by Juan Manuel González | Ene 16, 2024 | Noticias
A propósito de una conversación relacionada con la nueva Ley de Delitos Económicos nos surgió la duda acerca de siexiste expresamente una obligación legal que me ordene someterme a las regulaciones internas de terceros relacionadoscon mi actividad. Lo anterior, considerando que, en caso de ser efectivo, esto implica que debo leer, conocer y aplicartodas las políticas y manuales de mis clientes y, eventualmente, de otros terceros.
En ese sentido, y al menos en cuanto toca a una relación contractual con clientes o contrapartes en un pie de igualdad denegociación, resulta razonable sostener que si yo suscribo un contrato con un tercero, en el cual se menciona expresamente mi completa oposición a la comisión de delitos al interior de mi organización, y cuento con un modelo deprevención vivo, controlado y actualizado regularmente, no debiese ser un imperativo el tener que someterme a laautorregulación de mis partes relacionadas.
Además de ser en cierta manera un tanto extremo exigir a todas las empresas que comulguen con cada una de las obligaciones internas de sus relacionados, que comúnmente dependen además de las necesidades, lógicas y técnicas jurídicas de cada regulación de origen, es tremendamente costoso —en términos de tiempo y eficiencia— pensar que cadacompañía tiene que someterse, pura y simplemente, a todas y cada una de las políticas y manuales que conforman elModelo de Prevención de Delitos de los terceros relacionados, sorteando de manera simultánea su potencial aplicación yvelando además para estar atento a las posibles modificaciones de cada uno de tales modelos (en servidores computacionales ajenos, e incluso, a veces extranjeros), que es lo que usualmente se pide aceptar, ex ante, en tal tipo de regulaciones.
Si bien la “obligación” referida precedentemente se inserta en el contexto de los elementos que debe contener un modelo de prevención de delitos, de acuerdo a lodispuesto en el artículo 3 N° 3 de la Ley N° 20.393, en la práctica se observa que estas obligaciones, prohibiciones y sanciones principalmente versan sobre elestablecimiento de prohibiciones específicas relativas a ciertos temas (e.g., realizar pagos de facilitación, adoptar decisiones mediando conflictos de interés no declarados,realizar actividades ilícitas en el contexto de la ejecución del contrato) y el cumplimiento de obligaciones tendientes a informar cualquier situación sospechosa a través delos canales de denuncia establecidos, entre otros puntos. Pero el problema, también práctico, radica en que la manera de abordar el cómo se implementan estasobligaciones, prohibiciones y sanciones para quienes contratan con otro ha consistido, por lo general, en el supuesto deber de tener que aceptar, como se señalaba, puray simplemente, la totalidad de un determinado Modelo de Prevención de Delito que se impone al otro, como condición de la celebración del respectivo contrato.
En consecuencia, y reflexionando sobre la real implementación de la nueva Ley de Delitos Económicos, resulta en cierto grado inviable, y, a su vez, excesivo, pensar quetodas las empresas deberán firmar las regulaciones internas de sus terceros relacionados y aceptarlas a fardo cerrado. Sin perjuicio de lo anterior, la no incorporación decláusulas relativas al cumplimiento del modelo de prevención de delitos sí podrían acarrear al proveedor riesgos al momento de acreditar el cumplimiento de sus deberesde dirección y supervisión, sobre todo cuando lo que esté en cuestionamiento, eventualmente, sea la responsabilidad de la persona jurídica por actos delictivos cometidosen el contexto de la relación contractual proveedor/cliente.
Desde una perspectiva práctica, cabe hacer presente que una situación grave y relevante que implique la comisión de un ilícito requerirá abordar las potencialescontingencias penales como una primera prioridad, lo que permitirá mitigar tempranamente los eventuales riesgos contractuales referidos al incumplimiento de estascláusulas.
