultura organizacional que todavía no incorpora la protección de datos como parte de su manera de operar. Por eso este tema no debe quedar necesariamente radicado únicamente en las áreas legales o tecnológicas. involucra la organización completa. Aquí ponemos en juego liderazgo, equipos, procesos, cultura, toma de decisiones y gestión de riesgo. En esta oportunidad y en este webinar particularmente queremos justamente reflexionar sobre eso, sobre las sanciones que contempla la ley y también sobre qué transformaciones debe impulsar deben impulsar las empresas para no caer en incumplimientos y para asumir este nuevo estándar de manera seria. sostenible y competitiva. Muchas gracias por acompañarnos hoy y les doy la más cordial bienvenida a este evento. Gracias a todos. Muchas gracias, Ignacio. Eh, dejamos extendida la invitación a todos los asistentes a enviar sus preguntas o dudas a través del chat, las cuales van a ser recopiladas y en el fondo abordadas al final de la sesión. A continuación, damos inicio al seminario. Los panelistas cuentan con 12 a 15 minutos de exposición para luego responder a las preguntas que surjan del público. Daré la palabra a Pablo Contreras, quien es abogado y doctor en derecho, director del doctorado en derecho de la Universidad Central de Chile, ha trabajado asesorando al Ministerio de Defensa Nacional y al Ministerio de Secretaría General de la Presidencia de Chile. También fue consultor de la oficina de Alto Comisionado de las Naciones Unidas para los Derechos Humanos y jefe de normativa y director jurídico en el Consejo para la Transparencia de Chile. Por favor, Pablo. Bueno, muchas gracias e Natalia. Bueno, gracias al DOE por la invitación. Un gusto estar con ustedes, poder compartir con Catherine, a quien conozco hace un tiempo ya, pero y también con Tábata, que nos conocimos telemáticamente la semana pasada para hablar quizás de la de la cuestión que más captura la atención respecto de la nueva ley de protección de datos, que es obvio, es un movilizador, es un incentivo, es el garrote de la Ley de Protección de Datos Personales, el régimen de infracciones y sanciones de La nueva ley, por cierto, es e quizás uno de los elementos más relevantes de cara a el cambio que se está implementando. Ya yo quiero compartir con ustedes dos ideas, básicamente. Ya. Primero quiero tratar de darle un contexto de por qué estamos ante un cambio radical en esta materia al régimen vigente. Y luego quiero describir alguna de las características de este modelo de infracciones y sanciones, que es un modelo complejo. ¿Ya? Entonces, esas son las dos ideas con las que quiero que se vayan de de de lo que les quiero compartir. Primero, eh por qué estamos ante un cambio radical y segundo, ¿por qué este modelo de infracciones y sanciones es un modelo complejo? Ya. Eh, respecto a la primera idea, ¿por qué estamos ante un modelo eh un modelo que cambia radicalmente de la ley actual? ¿ya? Eh, ustedes saben, Chile eh fue uno de los primeros países de Latinoamérica en tener una ley de protección de datos personales, ¿ya? Eh, esto por el año 1999. Eh eh y sin embargo, esa ley nace un poco muerta ya. y y algunos de los profesores que en su momento empezaron a estudiar esta ley veían con claridad cuál eran los defectos de esta ley. Los defectos no estaban dados por el tipo de normas sustantivas, eh, derechos, obligaciones, principios, sino que estaba dado por el modelo de control, el modelo de enforcement o de o de cumplimiento. Hay un texto de hace 25 años de Francisco González e que es muy claro en este sentido. Ya escribía esto antes de que la ley tuviese algún grado de rodaje. Un texto que se llama modelos comparados de protección de la información digital y la ley chilena de datos de carácter personal. Y ahí decía, miren, esta ley, la ley actualmente vigente, la ley de 1999 eh que se destacaba por la ausencia de una autoridad de control de protección de datos, una agencia, lo que hace es, y aquí cito textual, obliga a los particulares a recurrir a los tribunales de justicia, lo que necesariamente significa un alto costo para las víctimas y largo tiempo de espera, aún cuando se haya hecho un esfuerzo legislativo por abreviar los plazos, por saltarse el juicio ordinario de conocimiento. Entonces, eh lo que describe e e en ese caso el profesor González era básicamente un modelo y privatista, un modelo de de lógica de derecho privado, de protección del derecho a la protección de datos personales. E y ese modelo en los hechos fracasó. No hubo tutela del derecho a la protección de datos personales bajo esta ley. Y ese esa deficiencia esa deficiencia en el modelo de control fue denunciada por todos los sectores ya durante los múltiples intentos de modificación de la ley 19628. Eh, todos los sectores, empresa, academia, sociedad civil, sector público, señalaban que una de las principales falencias de de la ley vigente era que no contaba con un régimen adecuado de infracciones y sanciones y que no tenía una autoridad de control especializada para hacerla ejecutar. Ya. Esto de hecho está supercaramente consignado en el informe eh que hizo de Chile. Y de hecho el último compromiso OCD de cumplir eh por parte de Chile de su ingreso el 2009 fue precisamente dictar una nueva ley de protección de datos personales. Entonces es bien significativo que el diagnóstico está sumamente claro. Entonces si ese era el modelo, ese modelo que no produjo protección, que no produjo fiscalización de cumplimiento de las normas sustantivas, que no produjo sanciones por esos incumplimientos, fue una norma que generó que nació muerta básica. ¿Y qué es lo que hace la Ley de Protección de Datos Personales en su reforma? La 21,719 cambia radicalmente ese modelo privatista, en donde cada titular de datos tenía que demandar civilmente ante un juez de letra, que en la práctica hacía que esto no tuviera enforcement. Y siguió la tendencia desde hace más de cuatro décadas en el resto de los países de tener una agencia administrativa a cargo de la tutela del derecho y de tener un régimen complejo de infracciones y sanciones. Entonces, el cambio radical se da en el cambio de lógica de un modelo privado yus privatista a un modelo cuya tutela está confiada a un organismo público y vamos a tener un organismo público especializado encargado de proteger el derecho, ¿ya? Eh, y esto tiene todas las lógicas que ya hemos visto en otros ámbitos, consumidor sobre todo, pero de hecho, eh, a veces no me preguntan, bueno, ¿y esta agencia va a ser como el CERNAC? Bueno, claramente no va a ser como el SERNAC. De hecho, siempre les digo, esto se parece más a la Comisión para el mercado financiero que al CERNAC. De hecho, se parece bastante a la Comisión para el mercado financiero. Ah, tiene un órgano colegiado, tiene una regla, un estatuto bastante similar. Hay cosas muy pequeñas de diferencia. En vez de cinco consejeros son tres, en vez de los mismos sueldos un poquito menos, no hay una prohibición postempleo, en fin, está bien, pero se parece bastante más porque sobre todo va a regular, va a fiscalizar, va a capacitar y promover el derecho, va a acoger las denuncias de los particulares, va a tramitar las solicitudes de esos titulares, etcétera. Entonces, y sobre todo tiene dientes, va a sancionar. Entonces, esta es mi segunda idea. La ley construye un modelo infraccional complejo y esto está dado por una serie de elementos y eso es lo que quiero presentarles. Va, yo confío en que Catherine y Tábata van a profundizar muchísimo más en esto y yo feliz de contestar las dúvas que tengan, pero fíjense la eh los elementos que introduce, que hace que se tengamos un salto e sideral respecto de la ley de 1999. En primer lugar, tipifica infracciones, las conductas que van a ser sancionadas, ya, ya sea por acción o por omisión, pero tipifica tiene un catálogo de infracciones, de infracciones leves, graves y gravísimas. Eso hoy día la ley de protección de datos vigente no lo tiene. Luego tiene una graduación de las sanciones bastante más compleja, bastante más compleja. Ah, yo solo quiero recordar las magras sanciones que el artículo 16 de la ley vigente tiene, ya que va desde una UTM, es decir, 69,000 pescción, digamos, hasta el máximo 50 UTM, que es casi 3.5 millones de pesos. Ya. La graduación de las sanciones en el nuevo modelo van desde la amonestación, ese es el piso, hasta en el caso de las infracciones leves, a 5000 UTM, es decir 349 millones de pesos. En las infracciones graves hasta 10,000 UTM, es decir, casi 700 millones de pesos. Y en las infracciones gravísimas hasta casi 100 millones de pesos. Ya. Esto sin contar que el modelo es complejo porque además tiene reglas especiales para la reincidencia y esas reglas especiales de reincidencia diferencian según sujetos. Ya. Y esto me imagino que van a profundizar después mis contertulias, digamos. Pero, por ejemplo, hay una regla bien significativa para las empresas de mayor tamaño en que en el caso de la reincidencia de infracciones graves, la sanción puede alcanzar el 2% de la facturación anual de esa organización. Y esto es significativo, no es de la utilidad, es de la facturación anual, del ingreso total de ventas y servicios. Entonces, ahí estamos hablando de una sanción que duele muchísimo. Además, se incorpora una nueva sanción, la suspensión de operaciones de tratamiento. Eh, entonces este modelo de sanciones es mucho más sofisticado que el que teníamos actualmente. Además, como tercera característica, se tipifican reglas de atenuantes y agravantes para poder complejizar la escala de la aplicación en concreto de la sanción. De hecho, las atenuantes están indexadas con lo que voy a decir que es la sexta característica que es el modelo de prevención de infracciones, digamos, ya y indexadas directas e indirectamente, pero eso lo voy a mencionar en un rato más. Entonces, a diferencia de la ley actual, hay un régimen que además cualifica el resultado concreto de la sanción en función de otras conductas como son la atenuante y agravante. En quinto lugar, la sanción está confiada no a un juez, no a un tribunal, sino que a una agencia especializada con atribuciones públicas para ejercerla. Ya. Entonces, esto se parece muchísimo a la Comisión para el Mercado Financiero. Eso es revisable por un tribunal. Ah, pero ahí vamos a hacer una revisión de legalidad, ¿ya? Eh, y por lo tanto el impulso sancionatorio va a estar radicado en la agencia. La agencia va a tener que custodiar el interés público al aplicar la sanción. Eh, y por último, la última característica es que el modelo de enforcement traslada la carga a los responsables del tratamiento a través de los modelos de prevención de infracción. Ya. La lógica preventiva se diseña para que sean los responsables del tratamiento de datos quienes soporten buena parte del enforcement a través de sus propias tareas. Y para eso genera, hasta el momento hemos hablado puros garrotes, digamos, sanciones y para eso genera una zanahoria, quizás no una zanahoria muy grande, pero este es la este es el incentivo. Tener un modelo de prevención de infracciones certificado ante la agencia constituye por sí un atenuante frente a una sanción. Y como bien decíamos al comienzo, esto eh es probable que en las operaciones de tratamiento eh tengamos negligencia y tengamos sanciones por cuestiones que a veces ni siquiera pudimos controlar. Y por eso un modelo de prevención de infecciones no solo radica una lógica preventiva a los responsables del tratamiento para facilitar y promover el el cumplimiento y también mitigar los riesgos de incumplimiento, sino también eh lo hace condicionando una sanción menos drástica en el caso que esto falle. Ya. Ahora, esa es la indexación directa con las atenuantes, pero pero yo al menos veo dos colaboraciones más o indexaciones indirectas. Un modelo de prevención de infracciones