Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow 2015

1. BIENVENIDOS
Websense
Data Protection
Roadshow
2015

2. A N D R É S P U M A R I N O
A B O G A D O
DATA PROTECTION ROADSHOW
2015

3. LAS CLAVES PARA ENFRENTAR LAS
NUEVAS TENDENCIAS EN PROTECCIÓN
DE DATOS EN CHILE

4. TEMARIO
1. Introducción
2. Cambio de paradigma(otro escenario). Ante proyecto
de Ley marca la tendencia global.
3. ¿Qué entendemos por dato?. Tipos de datos
4. Autoridad reguladora
5. Sanciones
6. Conclusiones

5. Fuente: El Mercurio, 14 octubre 2014

6. 6
• La existencia de bases de datos en
los últimos años se ha expandido
considerablemente en materias
como:
• Banca
• Salud (ficha electrónica,
licencia electrónica)
• Laboral
• Comercio electrónico
• Los datos personales o
nominativos procesados
computacionalmente va
mucho más allá que el
problema de los protestos,
morosidad comercial y de
archivos históricos almacenados
en bancos de datos.
• No hay registro de responsable
privado de bases de datos,
• No hay órgano fiscalizador
idóneo.
Fuente: Diario Financiero,

7. PROTECCIÓN DE DATOS A NIVEL MUNDIAL
Fuente: https://www.forrestertools.com/heatmap

8. RECONOCIMIENTO
Privacidad e intimidad (Género a especio)
Intimidad zona espiritual intima reservada de una persona o grupo, especialmente o
de una familia (RAE). Ejemplos: sentimientos, creencias, información sensible,
información médica.
Privacidad, ámbito de la vida privada que se tiene derecho a proteger de cualquier
intromisión. (RAE). Ejemplo, ámbito íntimo o no en que un individuo tiene derecho a
no sufrir intromisión.
La protección de datos se encontraría en el ámbito de intimidad que comprende
aquellos datos que nunca entregaría una persona libre y conscientemente.
En Chile se plasma Garantías Constitucionales
Art. 19 N°4 y N°5
4º.- El respeto y protección a la vida privada y a la honra de la persona y su familia;
5º.- La inviolabilidad del hogar y de toda forma de comunicación privada. El hogar
sólo puede allanarse y las comunicaciones y documentos privados interceptarse,
abrirse o registrarse en los casos y formas determinados por la ley;

9. LOS DERECHOS ARCO
• (A)cceso
• (R)ectificación
• (C)ancelación
• (O)posición

10. LEY DE PROTECCIÓN DE DATOS
10
• Gran cantidad de
información
• Tratada por medios
informáticos y también
transmitida a través de las
tecnologías de la
información
• Preocupación de verse
afectados los derechos
fundamentales

11. 11
Fuente: La Tercera 17 de marzo
2014
Fuente: La Tercera 23 de febrero 2015

12. DF 23 de marzo 2015

13. 13
CIBERCRIMEN
¿Qué persiguen hoy en día los delincuentes?
Internet
Clientes
Servidor Web
Host/Servidores Aplic.
SSL
Datos en
volumen
https

14. Fuente: El Mercurio, 2 agosto 2014

15. VISUALIZANDO PROBLEMAS
• Organizaciones preparadas
• Son mis problemas
• Responsabilidad de la empresa
• Necesidad de invertir en la imagen de la empresa
• Ser capaz de visualizar desde la perspectiva de la
defensa y la protección hacia el compliance de la
organización

16. GOBIERNO DE LOS DATOS
EN LA EMPRESA
Fuente: Deloitte, marzo 2015

17. IMPACTOS EN LA EMPRESA

18. 18
ANTE PROYECTO LEY
PROTECCIÓN DE DATOS

19. EVOLUCIÓN DE LA DISCUSIÓN
Proy. Ley Adm. Piñera Inicio Propuesta pública
Sept 2014
Consulta Pública
Minecom
Fines Sept 2014
Comisión trabajo
Julio 2014 MinEcom
¿Ingreso Congreso?
20015-2
2013 2015

20. Cambio en el escenario de
Protección de datos

21. Protección de los derecho fundamentales
Art. 19 N° 4 y N° 5 CPR
4° “El respeto y protección a la vida privada y a la honra de la persona y su familia”
5º “La inviolabilidad del hogar y de toda forma de comunicación privada.
El hogar sólo puede allanarse y las comunicaciones y documentos privados
interceptarse, abrirse o registrarse en los casos y formas determinados por la ley”

22. Cambio en el eje de protección de
datos en el derecho de los
de los titulares

23. QUE OCURRE HOY
• La ley fija la libertad de tratamiento de datos
personal
• El tratamiento se debe hacer de acuerdo a la ley
• Las finalidades del tratamiento deben ser
permitidas por el ordenamiento jurídico.
23

