by Colomba Rivera | May 20, 2025 | Noticias, Sin categoría
Proyecto de Ley de Inteligencia Artificial avanzó tramitación a Comisión de Hacienda de la Cámara de Diputados.
El miércoles 14 de mayo se registró un nuevo avance en la tramitación del proyecto de ley que busca regular los sistemas de Inteligencia Artificial (IA) en Chile. En esta oportunidad, la Comisión de Futuro, Ciencias, Tecnología, Conocimiento e Innovación de la Cámara de Diputadas y Diputados aprobó el proyecto, permitiéndole continuar su curso legislativo.
Este proyecto establece un marco normativo para el funcionamiento de los sistemas de IA en el país, y su tramitación continúa ahora en la Comisión de Hacienda de la misma cámara. En caso de ser aprobado en esa instancia, será sometido a votación en la sala de la Cámara, y, de no haber inconvenientes u objeciones, posteriormente pasará al Segundo Trámite Constitucional en el Senado.
El desarrollo de este proyecto se enmarca en el creciente uso de tecnologías basadas en Inteligencia Artificial, cuyas implicancias —tanto positivas como negativas— ya se manifiestan en distintos ámbitos de la sociedad chilena.
by Colomba Rivera | May 15, 2025 | Noticias
El pasado 08 de octubre de 2024 el Consejo Europeo de Protección de Datos (“CEPD”) publicó unas directrices sobre el tratamiento de datos personales basado en el interés legítimo (“Directrices”).
Las Directrices examinan los criterios establecidos en el artículo 6.1.(f) del Reglamento General de Protección de Datos (“RGPD”) que los responsables del tratamiento deben cumplir para tratar datos personales cuando dicho tratamiento sea “necesario para los fines de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero”.
El artículo 6.1.(f) del RGPD es una de las seis bases legales previstas para el tratamiento legítimo de datos personales.
Por tanto, el interés legítimo no debe considerarse como una última opción para situaciones excepcionales o imprevistas en las que no aplican otras bases legales (p. ej., el consentimiento), ni seleccionarse automáticamente ni ampliarse su uso de forma indebida bajo la idea de que es menos restrictivo que otras bases legales por fundamentarse en una decisión unilateral del responsable del tratamiento.
En este sentido, el CEPD indica que para que el tratamiento de datos personales se base en el artículo 6.1.(f) del RGPD, deben cumplirse tres condiciones acumulativas:
i. La existencia de un interés legítimo por parte del responsable del tratamiento o de un tercero.
ii. La necesidad de tratar datos personales para los fines de dicho interés legítimo.
iii. Los intereses, derechos fundamentales o libertades de los interesados no prevalezcan sobre los intereses legítimos del responsable del tratamiento o de un tercero.
Para determinar si un tratamiento de datos personales puede basarse en el artículo 6.1.(f) del RGPD, los responsables del tratamiento deben realizar una evaluación detallada y documentar si se cumplen las tres condiciones acumulativas anteriormente indicadas. La evaluación debe completarse antes de llevar a cabo las operaciones de tratamiento correspondientes.
I. Existencia
No todos los intereses del responsable del tratamiento o de un tercero pueden considerarse legítimos. Solo pueden invocarse como base legal aquellos intereses que sean legales, claramente definidos y actuales.
Además, es obligación del responsable del tratamiento informar al interesado sobre los intereses legítimos que motivan dicho tratamiento.
II. Necesidad
Debe evaluarse si el interés legítimo no puede lograrse de manera razonable y efectiva a través de medios alternativos que sean menos restrictivos para los derechos y libertades fundamentales de los interesados, teniendo en cuenta también el principio de minimización de datos personales establecido en el artículo 5.1 del RGPD.
En consecuencia, si existen otros medios menos restrictivos, el tratamiento no puede basarse en el artículo 6.1.(f).
III. Prevalencia
Los intereses, derechos fundamentales o libertades del interesado no deben prevalecer sobre los intereses legítimos del responsable del tratamiento o de un tercero (relacionado con el responsable del tratamiento), lo cual implica encontrar un equilibrio entre los derechos e intereses en conflicto que depende principalmente de las circunstancias específicas del tratamiento en cuestión.
El tratamiento solo será posible si el resultado de este análisis muestra que los intereses legítimos del responsable del tratamiento o de un tercero no son anulados por los derechos y libertades del interesado.