en forma probablemente debiese dar a lugar una segunda atenuante que es la colaboración con la agencia. ¿Es posible acreditar esa colaboración si existe un delegado protección de datos? Si colabora dentro del marco de proceso sancionatorio, si aporta los antecedentes me parece que es plausible que esa atenuante también se pueda acreditar. Y en otro caso, estos son casos un poco más extremos, pero también son da de pensarse si hay un modelo de prevención de infracciones en forma. El caso de la autodenuncia como atenuante. Cuando tú tienes un modelo de prevención de infracciones y te das cuenta de que metiste la pata, eh antes que se destape la olla, tú te autodenuncias y controlas no solo la narrativa de aquella infracción que estás autodenunciando, sino la forma en que enfrentas a la agencia para aquello. Y fíjate que ahí es probable que puedas acumular dos o tres atenuantes en en ese caso. Entonces, tenemos un modelo complejo de de infracciones y sanciones en esta nueva ley. Yo quiero cerrar con una última cuestión. E este modelo ahora es extremadamente relevante porque a diferencia de todos los otros modelos de compliance, este es el único compliance universal. Y voy a repetirlo, este es el único compliance universal. No hay ningún otro compliant que se le aplique a todas las organizaciones, al ámbito público y al ámbito privado, con fines de lucro o sin fines de lucro, por todas las operaciones de tratamiento de datos personales. No conozco ninguna organización que funcione sin procesar datos personales. No conozco una organización compuesta por robots que le venda robots. Ah, eso no existe. Todas tratan datos personales y fíjense, la Agencia de Protección de Datos Personales va a ser el ente público con mayor número de sujetos obligados. Todo el sector privado va a quedar bajo su competencia y toda la administración del Estado. No hay ningún otro regulador que tenga tantas entidades obligadas. No lo tiene la Contraloría, no lo tiene la CMF, ninguna Superintendencia ni la Dirección del Trabajo del CERNAC. Este es el único que aplica fuera de las relaciones de consumo, al ámbito laboral, al ámbito financiero, al ámbito de la salud, en el ámbito de la administración, etcétera, etcétera, etcétera. Por lo tanto, ese es el único compliance que a diferencia, por ejemplo, delito económico, no hay una agencia garante en ley Karim, bueno, sí está la dirección del trabajo, pero es solo para relaciones laborales y ciertas reglas especiales. Este es el único compliance universal que le va a caer por el lado los clientes, le va a caer por el lado de los proveedores, por el lado de los trabajadores, por el lado del relacionamiento comunitario, los asuntos corporativos, por el lado del marketing, porque en alguno de esos lados va a estar tratando datos personales. Eso. Muchísimas gracias. Muchas gracias, Pablo. Eh, lo que planteas es especialmente relevante para entender uno de los desafíos estructurales de esta nueva normativa. En efecto, Chile adopta un modelo que se inspira fuertemente en el Reglamento General de Protección de Datos de la Unión Europea, pero lo hace en un contexto económico, institucional y empresarial muy distinto. Mientras en Europa existe una cultura de cumplimiento más consolidada, autoridades con alta capacidad técnica y empresas con estructuras internas robustas en Chile y particularmente en el caso de las pymes, nos enfrentamos a una realidad donde muchas veces no existen equipos legales especializados ni recursos para implementar modelos complejos de cumplimiento. Esto abre una atención bien interesante. Por un lado, es positivo elevar los estándares y alinearse en modelos internacionales, sobre todo considerando la economía digital y los flujos transforterizo de datos. Pero por otro surge la pregunta de si el diseño normativo logra adoptarse adecuadamente a las capacidades reales de los sujetos obligados. Eh, a los asistentes les recuerdo enviar sus preguntas o dudas a través de el chat, eh, los cuales ya están siendo recibidas. Eh, ahora comenzamos con le daremos la palabra a Catherine Muñoz, quien es abogada y CEO de Idónea Consultores. Cuenta con un LLM en derecho internacional, un magíst en derecho internacional por la Universidad de Chile y formación complementaria en propiedad intelectual. por la Universidad de Ginebra y Política Comercial por la Universidad de Chile. Adelante, Catherine. Gracias. Eh, buenas tardes a todos. Muchas gracias por la invitación. Eh, sí, qué tema. Qué difícil, qué difícil hablar de esto porque claro, como que estamos somos venimos a contar las malas noticias parece. O nos vemos así un poco. Eh, no sé si puedo compartir. Se se sí, por aquí está. Ya. Okay, perfecto. Eh, voy a compartir una presentación. Es es bien cortita, pero bueno, yo les voy a hablar de un tema que quizás tampoco es muy es muy conocido, ¿no? Pero a todos lo tenemos como eh como algo que es es esencial, ¿verdad? o a uno le hace mucho sentido cuando uno habla del de la proporcionalidad propiamente tal. No sé si ven la presentación. Se ve. Ah, no, no se ve. Sí, pero se ve un poco. Espérame. Ahí sí. Perfecto. Sí, perfecto. Ya. Eh, no la no puedo no sé por qué no puedo presentar como propiamente tal, pero se ve igual, ¿verdad? Así es. A ver. Ahí sí. Repruciencia. Ahí sí. Ya, perfecto. Entonces, hay un principio, ¿verdad?, que es el del derecho administrativo y es un principio en general de todas las normativas que incluyen sanciones, que finalmente lo que buscan es que eh se cumpla, ¿verdad?, se cumpla una ley determinada que es el principio de proporcionalidad a las sanciones. Es super importante cuando hablamos de pymes, ¿verdad? cuando eh hablamos de grandes sanciones, como comentaba Pablo, porque la idea, verdad, de las sanciones administrativas, propiamente tal como tiene esta norma es que eh sean proporcional, ¿verdad?, a muchos aspectos, incluyendo también eh eh la capacidad, ¿verdad?, de de las empresas y en este caso de las pymes. Y la idea es que sea una sanción que sea disuasiva, ¿verdad? Pero teniendo presente un equilibrio propiamente tal, ¿verdad? Y un equilibrio económico respecto de las empresas. Entonces, el principio de proporcionalidad aquí y en Europa y en general en todo el derecho continental, ¿verdad? Eh, exige que cualquier sanción impuesta desde el punto de vista del derecho administrativo sea idónea, eh, necesaria y estrictamente equilibrada frente a la gravedad de una infracción cometida, el daño causado y la capacidad económica del infractor. No sé si han escuchado, pero hace poco, hace pocos días se una sanción en en Europa por el GPR, ¿verdad?, fue anulada porque un tribunal, ¿verdad?, eh no hizo todo este análisis, ¿verdad?, de proporcionalidad, de necesariedad y de equilibrio que requiere eh para presentar una una infracción en base al GPR. Bueno, ¿qué es la necesidad, verdad? ¿O qué es la proporcionalidad? Bueno, no hay otra no hay otra forma de sancionar a esta empresa, ¿verdad? Yo tengo que buscar en el fondo o en este caso el legislador encontrar, ¿verdad?, un punto de equilibrio para cumplir con este principio que finalmente es una garantía, ¿verdad?, del los principios generales del derecho. Eh, lo cual es super importante para las pymes porque acá viene eh es muy fácil caer en una sanción, es muy fácil caer en una sanción por cualquier empresa, como decías tú, eh no es una cosa de mala fe en general, o sea, puede ser un casi ni siquiera pueden empresas muy responsables, ¿verdad? y y se puede cometer un error o pueden sufrir una vulnerabilidad y eh y constatar, ¿verdad?, que quizás no tenían los controles necesarios en una actividad de tratamiento, etcétera. Y es muy fácil caer una, dos veces y quizás más en una en una sanción, por ejemplo, las sanciones leve eh y quizás en mayor medida las sanciones eh gravísimas, pero acá quizá es mejor verlo desde el punto de vista de los números. Estos son los números. Pablo ya lo dijo, pero aquí está la sanción más grande, ¿verdad? Eh, y aquí hay que distinguir y aquí hay que distinguir los tipos de los tipos de societarios, ¿verdad? Eh, en general y uno y uno siempre tiene esto en la mente, la ley de protección de datos o el GPR también desde el punto de vista del derecho europeo, y aquí yo vengo a hacer una comparación del derecho europeo también e es para las grandes empresas y no para las pymas, ¿verdad? Entonces, todos estos números que uno los ve super lejanos porque, o sea, 300 millones por una pyme es demasiado y estamos hablando del del del techo, ¿verdad?, de las multas leves. Entonces, eh hay que empezar a sumar y a multiplicar y ver cómo lo vamos a hacer, porque finalmente también, como decía Pablo, a todas las empresas les toca esto. Todas las empresas son sujetos obligados, básicamente. No hay ninguna, ¿verdad? Como decía Pablo, que no trate datos personales, eh, las leves, las las graves y las gravísimas, hay un monto considerable, ¿verdad? Pero cualqu Pero la leve, eh, desde una amonestación, como decía Pablo, está 5000 UTM es mucho. Es mucho si uno lo lleva a pesos, ¿verdad? Cuando hay residencia, eh, puede ser hasta tres veces el punto de la infracción y en empresas grandes, cuando hay reincia hasta el 2 o el 4% de los ingresos anuales, eh, en el caso de graves y gravísimas, además de un recargo 50% si no se subsana, ¿verdad?, cualquier eh cualquier infracción a la norma dentro de un plazo estipulado por la agencia. Entonces, perdón, ahí también tienen sanciones accesorias, o sea, para además además de lo anterior tiene sanciones accesorias y eso no es todo. Eh, está también eh voy a ir para acá. Está también los costos que están más allá de la multa, o sea, aquí en Europa y acá en en Chile lo sabemos, ¿verdad? Eh, pero en Europa tenemos evidencia, en Chile lo suponemos, pero en Europa hay evidencia. O sea, por ejemplo, eh hay un estudio que al entrar al GPR en el 2018, ¿verdad?, el 90% de las pymes de un país eh europeo, quizás no una potencia europea, pero sí Portugal, ¿verdad? El 90% de las pymes no tenía ni idea de que era la normativa, ni siquiera. Y ya la ya el JPR tuvo 2 años, ¿verdad? igual que la ley de acá, eh, se publicó y tuvo 2 años de vacancia legal y así fue. Y pero eso no es todo. Por ejemplo, ya después de 8 años de publicado, ¿verdad?, y de entrada a vigencia del GPR, la Asociación Alemana de DPO, la Asociación Española están constantemente pidiendo aliviar la carga a las pymes. Eh, ¿y por qué aquí hablamos de proporcionalidad? ¿Y por qué lo podríamos conversar, verdad? ¿Cómo es proporcional en general estas normativas que tienen una carga regulatoria alta? Bueno, no tienen personal especializado. Evidentemente esta norma exige el cumplimiento continuo, ¿verdad? Eh, hay horas anuales de documentación. Acá hay que probar como como lo decían, eh la responsabilidad eh se invierte la carga probatoria, por lo tanto, hay mucho documentación, hay mucho de registro y obviamente que en una pyme con poco personal o con el personal justo, ¿verdad? se desvía las actividades productivas, eh las mismas obligaciones que las grandes empresas. Aquí no hay una obligación menos de una PIP, salvo que ya lo vamos a ver que es un artículo específico, pero eh todas las empresas corren con las mismas obligaciones, básicamente, ¿verdad? Y eh desde ya hay un hay un todo un movimiento en Europa para bajar las cargas, especialmente a estas empresas. Voy a volver acá. Ya. Entonces, primero una extinción de las pymes, ¿verdad? Lo que aplica multas con tope fijo, ¿no? En porcentaje como las grandes empresas. Eh, la se considera la capacidad económica del infractor para aplicar principio de proporcionalidad. Eh, y como decía Pablo, la autodenuncia, la colaboración, eso reduce las sanciones, el modelo de prensión también. Ahora, los riesgos son reales y ocurren para todos por igual. O sea, la inflación leve, como les