by Juan Manuel González | Ene 29, 2024 | Noticias, Opinión
La inminente evolución tecnológica nos lleva a reconocer la importancia de una regulación robusta que aborde los retos planteados por la inteligencia artificial (IA). A nivel internacional, ejemplos como “The Artificial Intelligence Act” de la Unión Europea y la Orden Ejecutiva en Estados Unidos evidencian la necesidad de una legislación que establezca los lineamientos y supervise el desarrollo de esta potente tecnología.
En Latinoamérica, y particularmente en Chile, nos enfrentamos al desafío de avanzar en la normativa, aprendiendo de experiencias comparadas para evitar errores. Sin embargo, nos encontramos con obstáculos significativos, especialmente debido a que el Proyecto de Ley Sobre Protección de los Datos Personales aún espera su aprobación. Esta situación dificulta la discusión legislativa sobre temas más complejos, como la regulación de sistemas de IA, la cual ya fue aprobada en general y avanzó a su discusión particular.
Es esencial reconocer que la falta de una ley actualizada sobre la protección de datos personales, combinada con la poca experiencia en la implementación de prácticas para reducir riesgos o realizar evaluaciones de impacto, representa un desafío importante para avanzar de manera responsable en la regulación de asuntos tan relevantes como este. En ese sentido, la actualización de la Ley Sobre Protección de los Datos Personales se presenta como el pilar fundamental para progresar en cualquier marco normativo relacionado con la tecnología.
Entendemos que la inteligencia artificial utiliza datos de diversos tipos, incluyendo aquellos de carácter personal, los cuales deben ser usados y resguardados de manera apropiada. Así también, no podemos pasar por alto cómo las decisiones adoptadas por estos sistemas impactan directamente en los derechos de las personas. Un ejemplo ilustrativo sería la selección de individuos para listas de espera en el sector salud o la asignación de becas educacionales. En ambos casos, ante la ausencia de una legislación actualizada y careciendo de experiencia práctica en el uso responsable de este tipo de datos, el riesgo de abusos y discriminación por parte de sistemas de inteligencia artificial es significativo.
Este domingo 28 de enero fue el Día Internacional de la Protección de Datos, un momento ideal para mirar con optimismo hacia adelante, anticipando que la comisión mixta pueda llegar a acuerdos en marzo sobre los temas en los que las cámaras aún no han logrado consenso. Este avance marcará la conclusión del proceso legislativo y abrirá un nuevo capítulo en la regulación tecnológica de Chile.
Por Constanza Pasarin y Trinidad Moreno, asociadas del grupo de compliance de Albagli Zaliasnik (az).
Fuente: Diario Financiero
by Juan Manuel González | Jun 27, 2023 | Noticias
En la era digital, la protección de datos personales se ha convertido en un tema de creciente importancia en todo el mundo. Uruguay no es una excepción, ya que el país ha establecido un marco legal sólido para garantizar la privacidad y seguridad de la información personal, que comprende a personas físicas y también a personas jurídicas o de existencia ideal. A través de leyes y regulaciones, el Estado ha demostrado su compromiso con la protección de los derechos individuales en el entorno digital.
La Ley de Protección de Datos Personales
La Ley N° 18.331 sobre Protección de Datos Personales y Acción de Habeas Data, promulgada en 2008, y su normativa complementaria, es el principal instrumento legal para la protección de información. Esta ley establece los principios y las obligaciones para el tratamiento de datos personales, tanto por parte del sector público como del sector privado. Además, creó la Unidad Reguladora y de Control de Datos Personales (URCDP) como autoridad encargada de supervisar y hacer cumplir la legislación.
Principios fundamentales de la ley
La ley uruguaya se basa en varios principios fundamentales. Entre ellos se incluyen:
- Consentimiento informado: El tratamiento de datos personales requiere el consentimiento informado, inequívoco y expreso del titular de los datos, a menos que exista una excepción legal.
- Finalidad específica: Los datos personales solo pueden ser recopilados y utilizados para una finalidad específica y legítima, previamente informada al titular de los datos.
- Seguridad: Se deben implementar medidas técnicas y organizativas adecuadas para proteger los datos personales y evitar su acceso no autorizado, pérdida o alteración.
- Responsabilidad proactiva: Los responsables y encargados de tratamiento deben adoptar las medidas tendientes a cumplir con la normativa, entre ellas, privacidad desde el diseño y por defecto, y realizar evaluaciones de impacto a la privacidad.