Así las cosas, hoy día resulta fundamental revisar los contratos con mis terceros relacionados y no descansar en que existe una cláusula tipo idéntica en todos estos y quedebe ser aceptada de manera automática o sine qua non para celebrar el contrato. Pensamos que se pueden establecer puntos de base esenciales, de objetivoscomunes, con miras a salvaguardar los bienes jurídicos protegidos en la Ley N° 20.393, como son las obligaciones, prohibiciones y sanciones ya comentadas, y afinarcontractualmente los puntos relevantes para ambas partes, pero ello no significa que deba obligatoriamente someterme a la regulación interna de mis proveedores yclientes.
Por cierto, como parte de tales bases esenciales, los controles mediante los contratos y monitoreo del correcto cumplimiento de los servicios acordados en este serán unacoraza importante en el eventual caso que dicho tercero cometa un delito en el contexto de las funciones materia de mi contrato.
* Francisca Franzani es directora del grupo de Compliance de Albagli Zaliasnik y Andrés Illanes es gerente de Asuntos Corporativos de Bodegas San Francisco.
Fuente: El Mercurio
Para obtener más información puede contactar a:
Francisca Franzani | Directora Grupo Compliance | ffranzani@az.cl
by Juan Manuel González | Ago 22, 2023 | Noticias
Una de las discusiones sobre competencia más acaloradas de los últimos años, que se amplificó luego de que un artículo en la revista The Economist llamara a la información el nuevo petróleo, es si la recolección y uso de información a gran escala puede generar problemas de competencia. En este momento hay más de quince países que investigan si este tipo de acciones por parte de distintas plataformas puede infringir regulaciones de defensa de la competencia.
Quienes creen que la recolección y el uso de información pueden atentan contra las leyes de competencia se enfocan en dos problemas potenciales.
El primero es que las empresas con poder de mercado recolecten más información de la que deberían porque no tienen competidores que los disciplinen. Quienes defienden esta visión creen que la recolección de información perjudica a los usuarios quienes, si tuvieran opciones, compartirían menos información. En otras palabras, consideran que si las plataformas enfrentaran más competencia pedirían menos información a sus usuarios (o, lo que es lo mismo, ofrecerían mejores niveles de “privacidad”, que algunos equiparan a ofrecer un producto de mayor calidad). Desde este punto de vista, sin los frenos que impone la competencia, ciertas empresas que recolectan “demasiada información” abusan de su posición explotando a los usuarios.
Esta lógica ha recibido críticas varias. Para empezar, las prácticas de recolección de información no parecen guardar relación con la posición que las distintas empresas o plataformas tienen en el mercado: la mayoría recolectan niveles similares de información sin importar su tamaño. Por eso, parece difícil sostener que el nivel de recolección es un “abuso” de las empresas que tienen poder de mercado. En segundo lugar, no está claro en qué medida compartir información perjudica a los usuarios: muchas personas no se sienten explotadas cuando se les pide que compartan información (por ejemplo, muchas comparten información sin restricciones en redes sociales), y muchas otras aceptan libremente compartir sus datos para recibir ciertos servicios sin pagar una tarifa a cambio. Por último, hay otras leyes específicamente pensadas para proteger el derecho a la privacidad, y usar las leyes de defensa de la competencia para esto podría no ser la mejor opción. Para decir que una empresa recolecta demasiada información de sus usuarios hay que entender primero cuál sería el nivel razonable o “competitivo” de recolección. Las agencias de defensa de la competencia no están preparadas para contestar esa pregunta. Las leyes que protegen los datos personales parecen más aptas para resolver los problemas vinculados con la recolección de información (aunque la reciente decisión del Tribunal de Justicia de la Unión Europea pone en duda este último argumento).
Para mayor información, contactar a:
Agustín Waisman | Socio Beccar Varela | awaisman@beccarvarela.com
by Juan Manuel González | Nov 29, 2022 | Noticias
Recientemente, el Grupo Parlamentario Perú Libre presentó el Proyecto de Ley N°3251/2022-CR, que tiene por objeto regular la responsabilidad de las empresas del Sistema Financiero, respecto de los fraudes informáticos cometidos contra los usuarios de este sistema ante operaciones activas y pasivas fraudulentas, estableciendo las acciones que deberán asumir y determinar los tiempos para la resolución de los casos.