comentaba, puede costar 335,000000es de pesos a todos rajatabla. Eh, la 5000 UTM puede ser una cifra pero muy esencial, ¿verdad?, para cualquier pye. Y agreguemos el daño reputacional, o sea, se atenúa mucho más en una pequeña empresa, ¿verdad? Y como les decía, la ley no exime a las pymes de ninguna obligación. Eso es super importante tener presente. Entonces, cuando hablamos de ya, pero van a sancionar solo a las grandes empresas, ¿verdad? Y algo que que quizás lo tenemos como muy arraigado porque uno ve los grandes números en el GPR, pero uno no no ve que hay muchas sanciones en Europa que ni siquiera se publican. En general son hacia las pymes o pequeñas empresas, igual es en menor medida, pero igual pasa. Entonces, ¿por dónde puede llegar la agencia? Bueno, la Agencia de Protección de Datos probablemente no va a tener todo el aparataje, ¿verdad?, de un país rico, pero eh esta ley exige, ¿verdad?, que frente a cualquier denuncia eh la agencia tenga que em tramitar cualquier reclamo y así lo dice la ley, ¿verdad? Sin importar el tamaño de la empresa. Por lo tanto, puede llegar una pyme desde ahí. Otra forma de llegar a una pyme con las sanciones de esta ley, ¿verdad?, es eh las grandes empresas, por ejemplo, exigen a los proveedores con condiciones contractuales. Entonces, no cumplir, ¿verdad? Eh, exige puede haber un juicio, ¿verdad?, con con las empresas, con grandes empresas y a través de ahí eh poder ser perjudicado, ¿verdad?, por sanciones contractuales en base a incumplimientos como en general, como encargado del tratamiento, ¿verdad?, etcétera. Y lo otro que no hay que perder de vista son las demandas civiles, o sea, los titulares pueden demandar de de indemnización de perjuicio, de daño patrimonial y moral directamente ante los tribunales. Hm. Por una parte, sin pasar por la agencia o cuando la agencia eh e investiga una denuncia, ¿verdad? Y en el caso de de un recurso de de ilegalidad y cuando en el caso de la agencia que tramita, ¿verdad?, una denuncia y esta denuncia queda firme y ejecutoriada, ¿verdad?, puede yo puedo ir a tribunales civiles y seguir y e presentar una indemnización de perjuicio. Entonces, ¿qué pasa cuando este en este año, verdad? lo que hay un periodo de gracia, perdón, hay un periodo de gracia. Bueno, durante los 12 primeros meses eh entrada en vigencia la ley eh en los casos que proceda, ¿verdad?, alguna sanción para empresas de menor tamaño, las pequeñas, ¿verdad?, y las medianas empresas, eh la agencia podrá, ¿verdad?, podrá es facultativo, podrá eh aplicar como sanción una monestación por escrita durante un año, ¿verdad? Eh, ahora, ¿qué quiero decir yo? Eh, no hay que fiarse de estas cosas, ¿verdad? Porque una parte, claro, es facultativa y queda registrado igual. Entonces, el costo reputacional igual no se evita, ¿verdad? y implementar eh cualquier sistema de gestión, cualquier eh mecanismo de cumplimiento, ¿verdad?, de protección de datos desde cero toma alrededor de muchos meses, por lo tanto, ese 12 meses hace poco a cualquier empresa. Y eh si esperan para cumplir qué pasa con la ley o esperan un periodo de gracia, ¿verdad? No les va a alcanzar el tiempo. Básicamente eso es super importante que lo tengan presente. Ahora, ¿qué ha pasado en Europa? Bueno, en Europa había un cambio super clave, ¿verdad? Que se reconoce eh la que esta que esta ley tiene una carga regulatoria muy alta para de las pymes. Estamos hablando de Europa, un continente muy rico, ¿verdad? Eh, la Comisión Europea elevó, por ejemplo, la exención de el reg del de mantener el RAT, ¿verdad?, eh para las pymes y también eh otros tipos de cargas que para una empresa pequeña se hacen demasiado eh demasiado costosos porque tienen que tener personal dedicado, ¿verdad? Y y eso básicamente eh hay que aprender de la experiencia. Yo creo que es super importante aprender de la experiencia, sobre todo en materia de políticas públicas, cómo va a ser esta normativa y qué herramientas se van a desarrollar, por ejemplo, eh en materia reglamentaria para eh un efectivo cumplimiento de las pymes y también de ayuda directamente de ayuda a cumplir también, o sea, una de las funciones principales de la agencia va a ser finalmente eh la posibilidad de que las pequeñas empresas, ¿verdad?, y las medianas empresas puedan cumplir eh de desde una perspectiva responsable, porque son normas de derechos fundamentales, pero concretas, ¿verdad?, y adecuadas a la realidad de de cada empresa. Y como prepararse, bueno, es difícil, es difícil poner algo, pero básicamente si saben dónde están los datos, tienen la mitad de la pega. Eh, eh, y para eso tienen que limitar, ¿verdad?, va a dar un marco de cumplimiento a esta ley. ¿Hasta dónde me llega esta ley? Yo si yo limito el ámbito de aplicación de la ley, ¿verdad? Tengo todo mucho más manejable y no está en el no es tan abrumador como como se puede ver, ¿verdad? Y eso es a través del levantamiento de las actividades de tratamiento. Cuando yo levanto las actividades de tratamiento donde yo trato datos personales propiamente tal, ¿verdad? Yo ya sé que ese es mi marco y frente a eso me rige la ley. Eh, hay que eh gestionar las brechas correctamente, ¿verdad? Implementar muchas cosas. No es solo tener política, ojo, pero eh hay que eh tener muchos temas de implementación de medidas organizativas, ¿verdad? Y sobre todo eh capacitar, capacitar y la gestión del cambio que es muy difícil de lograr, quizá es el mayor desafío que tenemos acá. e y nada, pues eh hacer tener mucha paciencia, que estos son cambios culturales importante y transformaciones empresariales importante y y eso toma tiempo, siempre toma tiempo, quizás dos años se nos va a ser chicos, ¿verdad? Pero pero es super importante que las pymes, sobre todo y aquí que venimos a hablar de las pibes, eh puedan tener una un ámbito de de certezas, ¿verdad? de certeza jurídica y eso es parte de la de la futura agencia, una de las cosas que son más importantes, dar acceso a las pymes, ¿verdad? A poder cumplir, dar herramientas para el cumplimiento, etcétera, eh porque las cargas las cargas eh regulatorias son demasiado altas, ¿verdad? Y cuesta, cuesta, no cuesta verlo cuando están en el papel, pero cuando yo lo tengo que aplicar a mi empresa, no se da cuenta de todo lo que tengo que gastar, ¿verdad?, para poder cumplir adecuadamente con esta ley. Así que eso, gracias. Muchas gracias, Catherine. Muy interesante. El principio de de proporcionalidad aplicado al régimen de multas y la nueva regulación de datos marca un cambio cualitativo en la forma en que el derecho entiende la sanción. Ya no se trata de castigar por castigar, sino sancionar con sentido, es decir, en función de la gravedad real, de la conducta y del contexto en que esto ocurre. En el caso chileno, el tránsito desde la ley 19000 628 hacia un modelo más exigente implica reconocer que la eficacia del sistema no depende únicamente del monto de las multas, sino de su correcta calibración. Una multa desproporcionada puede ser tan problemática como la ausencia de sanción, porque genera efectos distorsionados, especialmente en actores más pequeños como las pymes, que enfrentan mayores restricciones estructurales para cumplir. Ahora paso a dejar con ustedes a Tábata Torbellino, abogada LLM por London School of Economics and Political Science, MBA por la Universidad de Oxford, con bacta de experiencia en materia corporativa, emaney y propiedad intelectual. Es abogada de la Cámara de Comercio y fiscal de sus filiales, además de desempeñarse como encargada de protección de datos personales de dicha asociación. Tábata. Adelante. Muchas gracias. Voy a compartir. Eh, ¿se ve cierto la pantalla? Perfecto. Sí. Okay. Bueno, primero que todo, muchas gracias por la invitación y es un verdadero honor estar acá con Pablo y Catherine, quienes han hablado ya de este tema. Yo lo que voy a hacer va a ser profundizar en algunos aspectos que hemos visto como Cámara de Comercio de Santiago que tienen que hacer las pymes y que tienen un impacto importante en las multas. Probablemente quizás algunas cosas que dijo Pablo y que dijo Catherine las voy a repetir, pero muy brevemente, solamente para contextualizar el básicamente la labor de lo que tiene que hacer eh una pyme en Chile en este momento. E primero que todo tenemos que ver el universo y la relevancia que tienen las pymes en nuestro país. En la actualidad, según los últimos datos que manejamos como Cámara de Comercio de Santiago, hay más de 770,000 pymes en Chile y estas generan más del 60% del empleo formal. No solo eso, sino que aportan cerca del 20% del producto interno bruto. ¿Cuál es la importancia de esto? La importancia de esto es que cualquier política pública o legislación que afecte las pymas al final del día afecta el corazón de la economía. Eh, porque generar una carga regulatoria tan alta a una pyme implica que estamos dejando al 60% del empleo formal con una cierta dificultad para seguir ejerciendo su trabajo como lo están ejerciendo hoy en día. Y considerando todos los costos eh adicionales que estamos viviendo eh a nivel país, la carga regulatoria que tienen las pymes en diferentes materias se vuelve un problema muy importante. ¿Qué pasa en materia de protección de datos? En materia de protección de datos, como muy bien señaló Pablo y como muy bien señaló Catherine, se han establecido con la ley 21719 nuevos estándares que no son los estándares a los que estamos acostumbrados. E nosotros estamos acostumbrados a cuando hablamos de datos personales, estamos acostumbrados a pensar los datos personales como un tema más del CERNAC, como un tema más de que por qué me están llamando del número tanto tanto e por qué tienen mi número, etcétera. No estamos acostumbrados a la carga regulatoria que las pymes van a tener que asumir en virtud de esta normativa. e y e la ley de protección de datos, la nueva ley de protección de datos, establece una serie de regulaciones que aplican para todas las empresas y en este caso vamos a hablar particularmente que aplican para las pymes. Entonces, cuando uno lee una ley que es larguísima, yo honestamente yo cada vez que la que leo la ley, que la leo prácticamente todos los días, encuentro algo nuevo, algo que no había entendido, algo que era un costo adicional, algo que como que me hace pensar. Entonces cuesta bastante porque no existe un catálogo, que uno vea un catálogo de obligaciones que estén como de la 1 a la 20 de lo que tienen que hacer las empresas, sino que están un poco revueltas por lo por por la normativa. Y tenemos en este momento un problema que nos falta el reglamento. Hay mucha de esta normativa que va a venir a definirse, creo yo, a nivel reglamentario. O sea, hay muchas dudas al momento de dar cumplimiento a la ley de protección de datos personales. Por ejemplo, una duda que yo tengo que no es duda que que es básicamente el correo corporativo, mi correo [email protected]. ¿Es un dato personal? Yo diría que sí. O sea, porque al final la ley no lo excluye y es un dato que para mí cabe dentro de la eh definición de lo que es un dato personal. Ahora, eso abre la puerta a una serie de definiciones que hay que hacer al interior de las empresas y el tratamiento de datos personales que podría quizás verse modificado con alguna instrucción de la agencia, con algún reglamento de la agencia que nos permitiera dar luces sobre hacia dónde va la normativa y cuál va a ser el estándar de cumplimiento de la normativa, porque esta normativa es tan amplia y abarca tanto que sí puede caer, en mi opinión en una idea de que es tanta la obligación que puede caer en letra muerta. Y yo creo que hay muchas empresas, entrechas, muchas pymes, que pueden decir, "¿Sabes qué? Esto es demasiado, no lo puedo cumplir, no creo que se cumpla." Yo he tenido muchas conversaciones con muchas empresas que tienen esa idea o no conocen la norma, como