Conclusiones
i. Cuando se pretenda basar el tratamiento en el interés legítimo, el responsable del tratamiento debe realizar una evaluación adecuada en virtud del artículo 6.1.(f) del RGPD.
ii. La evaluación para determinar la idoneidad del tratamiento basado en el interés legítimo no es una tarea sencilla, dado que exige una consideración detallada de una serie de factores que permitan realizar una ponderación entre los derechos de los interesados y el interés legítimo del responsable del tratamiento o de un tercero.
iii. Entre los factores a tener en cuenta se encuentran:
- la naturaleza y el origen del interés legítimo,
- el impacto del tratamiento sobre los derechos y libertades des fundamentales del interesado,
- las expectativas razonables del interesado respecto al tratamiento, y
- la existencia de garantías adicionales que puedan limitar impactos indebidos en los derechos de los interesados.
iv. Las Directrices ofrecen una orientación sobre cómo llevar a cabo una evaluación que permita a los responsables del tratamiento basar el tratamiento en el interés legítimo, incluyendo ejemplos en contextos específicos (p. ej., la prevención del fraude o el marketing).
v. Las Directrices explican la relación entre el artículo 6.1.(f) del RGPD y diversos derechos de los interesados recogidos en el reglamento.
vi. Finalmente, es importante mencionar que las Directrices han pasado por un proceso de consulta pública, permitiendo a las partes interesadas presentar sus opiniones o comentarios hasta el pasado 20 de noviembre de 2024 y, por tanto, aún pueden ser modificadas.
by Colomba Rivera | May 9, 2025 | Noticias
El pasado 05 de marzo se llevó a cabo con éxito el webinar titulado “¿Cómo podría Trump 2.0 transformar los negocios en Latinoamérica?”, organizado por Albagli Zaliasnik (AZ), Miller & Chevalier en colaboración con Compliance Latam.
Participaron como expositores Rodrigo Albagli, socio de AZ, Yoab Bitran, director de Grupo Compliance, María Lapetina, socia de la firma estadounidense Miller & Chevalier, y Facundo Galeano, asociado de la misma firma. Juntos ofrecieron una visión experta sobre los desafíos que podrían surgir en materia de compliance, regulaciones internacionales, comercio y relaciones bilaterales, en el contexto de una nueva administración estadounidense liderada por Trump.
Durante la conversación, se abordaron temas clave como el endurecimiento de políticas regulatorias, eventuales cambios en tratados comerciales, y el fortalecimiento de los mecanismos de control en las operaciones internacionales, todo lo cual impacta directamente en las estrategias de cumplimiento y gestión de riesgos de las empresas chilenas y latinoamericanas.
El evento fue una instancia valiosa para que ejecutivos, abogados y profesionales del área pudieran anticiparse a posibles escenarios y ajustar sus estrategias frente a un contexto político internacional cambiante.
by Colomba Rivera | May 7, 2025 | Noticias
El 25 de febrero de 2025, la Asamblea Legislativa aprobó la Ley de Fomento de la Inteligencia Artificial y Tecnologías (en adelante, la «Ley IA«). Su objetivo es impulsar el desarrollo, la investigación y la aplicación de la inteligencia artificial (en adelante, «IA«) en El Salvador, fomentando la innovación y asegurando su uso responsable para contribuir al avance tecnológico y el crecimiento económico del país. La Ley IA aplica a todas las personas naturales o jurídicas involucradas en la investigación, desarrollo y aplicación de la inteligencia artificial, así como a quienes recopilen, almacenen y procesen datos para estas actividades.
Principios fundamentales. Los principios claves que rigen la Ley IA son: transparencia y explicabilidad, equidad e inclusión, seguridad y privacidad, responsabilidad y rendición de cuentas, y sostenibilidad ambiental.
Creación de la Agencia Nacional de Inteligencia Artificial (ANIA). Para garantizar la correcta implementación de la Ley IA, se crea la Agencia Nacional de Inteligencia Artificial (“ANIA”), una institución autónoma adscrita a la Presidencia de la República. Sus principales funciones incluyen:
- Supervisar el cumplimiento de la Ley IA y gestionar el Marco Integral de Evaluación de Riesgos para sistemas que manejen datos confidenciales o personales.
- Administrar el Registro Nacional de Desarrollo, Innovación y Aplicación de IA.
- Fomentar alianzas público-privadas para el desarrollo de IA.
- Colaborar con el Ministerio de Educación para integrar la IA en los programas educativos.