24. DEFINICIÓN DEL DATO HOY
• La ley estableció un marco conceptual, la ley define por
ejemplo la voz “dato”.
• Es la unidad básica de información
• Si la información es de una persona determinada o
susceptible de serlo, es dato personal o dato nominativo
• Se refiere no sólo a contenidos en formato texto, sino
que también a documentos en formato imagen y
sonido con tal que transmitan información concerniente
a personas susceptibles de ser determinadas.
24

25. DEFINICIÓN TRATAMIENTO DE DATOS
ANTE PROYECTO LEY
• Se aplicará al tratamiento de los datos personales
consten o no en bases de datos, independientemente
del medio o soporte en que se encuentren contenidos,
si son manuales o de otro tipo, o el tratamiento es
realizado por los órganos del Estado, privados o
personas naturales.
• El régimen de protección de datos personales que se
establece en esta ley no será de aplicación a las bases
de datos mantenidas en un ambiente exclusivamente
personal o doméstico y para actividades relacionadas
con su vida privada y familiar. En caso que pierdan tal
carácter quedarán sujetas a las disposiciones
contenidas en esta ley

26. DATO BIOMÉTRICO
• Cualquier dato personal relativo a las
características físicas, fisiológicas o conductuales
de una persona que permitan su identificación
única, como imágenes faciales o datos
dactiloscópicos.

27. ALGUNOS PRINCIPIOS
(En el Ante proyecto Ley)

28. PRINCIPIO DE CALIDAD
• El responsable deberá asegurar en todo momento que los
datos personales que trata son exactos, debiendo adoptar
todas las medidas razonables para que estos sean actuales y
completos.
• Así, los datos personales tratados deberán reflejar la
verdadera del titular.
• Deberá limitar el período de conservación y almacenamiento
de los datos personales al mínimo necesario para realizar
legítimamente el tratamiento de los datos personales. De este
modo, cundo los datos personales hayan dejado de ser
necesarios para el cumplimiento de las finalidades que
legitimaron su tratamiento deberán ser cancelados o
convertirse en anónimos

29. PRINCIPIO DE TRANSPARENCIA
• El responsable deberá contar con políticas claras,
legibles y en idioma castellano que den cuenta de
las operaciones de tratamiento de datos que
realiza.
• Dar información acerca de su identidad, contacto
y tratamiento

30. PRINCIPIO DE RESPONSABILIDAD
• Adoptar todas las medidas necesarias, seguridad e información
• El responsable o el encargado deberá comunicar cualquier violación de datos
personales al Consejo y a los titulares afectados, inmediatamente o dentro del
plazo máximo de 24 horas contados desde que haya tomado conocimiento de
ésta. La comunicación deberá realizarse de conformidad con el procedimiento
fijado por el Consejo, debiendo contener al menos la descripción de los hechos, la
naturaleza de los datos personales involucrados, la información de contacto del
responsable, los efectos previstos y cuáles son las medidas adoptadas para
minimizar la afectación de derechos de los titulares.
• Incumplimiento de lo dispuesto en esta ley por el responsable o encargado, sufran
daño en sus bienes o derechos tendrán derecho a ser indemnizados.
• La obligación de indemnizar, en ningún caso reemplaza el deber de cesar
inmediatamente en la respectiva operación de tratamiento de datos personales
que se realiza con infracción a esta ley ni del deber del Consejo de iniciar los
procedimientos sancionatorios a que hubiere lugar.

31. Consejo de Protección de Datos
(agencia reguladora)

32. CONSEJO PARA LA PROTECCIÓN
DE DATOS
• Corporación autónoma de derecho público, con
personalidad jurídica y patrimonio propio
• Ministerio de Economía
• Promover y garantizar el derecho de las personas
naturales de proteger y controlar los datos
personales que le conciernan, fiscalizar el
cumplimiento de las normas, generales y
especiales, sobre tratamiento de datos personales

33. FUNCIONES
Algunas serían:
• Fiscalizar el cumplimiento de la legislación, sobre tratamiento de datos
personales, en especial en lo relativo a los derechos de información,
acceso, rectificación, cancelación y oposición.
• Resolver, fundadamente, los reclamos de los titulares por infracción a la
legislación, general y especial, sobre tratamiento de datos personales.
• Requerir a los responsables y encargados de tratamiento de datos,
previa audiencia de éstos, la adopción de las medidas necesarias para
la adecuación del tratamiento de datos a las disposiciones de esta ley y,
en su caso, ordenar la cesión de los tratamiento y la eliminación de las
bases de datos, cuando no se ajuste a sus disposiciones.
• Sancionar

34. NOTIFICACIÓN DE BASES DE DATOS DE
PRIVADOS Y PERSONAS NATURALES
• Las creación de bases de datos que contengan datos personales
deberá ser notificada al Consejo por el privado o la persona que
pretenda crearlas, con carácter previo a su creación. En caso que de la
creación de la base de datos resulten simultáneamente responsables
varias personas, naturales y/o jurídicas, cada una de ellas deberá
notificar, a fin de proceder a su inscripción en el Registro Nacional de
Bases de Datos, la creación de la correspondiente base de datos.
• La notificación de una base de datos personales es independiente del
sistema de tratamiento empleado en su organización y del soporte o
soportes empleados para el tratamiento de los datos.
• Cuando los datos personales objeto de un tratamiento estén
almacenados en diferentes soportes, automatizados y no automatizados
o exista una copia en soporte no automatizado de una base de datos
automatizados sólo será precisa una sola notificación, referida a dicha
base de datos.