Katerine muy bien señaló, que me pareció un número terrible que no 80 o 90% de las empresas no sabían antes de los GDPR, aquí estamos en la misma. o dentro de las que saben esto un poco les queda grande en el sentido decir, "¿Sabes qué? Yo no creo, no no creo que aquí no se nos pase, aquí vienen a buscar a las grandes empresas, ¿quién viene a buscarme a mí?" Y quizás eso es efectivo desde el punto de vista de la agencia, pero no es no es efectivo desde el punto de vista de los titulares de los datos quienes pueden e solicitar y hacer gestiones con sus datos que puedan tener un impacto e financiero para las pymes. Entonces, en términos generales, ¿qué es lo que pide la ley? Y esto lo digo en términos muy generales, ¿qué es lo que pide la legislación que tienen que tener las pymes? Primero que todo, las pymes tienen que tener una base de licitud para tratar sus datos. Y esto, ¿qué significa? Que yo tengo que tener eh o el consentimiento válido o tengo que estar dentro de una ejecución de un contrato o cumpliendo una obligación legal o utilizando un interés legítimo para poder tratar los datos personales. ¿Y qué significa tratar los datos personales? Porque aquí quizás a quienes no están familiarizados con el término, tratar los datos personales es hacer cualquier cosa con los datos personales. Yo antes de trabajar en esto, incluso ya después de ser abogada antes de trabajar en esto, pensaba que tratar los datos personales era algo sofisticado, era como hacer un Excel, una tabla, pero no. Para la ley tratar los datos personales es recibir un correo. Tampoco es que sea tan sofisticado un Excel, pero para mí es sofisticado, pero recibir un correo, mandar, por ejemplo, una vender una base de datos, por supuesto, eso es tratar datos personales. Pero hoy en día el solo hecho de guardar un documento con un dato personal sin que yo haga absolutamente nada con eso, significa que estoy tratando un dato personal y eso puede tener un impacto para la pyme y, por supuesto, un impacto para las multas que hay las PYM. Entonces, ¿qué es lo primero que tenemos que hacer? Es tener una base de licitud. Y eso significa que las pymes tienen que revisar sus procesos y definir tengo o no tengo una base de licitud para tratar los datos personales que tengo. Luego los el artículo 14 ter y 14 Kinkis establece una serie de obligaciones más específicas para las pymes que son las obligaciones de información y las obligaciones de seguridad. En la en las obligaciones de información está todo el mundo lo que es informar temas en materatos personales que establece la ley. Por ejemplo, tengo que publicar una política de tratamiento, tengo que publicar un registro de actividades de tratamiento, tengo que publicar un informe de brecha. Y soy capaz de apostar que un gran porcentaje de personas no tienen idea de lo que significa un registro actividad ordenamiento, no tiene idea de lo que significa un informe de brecha. Entonces, pensar que una empresa que hoy día está eh peleando por llegar a fin de mes, porque también hay pymes y pymes y aquí no hay una distinción, pueden haber una pyme muy chiquitita y una pyme muy grande y ambas están sujetas a las mismas obligaciones. Eh, todas tienen que cumplir con estos deberes de transparencia. Y en tercer lugar, tenemos que distinguir el eh el cumplimiento de obligaciones de seguridad, donde hay que tomar medidas proporcionales al riesgo. Por ejemplo, encriptar los datos personales, ver dónde sean las copias de seguridad, dónde guardo mis bases de datos, eh cómo se restauran, la confidencialidad, etcétera. Entonces, hay obligaciones de tratamiento que son eh sumamente importantes y que tienen un impacto grande en las pymes. Adicionalmente tengo que tener implementado un procedimiento de derechos aros. Vale decir, cuando los titulares quieren acceder a mis datos personales, a los datos personales que todos tenemos dentro de las empresas, existe la obligación de todas las empresas, incluyendo las pymes, de responder a estos derechos y responde en un periodo que son 30 días, en algunos casos son hasta 2 días, donde yo tengo que ser capaz de como empresa de saber qué datos tengo de la persona, ser capaz de rectificar esos datos, ser capaz de suprimir esos datos y una serie de otros más. Entonces, al final el cuerpo de reglamentación que hay para la pyme es una reglamentación muy grande. Y aquí esta normativa se conecta con una normativa que yo creo que es bastante hermana, que es la ley de ciberseguridad, que establece toda una otra índole de multas y de y de gestiones que tienen que hacer las empresas e en materia de protección de información y entre esa información, por supuesto, están los datos personales. Adicionalmente a esto, hay una serie de documentos que yo los puse acá para que sea más fácil de de definir, que son los procedimientos y las cosas que sí o sí tienen que tener las PIB, tienen que tener una política de protección de datos, tienen que tener un procedimiento para derechos arcos, tienen que tener un RAT, un registro de actividad tratamiento al menos simplificado, tienen que tener un protocolo de brecha y tienen que tener contratos con proveedores y un un contrato de encargo con los proveedores, lo cual significa trabajo y un trabajo legal y un trabajo legal que no es barato. E entonces, ¿qué pasa? E como decía Catherine en su presentación está la idea de que oye, ¿sabes qué? Quizá esto no me va a aplicar a mí. Lamentablemente por ley aplica a cualquiera y si bien la agencia tiene ciertas facultades para aplicar estándares diferenciado de acuerdo al criterio, al volumen, a los riesgos, a las capacidades de las pymes y existe el famoso régimen transitorio en los cuales los primeros 12 meses yo no voy a ser como pyme amonestado e perdón, no voy a ser multado, sino que solo amonestado. De todas formas, hay que dar cumplimiento a todas estas cuestiones. ¿Y qué pasa si no cumplo? Si no cumplo vienen las famosas sanciones, que es las que hemos estado hablando, que es este famoso semáforo de infracciones, que son hasta 5000, hasta 10,000 y hasta 20,000. Generalmente uno diría, bueno, no me van a molestar a la primera con 5000 UTM, por supuesto, pero me pueden amolestar con cinco y luego con otras cinco y luego con otras cinco y vamos sumando. Y al final del mes pudo tener una amonestación 30, 40, 50, 60 UTM que para una empresa sí le puede marcar la diferencia. Entonces, aquí nos encontramos frente a una disyuntiva supercleja, en el sentido de ¿qué hacemos? Nos sentamos y esperamos la multa, nos sentamos y esperamos a ver qué hace la agencia con este estándar diferenciado, como un poco cruzando los dedos de decir, "¿Sabes que? Ojalá que la agencia se vaya hacia las empresas grandes y a mí me deje un poquito tranquila y sea como una agencia buena onda. O hacemos gestiones y esas gestiones también significan eh recursos. para las pymes. Entonces, claro, hay que buscar el el justo equilibrio entre entre este tipo de entre este universo en el cual estamos sentados un poco a la espera de qué va a pasar, cómo va a ser la agencia, va a ser una agencia superfuerte o va a ser una agencia que va a ser más bien en un principio como fue la agencia de ciberseguridad, que era una agencia que era mucho más eh en un principio no se fue con todo a a a sancionar, sino que un poco a ordenar la casa. Entonces acá eh solamente a modo de ejemplo cosas que las primas tienen que hacer y que probablemente no tengan. Si yo no respondo los derechos arco en un plazo, por ejemplo, contesto una solicitud en 40 días en lugar de 30, puedo tener una vez que las multas comiencen a regir hasta 5000 UTM. Por supuesto, no me van a dar 5,000 UTM a la primera. eh abiertamente sería abiertamente irracional, pero sí quizás me podría andar las 10 y si eso lo voy multiplicando se me va sumando o quizás voy a uso, no tengo una base de licitud para tratar datos. Eh, esto va a ser pan de cada día, o sea, la entender lo que es una base de licitud, eh poder ordenar y decir, "Oye, ¿dónde está mi base de licitud? Que no se me salga un correo que no debiese haber salido porque lo mandó una persona dentro de mi organización. Es un cambio muy fuerte. S les voy a dar un ejemplo que que que yo tuve dentro de de de las conversaciones que he tenido. Eh, una empresa, nos contaron que eh la recepcionista, una empresa pequeña, la recepcionista cada vez que llegaba una persona a ver al gerente general o a la capa directiva anotaba su nombre y al ladito anotaba su fecha de nacimiento. Por ejemplo, iba yo estaba torbellino, no les voy a decir mi año de nacimiento, solamente la fecha de octubre, del año que sea. Y ahí ella el día lo tenía, hizo una base de datos y ella para el día del cumpleaños le escribía un mail a su jefe y le decía, "Oiga, hoy día el cumpleaños de Tabana para que usted le mande un mail." O sea, fantástico, super buen servicio. Y al gerente Gal le mandab mandando un mailo, "Estimada Tabata, feliz cumpleaños." O sea, uno diría, "Oye, está perfecto, qué qué amable, qué simpático." Pero hoy en día con esta ley, esa gestión de buena feocua del de la de la persona de la recepción se transforma en un tratamiento de datos para el cual no hay una base legal. Entonces, alguien podría decir, "Vamos, amarillo que en el semáforo, un tipo de infracción grave. Por supuesto, la agencia no me va a multar con 10 minut por eso, pero es un ejemplo de las cosas que van a ir pasando en el día a día. Eh, ¿por qué? Porque estamos acostumbrados a otra cosa. Y como ya se ha señalado a lo largo de este seminario y y es un poco la tónica, las pymes no tienen la capacidad para tener un abogado de planta que les diga, "Sí, okay, esto se puede hacer, esto no se puede hacer, voy a revisar todos tus procesos, vamos a revisar todos tus contratos." O sea, es difícil y sí hay que hacer cierta inversión, pero es difícil, sobre todo hoy en día es algo muy complejo. Entonces, ¿qué es lo que se puede hacer? Nosotros como Cámara de Comercio de Santiago a nivel muy menor y por supuesto no con la como con la especificidad que puede tener alguien que se meta en una empresa, estamos levantando ciertas matrices que le van a permitir a las empresas más pequeñas poder dar cierto cumplimiento a la normativa, un cumplimiento realmente básico. O sea, en ningún caso esto va a e va a a reemplazar una asesoría especializada para una empresa que se metan en detalle, ¿no? Pero sí va a permitir ordenar la casa de cierta forma. Entonces, por ejemplo, dentro de las obligaciones, cosas que hay que hacer para evitar estas multas tan grandes, hay que identificar los datos personales. ¿Qué significa eso? Hay que hacer una matriz de levantamiento de información. ¿Y qué significa en la práctica? mirar procesos reales y créame que no es fácil. Yo lo estoy haciendo a nivel de la Cámara de Comercio y es muy complicado. Me imagino como esto va a ser a nivel de empresas que no tienen la expertiz, no tienen el tiempo y no tienen el conocimiento para hacer esto. Hay que hacer una matriz de levantamiento, hay que hacer una política de tratamiento, probablemente hay que nombrar un delegado de datos, hay que actualizar las políticas actuales, hay que implementar el famoso procedimiento derechos arco y son cuestiones que suman y siguen y que si no las cumplo voy a caer en estas multas que son millonarias y aún cuando digamos a mí jamás me van a poner 5000 UTM, perfecto, ¿no? Pero si te van a poner CCO y 5 por 5 por 5 por 5 por 5 te afecta. Entonces, ¿cuál es la e la invitación mía? No es a quedarse sentado diciendo, "O aquí da lo mismo." ¿Por qué? Porque en un principio de la norma al menos te pide eso. Al menos te pide justamente no quedarte sentado, justamente decir, "A ver, algo hago, algo hago, algo puedo hacer." Entonces, buscar, leer, eh, buscar herramientas que en un principio sean el mínimo y partir desde ahí. eh definir