- Emitir normativas técnicas de seguridad junto con la Agencia de Ciberseguridad del Estado (ACE).
Libre Participación. Las personas naturales y jurídicas, tanto nacionales como extranjeras, tendrán la libertad de realizar directamente o participar en el desarrollo, investigación, entrenamiento e implementación de la IA y tecnologías similares en El Salvador.
Registro y Salvaguardas. Las personas o entidades que hagan uso exclusivo de datos de dominio abierto o de su propiedad en proyectos que no busquen fines comerciales o de uso público deberán inscribirse en el Registro Nacional de Desarrollo, Innovación y Aplicación de IA para poder acceder a las salvaguardas de la ley, tales como:
- Uso autorizado de datos de dominio abierto para fines de investigación, sin prejuicio de recibir imposición de medidas cautelares o judiciales como limitantes; siempre y cuando, dicho uso respete la legislación aplicable.
- Exoneración de responsabilidad en entornos experimentales, siempre que dichas actividades no sean desplegadas comercialmente ni afecten los derechos de los usuarios.
- No se establecerá responsabilidad por el mal uso de IA por terceros, siempre que se hayan seguido los estándares de seguridad, ética y operatividad establecidos.
- Los modelos de IA (ponderaciones, datos de entrenamiento, resultados, etc.) no estarán sujetos a condiciones de licencia restrictiva que limiten la competencia, innovación o investigación. Ninguna entidad privada podrá imponer condiciones, salvo que dichas restricciones se encuentren expresas en la legislación salvadoreña.
Si las actividades se encuentran relacionadas con funciones públicas o áreas supervisadas, deberán cumplir también con las normativas técnicas de seguridad establecidas por ACE y otras entidades competentes.
Evaluación de riesgo de la IA y tecnologías similares. La ANIA implementará un marco integral de evaluación de riesgos que equilibre la innovación tecnológica con la seguridad pública y el bienestar social. Su cumplimiento será obligatorio únicamente para sistemas que manejen datos confidenciales, reservados o personales según la legislación vigente. Este marco será flexible para adaptarse a nuevos estándares y clasificaciones internacionales de seguridad.
Responsabilidad en el ciclo de vida de la IA o tecnologías similares. Las partes involucradas en el ciclo de vida de la IA, incluyendo desarrolladores, implementadores, proveedores de servicios y usuarios finales, deberán asumir la responsabilidad correspondiente a su rol para garantizar un uso ético y seguro de estos sistemas. Los desarrolladores deberán diseñar soluciones que cumplan con los estándares técnicos y éticos establecidos. Por su parte, los implementadores serán responsables de su correcta aplicación y del cumplimiento de las normas de seguridad. En el caso de los proveedores de servicios, deberán garantizar una infraestructura segura, y los usuarios finales deberán emplear los sistemas de IA de manera responsable, respetando su propósito y alcance.
Decisiones Automatizadas y Derecho a Impugnación. Cuando se utilice la IA comercialmente o para acceder a derechos o servicios dentro de la república, se estará en la obligación de informar al usuario de sí, la decisión fue adoptada directamente por la IA o fue impulsada por esta. Además, se establecerán mecanismos para que los ciudadanos puedan impugnar dichas decisiones ante una persona natural competente, quien podrá confirmar, modificar o revocar la resolución.
Protección de Datos Personales y Seguridad. El uso de datos personales en el desarrollo de IA deberá cumplir con la Ley de Protección de Datos Personales y con las normativas de seguridad emitidas por la ANIA y ACE.
Protección de la propiedad intelectual en el desarrollo de IA. La propiedad intelectual de la IA, incluidas patentes, derechos de autor y secretos industriales, pertenece exclusivamente a su creador. En proyectos colaborativos, los derechos deben definirse mediante acuerdos previos. Los algoritmos, bases de datos y sistemas de IA desarrollados en el país están protegidos por la ley, prohibiéndose su uso o divulgación sin autorización del propietario.
Libre Competencia y Desarrollo de IA de Código Abierto. Se prohíbe la imposición de restricciones arbitrarias en el desarrollo de IA de código abierto; igualmente, se fomentará la participación internacional en proyectos de IA, garantizando la colaboración y el acceso a innovaciones tecnológicas.