También reconoce y protege los derechos de los titulares de los datos personales. Estos derechos incluyen el acceso a la información recopilada, la rectificación y actualización de los datos inexactos, la inclusión de datos cuando se tenga un interés fundado, y la supresión de los datos cuando ya no sean necesarios.
Retos y desafíos
Aunque Uruguay ha establecido un marco legal sólido para la protección de datos personales, ya que por ejemplo las últimas modificaciones a la normativa datan de enero de 2023, todavía existen desafíos en este ámbito. El avance tecnológico constante y la creciente digitalización plantean nuevos retos en cuanto a la protección de la privacidad. Además, es necesario fomentar la conciencia y educación de la ciudadanía sobre sus derechos y las mejores prácticas para proteger sus datos en el entorno digital.
“En Uruguay la protección de datos sigue teniendo enorme presencia, en negocios nacionales e internacionales. Uruguay cuenta desde 2012 con la nota de adecuación de la Comisión Europea lo que representa un diferencial al momento de recibir inversiones, y ha motivado una revisión continua de legislación para continuar adecuándola a las principales tendencias y estándares internacionales. Además de oportunidades, lo anterior también representa desafíos para las empresas que necesitan de una revisión continua de sus prácticas de manejo de datos personales en un contexto cada vez más demandante a partir de la adopción interna de soluciones de analítica, big data e inteligencia artificial.” señalan Martín Ferrere y Cecilia Alberti, socio y asociada senior de FERRERE Uruguay.
El compliance en la protección de datos personales es de vital importancia porque el cumplimiento de la normativa contribuye a proteger los derechos de las personas, fortalecer la confianza del cliente, y mejorar la competitividad en el mercado mitigando riesgos.
Las empresas y organizaciones que tienen una cultura de cumplimiento no sólo evitan sanciones y consecuencias reputacionales, sino que también pueden obtener ventajas competitivas, lo que redunda en mejores oportunidades de negocios.
Para mayor información contactar a:
Carla Arellano | Consejera Ferrere | carellano@ferrere.com
Martín Pesce | Socio Ferrere | mpesce@ferrere.com
Cecilia Alberti | Socio Ferrere | calberti@ferrere.com
by Juan Manuel González | Nov 17, 2022 | Noticias
El 5 de octubre de 2022 entró en vigencia la Resolución SDCU Nº 1502/2022 (la “Resolución”) a través de la cual la Secretaría de Defensa del Consumidor y el Usuario (“SEDECO”) reglamenta los artículos 6, 9 y 20 de la Ley 6.534/20 “De Protección de Datos Personales Crediticios” (la “Ley de Protección de Datos”), aprueba el “Procedimiento para la tramitación de denuncias de consumidores y usuarios finales” y crea un “Registro Nacional de Denuncias, Inspecciones y de Infractores”.
A continuación, un breve resumen de las nuevas disposiciones:
1. Consentimiento informado
La Resolución establece que el consentimiento informado otorgado por el consumidor final a un proveedor, en los términos del artículo 6 de la Ley de Protección de Datos, sólo es aplicable al proveedor que lo obtuvo de manera directa.
Tampoco podría entenderse otorgado de forma implícita a otros proveedores, quienes no formaron parte de la autorización directa.
2. Derecho al olvido de datos crediticios
La Resolución establece que el plazo máximo de 5 (cinco) años para la conservación de datos personales crediticios, establecido en la Ley de Protección de Datos, debe computarse desde la fecha de incumplimiento de la obligación, salvo las excepciones previstas en la norma legal.
3. Denuncias por incumplimientos de la Ley de Protección de Datos
La SEDECO, como autoridad de control podrá iniciar las investigaciones de presuntas infracciones a partir de denuncias recibidas o, de oficio.
A efectos de recibir las denuncias, la SEDECO habilitará en su página web oficial un módulo específico para denuncias relacionadas con incumplimientos de la Ley de Protección de Datos, donde los consumidores y usuarios podrán interponer sus denuncias, indicando datos como: (i) Nombre y apellido; (ii) Tipo y número de documento; (iii) Identificación y RUC del proveedor; (iv) Domicilio del proveedor; (v) Breve relato de la denuncia; (vi) Solución esperada – petitorio; (vii) Documentación probatoria.
La Resolución aprueba el procedimiento para la tramitación de denuncias en el marco de la Ley de Protección de Datos.