qué tipo de asesoría necesito. Quizás no voy a tener una asesoría que me vea toda, pero que me que me ayude. organizaciones como la Cámara de Comercio, estamos trabajando en dar algún tipo de piso básico para ayudar a las pymes para que de ahí en adelante puedan seguir trabajando con este, pero en ningún caso quedarte sentado los laureles porque si eso ocurre la exposición a la multa es muy alta y e esta idea que está instalada de que buen no va a pasar nada, eso no es necesariamente verdad. ¿Por qué? Porque la el ímpetu de estas de esta normativa no solamente viene de la agencia, sino que viene del titular. Y como todos sabemos, lo mismo que pasa con los procedimientos al tercer NAC, muchas veces la gente está buscando una compensación económica. Punto. No está ni ahí con su dato personal, lo que quiere es buscar un poquito de plata. Y aquí hay una fuente para obtener, no para volverse millonario, pero sí para obtener un poquitito de plata. Entonces, hay que protegerse porque si la agencia no viene, puede venir un exempleado, puede venir un empleado actual, un exempleado enojado, esto lo puede hacer, va a ser una una forma más de negociar. Puede venir un proveedor que tuvo un problema y se da vuelta y te echa la culpa a ti o viceversa. Entonces, esto no solo viene de la agencia y por eso es tan importante tomar acción, o sea, mostrar cierta diligencia. Y si bien hay un estándar de cumplimiento que puede ser diferenciado, al menos eso, al menos como decía un jefe antiguo youtu pasar el test de la risa, decir como, "Oye, estoy haciendo, estoy trabajando para esto, no estoy perfecta, pero estoy trabajando." Y esa es la invitación eh a que yo les doy a no quedar sentados porque hay una exposición y es una exposición real. Muchas gracias. Muchas gracias, Tábata. Eh, coincido contigo, estamos pronto una ley que abarca múltiples ámbitos y que precisamente es por su amplitud que deja espacios que no han sido completamente regulados, lo que inevitablemente traslada un rol interpretativo clave a la futura Agencia de Protección de Datos. En ese escenario, la autoridad no solo fiscalizará, sino que en la práctica irá complementando el sentido y alcance de la norma mediante criterios, guías y decisiones, lo que puede ser positivo en un entorno tecnológico dinámico que exige flexibilidad, pero que también plantea desafíos relevantes en términos de certeza jurídica. Por eso, el verdadero equilibrio estará en cómo la agencia ejerce esa función. Si lo hace con criterios claros, consistentes y transparente, contribuirá a ordenar el sistema y facilitar el cumplimiento. De lo contrario, existe el riesgo de generar incertidumbre en los regulados y tensionar la confianza en el nuevo régimen. Antes de comenzar con las preguntas, que ya tenemos bastantes, e me gustaría pedirles a los expositores una breve reflexión final. Pablo, comenzaríamos contigo. Oye, no, yo creo que se han dicho varias cosas y tenemos que conversar otras. Ya he visto cómo han ido apareciendo la en las preguntas. Em, hay una cuestión que, claro, es difícil de aquilatar. e eh o sea, eh se han tomado una serie de decisiones institucionales para que la protección de datos personales tenga una relevancia que antes no tenía, ¿ya? E y eso no puede ser soslayado, digamos. E o sea, se hizo una reforma constitucional, se introdujo explícitamente el derecho a la protección de datos personales eh en la Constitución. Fíjense el catálogo del artículo 19 de la Constitución solo ha incorporado dos derechos desde 1980, la libertad de creación artística y el derecho a la protección de datos personales. Ningún otro derecho se ha incorporado en el artículo 19 de la Constitución desde que se eh promulgó en 1980. Entonces, eh no no deja ser significativo de que existe una relevancia de el bien jurídico y fundamentalmente protegido a través de este derecho. Y claro, nosotros teníamos una ley que no le hacía no le hacía honor a la tutela que le correspondía aquello, pero pero las personas entendemos que cuando pasan los desastres con tu información personal, ahí es cuando relevamos la importancia de esa información personal, cuando te suplantan la identidad, cuando te hostigan, eh cuando hiciste un cambio de de de sexo registral y eso no está reconocido por por los responsables del tratamiento. En fin, o sea, hay muchos casos. Bueno, para qué decir si se hackean y filtran y se esparcen datos personales, ya sean desde cuestiones íntimas, hasta datos financieros, hasta códigos de tarjeta, password, en fin, ahí es cuando nos damos cuenta que la información personal es constitutiva de los individuos. Y por eso en el escenario actual, en el escenario de una economía de información, ah, hay varios nombres para esto, la literatura tiene mucho. Claro, aquí sí se vuelve mucho más significativo que hay que hacer un cambio switch. Y ahora sí, efectivamente, antes que decíamos parece que no son tan importantes, ahora sí son muy importantes. Y quienes tienen los deberes de resguardar eso, de resguardar esa información personal, son precisamente las organizaciones que tratan esa información, porque esa información no es de propiedad de las organizaciones. Ah, es un atributo de las personas naturales. Ya. Y entonces cuando a uno le pasa eso, claro, efectivamente. Ahora yo coincido con Tata en el la evidencia muestra en el derecho comparado que son los clientes enfurecidos, los extrabajadores, los que gatillan muchas veces esto. Efectivamente, eh lo que pasa es que uno tiene que cumplir respecto de aquellas malas personas, digamos, que buscan revanchas utilizando estratégicamente esta legislación y también respecto de las buenas personas que confían a una organización que esa organización va a ser un buen uso de esa información personal, de esos datos personales. Ya. De hecho, para que funcione la economía digital actual, para que funcionen las transacciones, un supuesto básico de buena fe y de confianza supone también de que cuando yo entregue mi mi cédula de identidad o o mis datos, mi tarjeta de crédito, tenga que confiar que quien vaya a utilizar esa información lo vaya a utilizar bien, lo vaya a asignar debido resguardo. Ah, porque esa información no le pertenece a esa organización. Entonces, eh claro, efectivamente, uno tiene que blindarse frente a los usos estratégicos, ¿cierto? Ah, este este es el mundo real, digamos. Ah, pero también hay que cumplir porque es la forma en que funcionan eh eh la economía actual, las organizaciones actualmente, etc. Entonces, esto esto es clave, digamos. Eh, por ejemplo, hay empresas grandes que, claro, dicen, "Ah, otro compliance más." Bueno, pero el día de mañana cuando tú quieras dar un salto digital e implementar inteligencia artificial u otro sistema ah para usar intensivamente tu información y ser mucho más eficiente, bueno, esto es una infraestructura normativa para poder dar ese salto, ah, para poder generar la confianza. Entonces, hay que también pensar en esa lógica, eh, y me parece que es super relevante y esa lógica no está anclada en un nuevo régimen infraccional, sino que está clada en la protección de un derecho fundamental y y no hay que perderlo de vista eso también en en este trasfondo. Eso gracias. Muchas gracias, Pablo. Catherine. Sí. Eh, para cerrar quería hacer presente y y para todos los que los asistentes, ¿verdad?, que nos están viendo y escuchando y algo que es super importante y aquí ya van los tips también porque ya a estas alturas quedan muy pocos meses, así que hay que empezar por los tips, por las cosas prácticas. Eh, hay que tener esta norma desde la perspectiva de las personas, de los usuarios, ¿verdad? y y es usuario céntrica desde ese punto de vista y por lo tanto eh la norma no se fija tanto en protección de las empresas ni ya el hecho que eh básicamente todos tengan que cumplir por igual, sino que eh tiene es una es porque es una normativa de derecho con un enfoque al Ro, ¿verdad? Por lo tanto, el cómo cumplo, pero todos tienen que cumplir con una base que es bastante alta y el cómo cumplo depende mucho de las actividades tratamientos si son de alto riesgo, ¿no? ¿Verdad? Entonces, eh es cambiar un poco la percepción de eh de estar muy centrado en la empresa, ¿verdad? En los riesgos de la empresa y esta norma te invita a verlo desde otra perspectiva y tienes que verlo desde otra perspectiva, así como lo ves las normas del consumidor, como lo ves las normas del derecho laboral, ¿verdad? son usuario céntrica y por lo tanto hay un eh hay un componente por un por una parte contrainttuitivo y por otra parte de una falta de conocimiento. Aquí hay una brecha muy importante y siempre los más afectados son las pymes, o sea, quiero decir las y sobre todo las pequeñas empresas y medianas empresas que son enormes también, pero eh las pequeñas empresas y muchas veces eh por desconocimiento y aquí nuevamente, o sea, las sanciones van a ir igual, aunque no digan, "¿Sabes qué? tuve la culpa o no sé, porque lo que busca la norma, ¿verdad?, es proteger a las personas y no así a la empresa como una organización, ¿verdad? Proteger a las personas tanto y y esto también es importante, eh, tanto clientes usuarios como los colaboradores de la propia empresa por igual, no hay que olvidar ninguna aristad. Entonces, teniendo es como en consideración eh uno puede tomar acciones, ¿verdad? Em, evidentemente que el principio de proponalidad acá es super importante y lo y la agencia lo tiene que cumplir, ¿verdad? Eh, pero vamos a ver porque todo está por verse, todo está por verse cómo cómo va a ser el tratamiento de las pim en particular. E bueno, yo eh me gustaría quedarme con tres ideas fuerza como eh primero, el problema no es tratar datos, el problema es tratarlos mal. Esta ley no te impide tratar datos personales. O sea, la ley establece que se pueden tratar datos personales, pero con un marco normativo e que es distinto y mucho más duro que el que nosotros estamos acostumbrados. Y yo estoy segura que todas las personas que estamos acá hemos entregado nuestros datos personales cientos de veces y sin ningún meramiento. O sea, estamos acostumbrados que para obtener quizás un crédito que uno quisiera o para hacer una compra online, uno aprieta Sí, sí, sí, porque uno quiere su compra, uno quiere quiere su crédito, uno quiere que la atienda al doctor. No estáis diciendo, "Ah, chuta, e aquí están mis datos personales. Uno necesita algo y está acostumbrado que esto se haga mal. Y como decía Pablo, ahora esto es un derecho constitucional y es un derecho de la persona. Entonces tiene que haber un cambio de paradigma de confiar en que el otro va a proteger tus datos personales, porque tú no estás en la posición siempre igualitaria de poder eh pelear por tus datos personales. O sea, si vas al médico pones tu huella y te duele los oídos, no vas a estar peleando por tus datos personales. O sea, tú quieres una atención ya y tienes que confiar que esa data no la van a vender para que el día de mañana te llegue un, no sé, audífono, porque había algo con tu oído, digamos. O sea, entonces tienes que estamos sobre esa base de confianza. Eso es es lo primero y esto me lleva a la segunda idea del cambio de paradigma. La el ejemplo que yo les di que me parece bastante simpático de la recepcionista que que ponía los cumpleaños es un ejemplo real y es algo que hacemos todos todo el tiempo. Todo el tiempo estamos acostumbrados a usar los datos personales por allá y por acá sin sin gran miramiento porque es como estamos acostumbrados, es como yo llevo trabajando todo el tiempo. Entonces, aquí viene un cambio cultural que tenemos que impulsar dentro de la organización. Y si nosotros somos encargados en alguna empresa o tenemos algún puesto de liderazgo en una pyme, sí tenemos que capacitar, o sea, eso es super importante, capacitar a a los trabajadores, a los colaboradores, eh capacitar