Este decreto está sujeto a posibles modificaciones antes de su publicación en el Diario Oficial. La Ley IA entrará en vigencia ocho días después de su publicación en el Diario Oficial.
by Colomba Rivera | Abr 29, 2025 | Noticias
ASPECTOS RELEVANTES:
La Superintendencia de Protección de Datos Personales (“SPDP”), ha dado un paso trascendental al publicar sus primeras cinco resoluciones en respuesta a las consultas del público. Esta iniciativa marca un hito importante en la evolución del sistema de protección de datos personales del país, ya que establece precedentes interpretativos que ayudarán, tanto a ciudadanos como a organizaciones, a comprender mejor sus derechos y obligaciones en esta materia. Los temas tratados en las consultas son los siguientes:
- Reconocimiento de Buenas Prácticas en Protección de Datos.
- Proceso de Verificación de la Designación del Delegado de Protección de Datos (“DPO”).
- Aplicación del uso del Código Dactilar en Nombramientos de Representantes Legales.
- Trazabilidad de Tarjetas de Implante y su tratamiento.
- Documentos Notariales y Acceso a Terceros.
RESUMEN DE LAS CONSULTAS DE LA SUPERINTENDENCIA
- Consulta 01: 2024- Reconocimiento de Buenas Prácticas en Protección de Datos:
Consulta: Actualmente, la SPDP no ha establecido procedimientos ni normativa para el reconocimiento de buenas prácticas contemplado en la tercera disposición transitoria de la Ley Orgánica de Protección de Datos Personales (“LOPDP”). No existen criterios definidos, requisitos documentales, cronogramas o ventajas específicas para su obtención. ¿Cuál es el procedimiento aplicable para responsables y encargados del tratamiento que buscan obtener el reconocimiento por buenas prácticas?; ¿Qué consecuencias concretas o beneficios tangibles se derivan de la obtención del reconocimiento de buenas prácticas?
ronunciamiento: La Superintendencia no puede emitir un pronunciamiento sobre este tema hasta que se publique la regulación correspondiente. Se sugiere presentar una nueva consulta una vez que la normativa haya sido emitida.
- Consulta 02: 2024- Proceso de Verificación de la Designación del Delegado de Protección de Datos:
Consulta: Actualmente, no se ha implementado un sistema formal para validar el nombramiento del DPO. La normativa vigente no especifica los procedimientos, requisitos documentales ni fechas límite para este proceso de verificación. ¿Existirá un procedimiento de verificación orientado al control de cumplimiento de dicha obligación?; ¿Cuáles son los documentos y evidencias que deberán presentarse para sustentar el cumplimiento de la obligación?
Pronunciamiento: Si bien aún no se ha emitido la normativa correspondiente, la obligación de designar un DPO según la LOPDP debe cumplirse, independientemente de que no exista aún una normativa específica sobre el proceso de verificación.
- Consulta 03: 2024- Aplicación del uso del Código Dactilar en Nombramientos de Representantes Legales:
Consulta: ¿Se afecta el derecho a la protección de datos de carácter personal, previsto en el artículo 66, numeral 19 de la Constitución de la República, por la disposición reglamentaria del uso del código dactilar junto al número de cédula de ciudadanía para la emisión de nombramientos de representantes legales de las sociedades controladas por la Superintendencia de Compañías, Valores y Seguros?
Pronunciamiento: El código dactilar constituye un dato biométrico sensible según la LOPDP. Su requerimiento es excesivo dado que el número de cédula es suficiente para identificar al representante legal. Esta exigencia contradice los principios de necesidad, proporcionalidad y minimización de datos, por lo que se recomienda eliminar este requisito para proteger adecuadamente los datos personales.
- Consulta 04: 2024- Trazabilidad de Tarjetas de Implante y su tratamiento:
Consulta: ¿Cuál es el proceso de tratamiento de datos personales que deben seguir los establecimientos de salud, fabricantes, y/o titulares de registros sanitarios en relación con la trazabilidad de las tarjetas de implante?
Pronunciamiento: El procesamiento de esta información exige el estricto cumplimiento de los principios establecidos en la LOPDP, junto con la obtención del consentimiento informado por parte del titular de los datos. La recopilación y manejo de información debe limitarse exclusivamente a aquellos datos que sean indispensables para asegurar la trazabilidad efectiva de los dispositivos médicos. Este seguimiento tiene como objetivo fundamental permitir la rápida identificación y ubicación de los dispositivos médicos implantados cuando se presenten situaciones adversas que puedan comprometer la salud del paciente.