4. Registro nacional de denuncias, inspecciones y de infractores
La Resolución establece la creación de los siguientes registros:
- Registro Nacional de Denuncias;
- Registro Nacional de Inspecciones; y,
- Registro Nacional de Infractores.
Estos registros son creados con fines estadísticos y, a efectos de verificar casos de reincidencia.
Para mayor información contactar a:
Carla Arellano | Consejera Ferrere | carellano@ferrere.com
by Juan Manuel González | Sep 12, 2022 | Noticias, Sin categoría
En Brasil, el instrumento normativo disponible sobre el procesamiento de datos personales, incluso en medios digitales, por una persona física o por una persona jurídica de derecho público o privado, con el objetivo de proteger los derechos fundamentales de libertad, privacidad y libre desarrollo de la personalidad de la persona física es la Ley General de Protección de Datos Personales (Ley Nº 13.709/18 o “LGPD”), que entró en vigor el 18 de septiembre de 2020[1] y que se inspiró fuertemente en el Reglamento General de Protección de Datos yuropeu (GDPR).
Con el fin de garantizar el cumplimiento de su objetivo, la ley impone ciertas obligaciones que deben observar los controladores y operadores (agentes de tratamiento)[2][3] cuando estos agentes (i) realizan la operación de tratamiento en Brasil; (ii) el propósito del procesamiento de datos personales es la provisión de bienes o servicios a los interesados que se encuentran en Brasil; o (iii) los datos personales sujetos al procesamiento se han recopilado en el territorio nacional, lo que significa que el interesado se encontraba en Brasil en el momento de la recopilación de sus datos.
De acuerdo con la LGPD, el titular es la persona física a quien los datos personales que se procesan y procesan es toda operación realizada con datos personales, tales como los referidos a la recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de información, modificación, comunicación, transferencia, difusión o extracción.
Cabe señalar que la LGPD establece la buena fe como parámetro para el tratamiento de los datos personales, así como algunos principios generales a observar por los agentes del tratamiento, tales como: (a) la finalidad; b) adecuación; c) la necesidad; d) libre acceso; e) transparencia; y f) la no discriminación.
Cabe destacar que el tratamiento de datos personales y datos[4] personales sensibles solo puede [5] llevarse a cabo si se basa en una de las hipótesis legales establecidas, respectivamente, en los artículos 7 y 11 de la LGPD. Por lo tanto, siempre que un agente de tratamiento desee llevar a cabo el tratamiento de un dato personal, deberá identificar, sobre la base de la finalidad del tratamiento, cuál es la base jurídica aplicable al caso concreto. La LGPD también discute, en la Sección III, cómo deben procesarse los datos personales de niños, niñas y adolescentes.
Para procesar datos personales, el agente de procesamiento deberá (i) garantizar que el propósito determine el procesamiento de datos personales para fines legítimos, específicos, explícitos e informados para el interesado, sin la posibilidad de un procesamiento adicional de manera incompatible con dichos fines; (ii) dar fe de la compatibilidad del procesamiento de datos personales para los fines informados al titular, de acuerdo con el contexto del procesamiento; (iii) establece la limitación del tratamiento de datos personales al mínimo necesario para el cumplimiento de sus fines, con el alcance de los datos pertinentes, proporcionales y no excesivos en relación con los fines del tratamiento de datos; (iv) garantizar, a los interesados, la consulta facilitada y gratuita sobre la forma y duración del tratamiento, así como sobre la exhaustividad de sus datos personales; y (v) garantizar, a los interesados, la obtención de información clara, precisa y de fácil acceso sobre la realización del tratamiento y los respectivos agentes del tratamiento.
Es importante señalar que el responsable u operador que, debido al ejercicio de la actividad de tratamiento de datos personales, cause al otro daño patrimonial, moral, individual o colectivo, en violación de la legislación de protección de datos personales, está obligado a repararlo y que, con el fin de garantizar una indemnización efectiva al interesado: (i) el operador es solidariamente responsable de los daños causados por el procesamiento cuando no cumple con las obligaciones de la legislación de protección de datos o cuando no ha seguido las instrucciones legales del controlador, en cuyo caso el operador es tratado con el controlador, excepto en casos de exclusión; y (ii) los controladores que están directamente involucrados en el procesamiento cuyo daño se ha producido al interesado responden de manera conjunta y solidaria, excepto en casos deexclusión.