con el ejemplo también y de decir como, este es un cambio cultural que va a costar, pero hay que hacerlo. Y la última, que es una frase que mi papá todavía dice, que es la responsabilidad no se delega. Esto es super importante porque la responsabilidad es del responsable tratamiento y si la pyme es el responsable tratamiento, oiga, míralo fue este, fue este, fue mi proveedor, fue este fuera acá, no sirve. La responsabilidad va a ser siempre del responsable tratamiento de datos, que somos los encargados de las pymes. Entonces, es super importante que dentro de nuestro modelo normativo tengamos toda esta esta estas ideas y estas eh eh estas aseveraciones de manera de poder dar cumplimiento a la norma. Eh, porque lamentablemente la responsabilidad va a ser de ARAPI, ya que la responsabilidad forma esta norma jamás se deja. Muchas gracias. Eh, bueno, tenemos algunas preguntas del público. Eh, la primera e es para Pablo. E consultan en qué recomiendan eh para las empresas más pequeñas que no pueden permitirse el costo de costar con un delegado de protección de datos. ¿Quién podría asumir ese rol? H no, super rápido. Miren, efectivamente estaba lo alertaba, digamos, el reglamento de la ley eh pero no es de toda la ley, sino que un aspecto de la ley, el reglamento que básicamente establece las reglas para la certificación de los modelos de prevención de infracciones e dentro de sus elementos. Esto está todavía pendiente en Contraloría, lleva eh casi 3 meses en en el gabinete de la Contralora, pero es probable que salga, digamos, y lo que permite es eh tener al delegado de protección de datos al interior de la organización, eso es caro, ya sobre todo por sus condiciones de independencia que exige la ley o externalizarlo. Y eso es más común y eso puede ser viable en ciertas organizaciones pequeñas como algunas micro o pequeñas empresas. Ahora, ojo, el modelo de prevención de infracciones es un modelo voluntario, ¿ya? Claro, uno siempre va a recomendar tener un delegado interno o externo, pero tener un delegado. Ya puede ser que usted no necesite necesariamente un delegado, ¿ya? Eso también tiene que considerarlo. Yo yo entiendo la realidad de esta cuestión, digamos. Eh eh eh pero hay operaciones que pueden ser más complejas y operaciones que pueden ser más sencillas, ¿ya? con con un buen asesoramiento de entrada puede ser posible tener un nivel de cumplimiento alto porque la operación no es compleja. Ya, ¿qué quiero decir? Si tengo una venta de un servicio bien estandarizado, entonces reviso bien en qué consiste todo esto y reviso bien al eh con eh dónde están los datos, cómo los trato, las finalidades, la base de licitud, hago esa revisión. Puede ser que esa esa organización esté cumpliendo con lo con lo con lo que exige la ley sin tener que tener un delegado protección de datos, ¿te fijas? O sea, eh y cuestiones más o menos sencillas, no va a ser la generalidad que le anden haciendo solicitudes arco, pero si aparece se puedan gestionar internet, ¿entiendes? Entonces, eso también considérelo. Ahora, eh uno siempre habla de pequeñas empresas y se imagina e eh hay apps que tratan datos sensibles en donde pueden haber miles de usuarios, ¿ya? Entonces, claro, puede ser una empresa muy pequeña, puede ser que todavía no alcance nivel de facturación alto, pero puede tener muchos datos sensible. Entonces, obviamente eso es un activo rejoso para esa app y tiene que quizás ahí conviene tener un delegado externalizado, ¿se fijan? Ah, eh eh porque si no no es escalable ese modelo en el futuro. Ojo con esto. Esto también es parte de de de cómo una organización se se sienta. Estos los famosos emprendimientos, digamos, que quieren ser después unicornios, cómo se sienta en un escenario que no busca capturar solamente un mercado nacional, sino proyectarse internacionalmente. Entonces, vender el servicio en Brasil, por ejemplo, que tiene una ley de protección de datos muy similar a la chilena y muy similar al reglamento europeo. Entonces, eh el el el mercado chileno de 20 millones de potenciales consumidores es muy chico y me interesa más Brasil y Europa. Entonces, claro, para escalar en esa operación, en el diseño, yo tengo un compliance dentro de esa aplicación. ¿Te fijas? ya lo tengo resuelto con un alto estándar y entonces puedo pensar escalar a lo grande, ¿te fijas? Entonces, ojo con eso también. Ah, no siempre eh digamos una una emprendedora vendiendo cositas por Instagram, ah, sino que a veces una aplicación de datos sensible, ¿ya? Entonces, claro, hay muchas realidades muy distintas y los riesgos son distintos. Por eso, para efectos de de si tener un delegado interno o no, hay una regla especial que en el caso de las de las pymes se permite que eh el representante legal de la pyme pueda ser el mismo, el el delegado de protección de AT, cosa que que no recomiendo mucho, digamos, porque los puntos ciegos de esa persona deben ser considerables, digamos. Ah. E o por algo se crea esta figura. Ah, precisamente porque eh las organizaciones tienen puntos ciegos de dónde pueden estar fallando en el tratamiento de datos personales. Eso. Muchas gracias, Catherine. nos señalan desde una perspectiva regulatoria. ¿Por qué se ha instalado la idea de que las sanciones constituyen un riesgo para las empresas, considerando que estas fueron diseñadas por el legislador precisamente para corregir las deficiencias del sistema anterior y enfrentar prácticas inadecuadas en el tratamiento de datos? En este contexto, ¿cómo debiera aplicarse en la práctica el principio de proporcionalidad, especialmente respecto de las pymes, atendiendo a factores como el beneficio económico? obtenido y la capacidad económica del infractor. A ver, eh, sí, claro. O sea, la idea eh la, o sea, partamos de la base de que ni una norma o el legislador nunca ha querido que una empresa quiebre por una sanción administrativa, pero pero eh recordemos aquí el bien jurídico proteger, ¿verdad?, no es la empresa, sino que es las la un derecho fundamental, ¿verdad? Eh, y la protección de los datos personales. Eh, por lo tanto, desde desde esa perspectiva, las personas tienen que tomar o las empresas, ¿verdad?, y en este caso las pymes tienen que tomar decisiones. Por ejemplo, si mi negocio va a rondar, ¿verdad?, y va a girar en torno al tratamiento de datos, tengo que tener por una parte un deber fiduciario, ¿verdad?, que de deben tener todas las empresas al respecto y también una responsabilidad de manejar bien mi negocio, básicamente. Entonces, desde esa perspectiva, el legislador, claro, el principio de proporcionalidad parte la base de que la para que una empresa no quiebre. Entonces, evidentemente que la ley es explícita en señalar todo lo que tú mencionas, como eh tener presente la gravedad de la sanción, ¿verdad? y la y la y la estructura económica de una empresa. Pero aquí no hay todavía una regla. Aquí hay tramos, ¿verdad? Tramos de de una sanción a otra que puede ir desde, por ejemplo, vámonos a las leves, desde la desde la amonestación hasta 5000 UTM. O sea, es 5000 UTM son muchos más de 300 millones, ¿verdad? ese parámetro de cómo yo determino la sanción. Eh, por ejemplo, lo que ha pasado en Europa es que muchas autoridades han señalado cuáles van a ser sus parámetros de de de determinación de multas, pero hace muy poco alguna, eh, y y lo ha y y lo y lo permiten llevar a la práctica este principio de proporcionalidad y lo tienen en guías, etcétera. No está en la ley porque la ley da un rango, ¿verdad? Y la idea es que el legislador dentro de ese rango lo determinó, ¿verdad?, para que el el en este caso la agencia, ¿verdad?, eh la sanción sea siempre proporcional. Entonces, siempre lo va a hacer. Y ahí tienen después un recurso de ilegalidad, ¿verdad?, los tribunales, si no les parece la sanción. Pero eh pero de todas maneras eh siempre lo es esa es la esa es la medida, ¿verdad? Y eso es lo que se se debiese cumplir siempre, sin perjuicio de que es una ley muy cara de cumplir. Entonces, las personas que hacen negocios, ¿verdad?, con los datos personales que básicamente no hay no hay casi ninguno. Por ejemplo, uno piensa en un software service que su negocio son los datos y muchas empresas que que su giro no es necesariamente ti, pero un negocio son los datos igualmente. Entonces eh ahí hay que tomarlo. sabes que también es importante tomar estos temas como parte de los modelos de negocio de las empresas, sobre todo, por ejemplo, en materia de startup y de fintech, o sea, es parte de tu modelo de negocio, de tus costos, de tus gastos operacionales y a largo plazo, o sea, esto no se va a ir, no se va a ir, o sea, esto es a largo plazo. Entonces, e hay un tipo de transformación empresarial, ¿verdad? decisiones, la privada, la privacidad del diseño por defecto es e uno lo ve como un principio super lejano y es superútil. Es super útil cuando uno toma estas decisiones desde el diseño, ¿verdad?, de los modelos de negocio, desde que cómo lo voy a vender, cómo lo voy a hacer, cómo voy a estructurar mis procesos, etcétera. Es super útil por por una parte para hacerlo bien desde el principio, ¿verdad? Y por otra parte para eh ahorrar, ¿verdad?, eh costó y bueno, como siempre dice ya todo el mundo compliance en general que siempre una sanción, ¿verdad? Va a ser siempre más cara que la prevención y es porque también e aquí hay un componente que es una carga, ¿verdad? Eh, porque por ejemplo el en ese sentido y es más explícito al señalar que existe una un desequilibrio de poder información entre las empresas y las personas. Por lo tanto, hay siempre una carga, ¿verdad? es la empresa mala que trata datos y y malusa el dato y abusa de los datos de las personas. Eh, entonces la la reputación, por ejemplo, de una empresa se puede ver muy afectada, aún cuando no exista una sanción. Ya ya el hecho que exista una denuncia ya es una afectación propiamente tal. Por lo tanto, eh no digo que no sea complejo, ¿verdad? Digo que eh hay que tomar eh carta en el asunto y ser superinteligente como yo manejo mis negocios, ¿verdad? si es una pyme o si es una empresa reciente o de reciente creación, eh también ser muy estratégico como yo me visualizo, ¿verdad?, y desarrollo y crezco a largo plazo. Eh, por por otro lado, es super importante también la función de la agencia en esto, o sea, de traer a las pymes a por una por otra parte de generar todas estas estas guías, ¿verdad? Y esta bajada a la hacia las empresas. Eh, aquí muchas veces dice, "El regulador está super lejos, no no ha pisado un pie en una empresa, etcétera." Bueno, ahí ahora hay que darle las bajadas, ¿verdad?, propiamente tal y hay que considerar cómo van a se van a eh determinar las sanciones. Y eh también la agencia tiene parte y y quizá gran parte de su tiempo va a ser eh concientizar a las personas, cambiar eh la los temas de eh culturales, ¿verdad? y eh y también capacitaciones, etcétera, porque hay una brecha muy grande que hay que cumplir y todo eso. Básicamente para seguir con el para seguir con el tema y respuesta, eh se pensó, ¿verdad? Se pensó dentro del principio de proporcionalidad. Muchas gracias, Tabata. No si preexiste una correspondencia estricta entre la gravedad de la infracción y el monto de la sanción, ya que en ciertos casos esta busca cumplir un efecto disuasivo relevante, incluso acercándose una lógica similar al comiso, especialmente cuando ese mecanismo no está expresamente regulado. En este contexto, ¿cómo debería equilibrarse el principio de proporcionalidad con la necesidad de que las sanciones sean efectivamente disuasivas? Una super buena pregunta. Em, y la verdad es que creo que está por verse al final. Tenemos que ver cómo funciona la agencia, porque claramente tiene que haber eh un cumplimiento de la ley, porque si no la ley se va a transformar en una letra muerta, ¿verdad? Eh, pero también eh una sanción que sea