- Consulta 05: 2024- Documentos Notariales y Acceso a Terceros:
Consulta: ¿Debe un notario entregar copias, testimonios o compulsas de documentos a cualquier persona?
Pronunciamiento: Conforme al artículo 40 de la Ley Notarial, cualquier individuo tiene el derecho de solicitar copias de escrituras públicas. No obstante, para cumplir con lo establecido en la LOPDP, es aconsejable obtener el consentimiento de los titulares para el tratamiento de sus datos personales cuando se presten servicios notariales. Asimismo, las personas externas que deseen acceder a escrituras públicas no están obligadas a formalizar un contrato con el titular ni con el notario, quien, en este contexto, actúa como responsable del tratamiento de los datos.
by Colomba Rivera | Abr 22, 2025 | Noticias
Recientemente, Uruguay presentó su Estrategia Nacional de Ciberseguridad (ENC) para el período 2024-2030, desarrollada por AGESIC, en colaboración con diversos sectores. Tiene como objetivo crear un ciberespacio seguro, abierto y resiliente, a la vez que promover el desarrollo sostenible y proteger los derechos de los ciudadanos.
La ENC se basa en ciertos principios, entre los que destacan la gestión proactiva de riesgos, la colaboración nacional e internacional, y el fortalecimiento de la resiliencia digital. Estos principios se traducen en ocho pilares claves, que abarcan desde la gobernanza y el marco normativo, hasta la ciberdefensa y la cultura de ciberseguridad.
Gobernanza
La estrategia busca establecer mecanismos para la coordinación y supervisión de políticas de ciberseguridad, definiendo roles y responsabilidades claras. Además, apunta a definir un modelo de gobernanza multinivel que distribuya responsabilidades entre niveles estratégicos, tácticos y operativos.
Marco normativo
Se actualizará la normativa para prevenir y reaccionar ante incidentes de ciberseguridad, asegurando que el marco normativo nacional esté en concordancia con los estándares y obligaciones internacionales. La estrategia fomenta un marco legal que promueva la colaboración entre el sector público y privado para fortalecer la ciberseguridad nacional.
Ciberdelitos
La ENC busca fortalecer las capacidades para prevenir y perseguir delitos cibernéticos, promoviendo la cooperación internacional. Uruguay se adherirá al Convenio del Consejo de Europa sobre la Ciberdelincuencia. Además, se fomentará el desarrollo de carreras de especialización vinculadas a la temática de ciberdelitos.
Ciberdefensa
La estrategia apunta a consolidar la ciberdefensa nacional, mejorando la respuesta a incidentes que afecten infraestructuras críticas. Se establecerán protocolos para la coordinación entre organismos vinculados a ciberdefensa y se analizarán las estructuras y mecanismos de ejecución a través de un Comando Conjunto de Ciberdefensa bajo la órbita del Ministerio de Defensa.
Infraestructuras de información crítica
Se identificarán las infraestructuras de información crítica del país y los actores involucrados en su gestión. La estrategia busca incrementar y fortalecer las capacidades de monitoreo y detección de incidentes en las infraestructuras de información crítica. Además, se analizarán las interconexiones y dependencias entre estas infraestructuras para evaluar el alcance e impacto de potenciales incidentes de ciberseguridad.
Cultura de ciberseguridad
Se promoverán buenas prácticas y comportamientos seguros en el uso de tecnologías de la información. Incluye la implementación de campañas masivas y focalizadas de concientización en ciberseguridad dirigidas a toda la población. También se promoverá el uso de identificaciones digitales fuertes y firmas digitales para proteger la identidad en línea.
Ecosistema e industria
La ENC impulsa un ecosistema de ciberseguridad competitivo, fomentando la innovación y la colaboración entre sectores. Se promoverán esfuerzos para la investigación, desarrollo e innovación en ciberseguridad, especialmente en tecnologías emergentes. Además, se prevé crear un catálogo de productos y servicios de ciberseguridad provistos en el país.
Política internacional
Uruguay establecerá un equipo diplomático a cargo de gestionar los temas vinculados a la ciberseguridad del país. La estrategia coordinará con las instituciones nacionales competentes la política exterior de Uruguay para el ciberespacio y reforzará la participación del país en espacios regionales e internacionales relevantes en materia de ciberseguridad.
Esta estrategia representa una oportunidad para que el sector tecnológico se alinee con las mejores prácticas en ciberseguridad, proteja los datos y fomente la confianza de los usuarios, impulsando la resiliencia digital y el crecimiento económico.