A su vez, los agentes de tratamiento no serán responsables (casos de exclusión) solo cuando demuestren que no han realizado el tratamiento de los datos personales que se les han asignado; que, aunque hayan tratado los datos personales que se les han asignado, no se ha producido ningún incumplimiento de la legislación de protección de datos; o que el daño se debe a la culpa exclusiva del interesado o de un tercero.
La LGPD también establece una serie de derechos que los interesados pueden aplicar al controlador; la necesidad de designar a una persona a cargo del agente para que actúe como canal de comunicación entre el agente y la autoridad y entre el agente y los titulares, excepto en los casos previstos en la RESOLUCIÓN CD / ANPD No. 2, DE 27 DE ENERO de 2022; requisitos específicos para permitir una transferencia internacional de datos personales; el deber de adoptar medidas de seguridad, técnicas y administrativas capaces de proteger los datos personales de accesos no autorizados y situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento indebido o ilícito; y la obligación de informar a la ANPD y al titular de los datos personales de la ocurrencia de un incidente de seguridad que pueda causar un riesgo o daño significativo a los titulares.
Además, los agentes encargados del tratamiento de datos, por violaciones de las normas establecidas en la LGPD, están sujetos a las siguientes sanciones administrativas aplicables por la Autoridad Nacional de Protección de Datos: (i) advertencia, con indicación de un plazo para la adopción de medidas correctoras; (ii) multa simple de hasta el 2% (dos por ciento) de los ingresos de la persona jurídica privada, grupo o conglomerado en Brasil en su último año fiscal, excluyendo impuestos, limitada en total a R$ 50.000.000,00 (cincuenta millones de reales) por infracción; (iii) multa diaria; iv)la aplicación de la infracción una vez debidamente autorizada y confirmada su aparición; (v) bloqueo de los datos personales a que se refiere la infracción hasta su regularización; vi)y la liminación de los datos personales a los que se refiere la infracción; vii) la utilización parcial delfuncionamiento de la base de datos a que se refiere la infracción durante un período máximo de 6 (seis) meses, prorrogable por el mismo período, hasta la regularización de la actividad de tratamiento por parte delcontrol r; (viii) suspensión del ejercicio de la actividad de tratamiento de datos personales a la que se hace referencia en la infracción por un plazo máximo de 6 (seis) meses, prorrogable por el mismo periodo; y (ix) prohibición parcial o total del ejercicio de actividades relacionadas con el tratamiento de datos.[6]
Finalmente, vale la pena mencionar que, al igual que con la intimidad y la vida privada de las personas, el derecho a la protección de datos personales fue incluido por la Enmienda Constitucional No. 115 de 2022[7], en la Constitución brasileña, incluso en los medios digitales como un derecho fundamental, ratificando la relevancia del tema para la sociedad y el mercado, en general.
Referencias:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm -ace ssado el 9 de septiembre de 2022
https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019 -ace ssado el 9 de septiembre de 2022
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm – consultado el 9 de septiembre de 2022
[1] En 1 de agosto 2021, los artículos 52, 53 y 54 de la Ley General de Protección de Datos (LGPD) entraron en vigor, relativos a las sanciones administrativas.
[2] Según la LGPD, “controlador” es cualquier persona física o jurídica que toma decisiones con respecto al procesamiento de datos personales.
[3] Según la LGPD, “operador” es cualquier persona física o jurídica que lleva a cabo el procesamiento de datos personales en nombre del controlador.
[4] Personal dado es el información relacionada con una persona física identificada o identificable.
[5] Los datos personales sensibles son el datos personales sobre origen racial o étnico, convicciones religiosas, opiniones políticas, afiliación a un sindicato u organización de carácter religioso, filosófico o político, facilitados en relación con la salud o la vida sexual, datos genéticos o biométricos, cuando estén vinculados a una persona física.
[6] Sanciones suspensión parcial de la base de datos, suspensión del ejercicio de la actividad de tratamiento y prohibición del ejercicio de se aplicará sólo después de que al menos una (1) de las sanciones ya se haya impuesto de multa simple, multa diaria, publicidad de la infracción, bloqueo de datos personales hasta la regularización y supresión de los datos personales de los que se trata la infracción.