incumplible también es una letra muerta, o sea, los dos extremos se constituyen como un problema sancionatorio. Si no sanciono o si sobresanciono, porque efectivamente, como la pregunta, creo que la primera pregunta la que le hicieron a Pablo en el en el sentido de decir, ¿sabes qué? ¿Cómo cómo lograr que eh efectivamente se dé un cumplimiento a la normativa? O sea, eh y la respuesta a eso va a depender mucho de cuál sea, en mi opinión la mirada de la agencia, porque a la larga la norma hay que cumplirla de todas formas. Em, pero por otra parte esta normativa es una normativa que está inserta en un mundo para el como que tiene que ponerse el día con la norma. Estamos atrasados culturalmente respecto de la norma. Eso tampoco resulta muy muy justo eh para las empresas decir, "Mira, tú tienes 2 años, que pareciera ser un plazo enorme, pero no lo es, para adecuar todos estos procedimientos, además de todas las demás cosas que tienes que hacer." Entonces, claro, e básicamente el equivalente, como nos dijeran, "Oye, ahora todas las casas tienen que tener un techo de vidrio, no sé, y tenemos que todos poner techo de vidrio en la casa. Hay quienes van a poder hacerlo superb, pero hay quienes tienen otras prioridades y el techo de vidrio es la última cuestión en la que están pensando y lo mismo pasa con la ley de datos personales. Entonces, al final es una excelente pregunta en cómo hacer para cumplir que sea disuasiva, pero para no cumplir para pero para pero que no quiebre el sistema. Yo creo que una de las cosas que que podría funcionar es un poco el cumplimiento en tandem. O sea, básicamente esto que no no tuvimos tiempo de hablarlo en este seminario porque obviamente hemos hablado de multas, pero esta est esta necesidad de que mi proveedor sea cumpla con la ley de datos personal y al final yo elegir como proveedores a personas que a empresas que cumplan con los datos personales. Eso yo creo que es casi mejor que la multa en el sentido de decir, "¿Sabes qué? voy a perder negocio si no cumplo con la ley de datos personales. O sea, yo creo que por ahí hay una salida mucho más elegante que la multa, multa, multa, eh, porque al final eso es un winwin para todos, pero estoy muy de acuerdo que efectivamente, como decía Catherine, tiene que haber una proporcionalidad, pero ¿cuál va a ser esa proporcionalidad al final? ¿Dónde está el límite? Y eso e la agencia tiene espalda para hacer esto. La agencia tiene espalda para diferenciar multas, para determinar cuándo. Por eso es que también los montos son de 0 a 5000, o sea, hay un universo de multa enorme. Entonces, hay que tratar de encontrar el justo equilibrio y lamentablemente en este momento no tenemos respuesta. La única respuesta que tenemos es poder ver jurisprudencia europea, jurisprudencia de otros países, pero esa no es vinculante para nosotros. Entonces, al final hay que ver como el principio de realidad y cómo se opera, porque yo tampoco creo que la agencia tenga como mandato venir a quebrar la economía. Al final, como les decía en mi primera slide, estamos hablando de un porcentaje enorme del producto interno bruto, estamos hablando de un montón de empleo. Entonces, no es llegar a decir, "Ah, multo para que no haya un tema de datos personales a costa del empleo de no sé cuántas personas porque te cierro la empresa." Entonces, todo eso hay que meter en la juguera y no va a ser fácil. Muchas gracias. Eh, la última pregunta la vamos a realizar eh para todos y que quien quiera responderla, adelante. Eh, consultan cuál es la opinión de los expositores respecto eh de la ausencia en la ley en materia de medidas correctivas o de primera rata. El que guste responder. No sé si Pablo, Catherine o Tabata, yo no sé si entiendo bien la pregunta, pero pero cuando decíamos que que aquí hay un enfoque preventivo, no está solo dado por digamos el el rol que tiene el modelo de prevención de infracciones. Déjenme solo mencionar una cu de efectuar evaluaciones de impacto de tratamiento de datos personales, ya en ciertas hipótesis que establece la ley. eh en esa obligación eh eh si usted no realiza la evaluación de impacto cuando concurre la hipótesis en cuestión, es constitutivo de infracción gravísima. ¿Ya? E entonces, eh, ¿cuál es la señal del legislador ahí? Fíjese, en ciertos tratamientos de datos personales, le voy a exigir que antes de que empiece a hacer esos tratamientos, esos procesamientos de datos, sobre todo en datos masivos, datos sensibles, en fin, eh usted tenga que realizar una tarea preventiva que es evaluar eh si está bien lo que está haciendo, la finalidad, las medidas de mitigación, si las medidas de seguridad son adecuadas. En fin, tiene que hacer ese chequeo previo. Ah, un poquito con la lógica de esto no es arreglar la carga en el camino. Antes de empezar el camino, vamos a ver si podemos llevar esta carga. Eh, y el incentivo eh es un incentivo sancionatorio. Si eh no hacer la evaluación constituye infracción gravísima. Entonces, eh me parece que que la ley, por ejemplo, en ese caso, no no es el único, pero eh es en ese caso lo que está estableciendo es una un deber de implementación preventiva de ciertas actividades, de ciertos diagnósticos, etcétera, ya medidas de mitigación, etcétera. Eh, y otro que que no se ve como es como tal preventivamente, pero que yo creo que es clave en todo esto. Yo este también a propósito de los consejos, como decía Catherine, falta poquito, faltan 245 días para que entre en vigor esta ley. Ya no es que yo esté contándolo todos los días como preso, pero faltan 245 días. Fíjense, las políticas de privacidad son una vitrina eh de cómo estás tratando los datos. Bueno, antes de subir una política de privacidad tienes que ver que estés cumpliendo con la ley, ¿se fijas? Entonces, claro, no es preventivo en el sentido de que te obliga a tomar una decisión previa a su adopción, pero cuando sabes que tienes la obligación de publicar esa información, eh antes de hacerlo, obviamente vas a hacer un checreo previo de, a ver, tengo base de licitud, esta finalidad es compatible o no. eh estoy usando sistema de decisiones automatizadas. Eh, hay tráfico transfronterizo en este caso. Bueno, y y de ahí probablemente pueden saltar cuestiones que por eso yo creo que que los deberes información son tan relevantes en el esquema de compliance. En ese momento probablemente alguien va a decir, "Mira, quizás esta nube no me conviene porque tengo que meterme en todo el régimen de tráfico transfronterizo y podemos guardar los datos de otra forma. Eh, y quizás no es tan raro pensar una decisión, fíjense, en ese caso de soporte, eh, que puede tener costo o no, no lo sé, depende el caso, eh, y que te ahorra un régimen de cumplimiento que establece la ley solo porque estuviste revisando la política de privacidad que tenías que subir. Así que ojo con eso. Hay cómo opera esto en la práctica genera muchas lógicas preventivas, unas obligadas por ley con sanciones directas, otra en la mera operación de la adopción de una política de privacidad, como el otro caso que les planteé. Mira, yo yo puedo yo puedo aportar ahora e yo creo que eh llevando el estándar de de cumplimiento más o menos como de la óptica ambiental, pero lleva al a la situación de la ley de datos, yo creo que hay dos cuestiones que podrían extrapolarse. Quizás un poco mucha imaginación jurídica, pero pero por aquí creo que puede ser. Primero, el principio de minimización, que básicamente e hay que minimizar el tratamiento del dato en el sentido de que si puedo tratar un poquitito en vez de todo trato un poquitito. Estamos acostumbrados a lo puesto, estamos acostumbrados que para entrar a un departamento te pidan hasta que almorzaste ayer en la tarde, digamos. En cambio, ahora el principio de minimización es básicamente ir solo a lo que necesito. Entonces ahí e hay una prevención bastante importante porque como acaba decir Pablo, si yo no tengo el dato, no tengo el problema. Entonces, eso es lo primero. Y y lo segundo que es más importante que esto es que la ley establece un concepto que se llama el diseño por defecto, que es básicamente tengo que diseñar todos mis procesos e teniendo en mente el e la protección de los datos personales. Entonces, al momento nuevamente, si es que yo voy a mandar un correo electrónico y ahora copio a 35 personas, ahora tengo que decir, "A ver, ya voy a copiar a uno." Listo. Si ahora guardo cosas sin contraseña, bueno, dentro de mis procesos tengo que incluir contraseña. Entonces, esta óptica e como de medidas preventivas creo que podrían asemejarse a la pregunta que se está haciendo, que que claro que no aplica este cuerpo normativo, pero tiene esta dinámica de prevención más que de eh sanción, multa, etcétera, sino que es una regulación previa eh que es importante que se haga y para las pymes, sobre todo, el tema de minimización es bastante importante que y no lo tratamos, no tuvimos tiempo. Pero es esto, si yo no tengo el dato, no tengo el problema. Y tenemos la lo que se llama mucho, que me da mucha risa, la enfermedad de diógenes del dato, que guardamos, guardamos, guardamos, guardamos miles de datos que no necesitamos por si acaso. O sea, ustedes vean la oficina de la Cámara de Comercio y de repente abrí un cajón y tenéis unos documentos firmados por Bernardo Higgins, digamos. Entonces, para qué y siempre por si acaso, por si acaso, por si acaso pasa algo, ese por si acaso hay que cambiar. Entonces, creo que esa podría ser una respuesta a tu pregunta desde el punto de vista de la prevención más que sanción. Yo iría por minimización y por el diseño general. Muchas gracias. Queremos agradecer especialmente a nuestros panelistas por sus valiosas intervenciones y a todos quienes nos acompañaron el día de hoy. Los dejamos invitados a quienes quieran volver a revisar el seminario, hacerlo a través de YouTube eh de DOOE, el Banco de Información de Chile. Asimismo, los dejamos cordialmente invitados a suscribirse a nuestro newsletter, donde podrán mantenerse informado de las principales novedades legales, regulatorias y de nuestros próximos contenidos y actividades. También los dejamos invitados a los próximos seminarios que estaremos realizando, los cuales iremos informando a través de nuestros canales. Aprovecho también de comentarles que los días 14 y 15 de mayo se realizará el Congreso Chileno de Derecho y Tecnología de la Universidad de Chile, en el cual próximamente se abrirán las inscripciones para quien deseen asistir. Y por otra parte encontramos el 28 de mayo que se llevará a cabo la cumbre IA, instancia que reunirá a distintos actores del mundo tecnológico y empresarial para abordar los desafíos actuales en la inteligencia artificial. Los esperamos en todas esas actividades. Muchas gracias y que tengan muy buena tarde. ¿Qué es la información hoy en día? En DOE creemos que es una herramienta vital. La información adecuada en el momento adecuado para el propósito adecuado. La información conectada con otra genera conocimiento. Doe es el banco de información de Chile. Más de 40 millones de datos y documentos disponibles. Más de 200 años de historia digitalizada. Solo fuentes oficiales, innovación, rapidez, actualización y oficialidad. Todo en DOE, el banco de información más completo, rápido y robusto de Chile en una web doe.cl. Doe, el banco de información de Chile, presenta un espacio editorial que incentiva el diálogo del Chile de hoy desde distintas miradas. Actualidad jurídica. Información actualizada veraz y oportuna sobre temas de interés público, cambio climático, transformación digital, minería, agua, sustentabilidad, equidad de género, transparencia, constitución. Una nueva realidad más diversa y compleja con nuevos paradigmas, ideas y debates que abordar. Todo lo que necesitas para estar bien informado. Abramos el diálogo. Abre actualidad jurídica, el blog de DoE.