35. OFICIAL DE PROTECCIÓN DE DATOS
Encargado:
Persona natural o jurídica, distinta del responsable,
que, individualmente o con terceros, efectúa todo o
parte del tratamiento de datos personales por
cuenta de dicho responsable.

36. La clave para la empresa hoy:
Fuga de información
v/s
Vulneración de derechos

37. Al ampliarse el concepto del dato se complejiza
el derecho acceso
¿Tenemos los datos clasificados
Correctamente?
La Clave: clasificar y sistematizar bases de datos

38. Clave: Tenemos las políticas adecuadas para
hacer frente a una crisis
Por el mal uso de los datos
Riesgo reputacional

39. CÓDIGOS DE CONDUCTA
• Las asociaciones gremiales o entidades representativas de responsables
de bases de datos de organismos privados podrán elaborar códigos de
conducta
• Para definir normas para optimizar el comportamiento de los asociados
en el tratamiento de datos personales, de manera de asegurar y mejorar
las condiciones de operación de los sistemas de información en función
de los principios establecidos en esta ley.
• Dichos códigos deberán ser notificados al Consejo para su inscripción en
el Registro Nacional de Bases de Datos. El Consejo podrá denegar la
inscripción cuando considere que no se ajusta a las disposiciones legales
o a las instrucciones impartidas por él, debiendo, en este caso, el
Consejo requerir al solicitante que efectúe las correcciones pertinentes.
• Código se inscribe en el Registro Nacional de Bases de Datos, servirá
como un antecedente que el juez deberá tener en consideración para
determinar la responsabilidad con que actuó el responsable.

40. SANCIONES

41. TIPOS DE SANCIONES
• Las infracciones leves serán sancionadas con multa de
100 a 1.000 UTM
• Las infracciones graves serán sancionadas con multa de
1.000 a 5.000 UTM
• Las infracciones muy graves serán sancionadas con
multa de 5.000 a 10.000 UTM
• Tratándose de infracciones muy graves, el Consejo
podrá, mediante resolución fundada, aplicar como
sanción accesoria la inhabilitación perpetua de la base
de datos infractora

42. SON INFRACCIONES GRAVES
Crear bases de datos de titularidad pública o iniciar la recolección de
datos personales para los mismos, sin contar con competencia legal para
hacerlo.
Tratar datos personales sin contar con el consentimiento de los titulares,
Tratar datos personales o utilizarlos posteriormente con infracción a los
principios y derechos establecidos en el Título II Principios del Tratamiento
de Datos Personales y Título III Derechos de las Personas y las disposiciones
que los desarrollan, salvo que sea constitutivo de infracción muy grave.
Ceder datos personales sin contar con la legitimación para hacerlo de
conformidad con esta ley, salvo que la misma sea constitutivo de
infracción muy grave.
La vulneración del deber de confidencialidad

43. ALGUNAS CLAVES
• Generar políticas
• Elaborar acciones concretas en la organización
• Asignar responsable
• Revisar contratos del personal y sub contratistas
• Trabajar con estándares internacionales ISO 27.000 y siguientes
• Automatizar los procesos y cómo están clasificados los datos
• Quién maneja los datos y quién tiene acceso. Dónde se
encuentran

44. PARA TENER PRESENTE

45. WWW.ANTIPHISHING.ORG
45

46. AGENCIA ESPAÑOLA PROTECCIÓN
DE DATOS
www.agpd.es

47. CONCLUSIONES
 Cambio de eje desde perspectiva comercial hacia protección de derechos
(Clave concienzar)
 La convergencias de negocios, las empresas se fusionan unas absorben a otras,
con lo que las fusionadas tendrán que comunicar datos personales de sus clientes.
 Clave laboral
 Revisión de contratos de trabajo
 Hace revisión de Reglamento Orden, Higiene y Seguridad
 Elaboración de políticas
 Los datos que proporcionamos a empresas tanto públicas como privadas deben
tener un resguardo.
 Clave: Trabajar la metodología del riesgo. Estar preparados para una nueva
autoridad de control.
 Las sanciones serán altas (Prepararse para los riesgos, evitar incidentes)
47

48. 48
Gracias!!
Andrés Pumarino M.
apumarino@legaltt.com
www.legaltrust.cl
Abogado