[7] http://www.planalto.gov.br/ccivil_03/constituicao/Emendas/Emc/emc115.htm#art1 – asen septiembre 9, 2022
Para mayor información contactar a:
Tatiana Campello | Socia en el área de Privacidad, Tecnología y Ciberseguridad de Demarest | tcampello@demarest.com.br
Cecilia Cunha | Asociada en el área de Privacidad, Tecnología y Ciberseguridad de Demarest | cacunha@demarest.com.br
by Juan Manuel González | Jul 28, 2022 | Noticias
Desde hace más de dos décadas que nuestro país cuenta con una ley marco que protege la privacidad de la información de las personas y regula su tratamiento. Sin embargo, actualmente no existe una autoridad exclusiva con facultades de fiscalización y sanción en relación al uso de datos personales.
Es así como, dependiendo de quiénes realizan el tratamiento de dicha información, existen diferentes organismos que regulan la forma y condiciones en la cual se efectúa su uso: Servicio Nacional del Consumidor (Sernac), la Comisión para el Mercado Financiero (CMF), la Superintendencia de Salud, Corte de Apelaciones (en caso de interposición de un recurso de protección), Ministerio Público o Fiscalía Nacional Económica.
“Hoy podemos ver que en Chile existe una ley deficiente que no tiene un estándar internacional en materia de protección de datos y, por otra parte, hay demasiadas entidades intervinientes con diversos criterios respecto a un mismo tema, lo que genera una dispersión normativa”, asegura Edmundo Varas, director de Tax & Legal en KPMG Chile. Agrega que “a nivel internacional, como es el caso de la Unión Europea, los montos de sanciones impuestas por parte de autoridades de protección de datos van desde los €60.000 hasta los €204 millones y el negocio de los datos personales puede alcanzar alrededor de USD 3.100 mm”.
Tras la evolución de la tecnología, sumado a la masividad del e-commerce, las redes sociales, las aplicaciones móviles y la innovación (como sería el desarrollo del open banking y la insurtech), se ha evidenciado la necesidad de modernizar la actual legislación en esta materia, con el fin de resguardar de una forma más eficiente la información de las personas y facilitar el desarrollo de nuevos negocios que tengan como base a los mismos. Así cobra gran importancia el proyecto de ley, en discusión desde 2017, que busca perfeccionar las normas relativas al tratamiento de los datos personales, asegurando que ello se realice con estricto apego a los estándares internacionales.
La iniciativa, entre otras cosas, crea una autoridad de control denominada “Agencia de Protección de Datos Personales”, dirigida por una corporación pública, encargada de velar por la protección de los derechos y libertades de los titulares de datos, y de regular y fiscalizar el tratamiento de estos. Además, dota al país de una legislación moderna y flexible y mejora los estándares legales.
“Actualmente los titulares de los datos están tomando mayor conciencia de la importancia de ellos y cada vez es más común que concurran con sus reclamos ante la entidad que realiza el tratamiento, la autoridad gubernamental competente e incluso directamente ante tribunales de justicia a través de un recurso de protección”, señala Edmundo.
Pero no solo las personas, las empresas también están cada día más conscientes de la importancia de tener mecanismos adecuados para el tratamiento lícito de los datos personales. Algunas están aplicando criterios que vienen desde su casa matriz, mientras que otras ya se encuentran ajustando sus políticas de acuerdo al nuevo proyecto de ley. Un ejemplo de ello es el acuerdo marco entre la Asociación de Bancos e Instituciones Financieras de Chile (ABIF), BancoEstado y Fintech Chile que establece estándares de responsabilidad y mecanismos de captura de datos de clientes.
“Creo que existen las condiciones necesarias para que los distintos actores del mercado puedan desarrollar planes o proyectos de tratamiento de datos personales adecuados”, señala Edmundo. “Algunas empresas consideran esto como un tema relevante para efectos de compliance desde el punto de vista de buenas prácticas y gobiernos corporativos”.
Para cumplir con la actual normativa y ejecutar un correcto uso de los datos, el experto recomienda asesorarse con profesionales que se dediquen a la materia. “En KPMG Chile, por ejemplo, nos hemos especializado en asesorías que comprenden tanto la evaluación como la implementación de programas y oficinas de tratamiento de datos, considerando el marco legal, tecnológico y de compliance. Lo anterior, teniendo siempre en cuenta el General Data Protection Regulation (GDPR) de la Unión Europea y el nuevo proyecto de ley sobre datos personales, para permitir y facilitar el negocio y los proyectos de nuestros clientes”, comenta Varas.
Fuente: Hora de Noticias
Para mayor información contactar a:
Rodrigo Albagli | Socio Albagli-Zaliasnik | ralbagli@az.cl