Multas y cumplimiento en la nueva ley de datos personales: desafíos y riesgos para las empresas

Hacer Pregunta

Respuesta:

Historial de Preguntas

Análisis

RESUMEN DEL VIDEO: Multas y Cumplimiento en la Nueva Ley de Datos Personales: Desafíos y Riesgos para las Empresas

Introducción y Contexto

Cambios Clave de la Nueva Ley

Desafíos Culturales y de Implementación

Análisis de las Sanciones y el Cumplimiento

Principio de Proporcionalidad y su Importancia para las PYMEs

Implicaciones para las PYMEs

Rol de la Agencia de Protección de Datos

Reflexiones Finales y Recomendaciones

Sabiduría

RESUMEN

IDEAS

INSIGHTS

CITAS

HÁBITOS

HECHOS

REFERENCIAS

CONCLUSIÓN EN UNA FRASE

RECOMENDACIONES

Multas y cumplimiento en la nueva ley de datos personales: desafíos y riesgos para las empresas

Hacer Pregunta

Respuesta:

Historial de Preguntas

Análisis

RESUMEN DEL VIDEO: Multas y Cumplimiento en la Nueva Ley de Datos Personales: Desafíos y Riesgos para las Empresas

Introducción y Contexto

Cambios Clave de la Nueva Ley

Desafíos Culturales y de Implementación

Análisis de las Sanciones y el Cumplimiento

Principio de Proporcionalidad y su Importancia para las PYMEs

Implicaciones para las PYMEs

Rol de la Agencia de Protección de Datos

Reflexiones Finales y Recomendaciones

Sabiduría

RESUMEN

IDEAS

INSIGHTS

CITAS

HÁBITOS

HECHOS

REFERENCIAS

CONCLUSIÓN EN UNA FRASE

RECOMENDACIONES

Transcripción

Otros