Dicho proyecto de ley, tiene por finalidad proteger y garantizar las operaciones activas y pasivas que realizan los usuarios del sistema financiero, reduciendo el perjuicio económico y salvaguardar la buena reputación crediticia.
Dentro de las medidas contempladas en la norma propuesta, se prescribe la obligación, para las empresas del sector financiero, de devolver los importes y/o anular las operaciones no autorizadas reportadas por sus usuarios, en cualquier caso y a más tardar al día hábil siguiente de reportado el incidente. En caso la empresa tenga indicios razonables para dudar de la veracidad del reporte, deberá informarlo por escrito, en el mismo plazo, al usuario y a la Superintendencia de Banca, Seguros y AFP, adjuntando los medios probatorios que sustentan su posición, correspondiéndole demostrar que para dicha operación se activaron todos los mecanismos de verificación que demuestren que dicha operación fue correctamente registrada.
Para mayor información contactar a:
Mario Pinatte | Socio CPB | mpinatte@cpb-abogados.com.pe
by Juan Manuel González | Sep 12, 2022 | Noticias, Sin categoría
En Brasil, el instrumento normativo disponible sobre el procesamiento de datos personales, incluso en medios digitales, por una persona física o por una persona jurídica de derecho público o privado, con el objetivo de proteger los derechos fundamentales de libertad, privacidad y libre desarrollo de la personalidad de la persona física es la Ley General de Protección de Datos Personales (Ley Nº 13.709/18 o “LGPD”), que entró en vigor el 18 de septiembre de 2020[1] y que se inspiró fuertemente en el Reglamento General de Protección de Datos yuropeu (GDPR).
Con el fin de garantizar el cumplimiento de su objetivo, la ley impone ciertas obligaciones que deben observar los controladores y operadores (agentes de tratamiento)[2][3] cuando estos agentes (i) realizan la operación de tratamiento en Brasil; (ii) el propósito del procesamiento de datos personales es la provisión de bienes o servicios a los interesados que se encuentran en Brasil; o (iii) los datos personales sujetos al procesamiento se han recopilado en el territorio nacional, lo que significa que el interesado se encontraba en Brasil en el momento de la recopilación de sus datos.
De acuerdo con la LGPD, el titular es la persona física a quien los datos personales que se procesan y procesan es toda operación realizada con datos personales, tales como los referidos a la recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de información, modificación, comunicación, transferencia, difusión o extracción.
Cabe señalar que la LGPD establece la buena fe como parámetro para el tratamiento de los datos personales, así como algunos principios generales a observar por los agentes del tratamiento, tales como: (a) la finalidad; b) adecuación; c) la necesidad; d) libre acceso; e) transparencia; y f) la no discriminación.
Cabe destacar que el tratamiento de datos personales y datos[4] personales sensibles solo puede [5] llevarse a cabo si se basa en una de las hipótesis legales establecidas, respectivamente, en los artículos 7 y 11 de la LGPD. Por lo tanto, siempre que un agente de tratamiento desee llevar a cabo el tratamiento de un dato personal, deberá identificar, sobre la base de la finalidad del tratamiento, cuál es la base jurídica aplicable al caso concreto. La LGPD también discute, en la Sección III, cómo deben procesarse los datos personales de niños, niñas y adolescentes.
Para procesar datos personales, el agente de procesamiento deberá (i) garantizar que el propósito determine el procesamiento de datos personales para fines legítimos, específicos, explícitos e informados para el interesado, sin la posibilidad de un procesamiento adicional de manera incompatible con dichos fines; (ii) dar fe de la compatibilidad del procesamiento de datos personales para los fines informados al titular, de acuerdo con el contexto del procesamiento; (iii) establece la limitación del tratamiento de datos personales al mínimo necesario para el cumplimiento de sus fines, con el alcance de los datos pertinentes, proporcionales y no excesivos en relación con los fines del tratamiento de datos; (iv) garantizar, a los interesados, la consulta facilitada y gratuita sobre la forma y duración del tratamiento, así como sobre la exhaustividad de sus datos personales; y (v) garantizar, a los interesados, la obtención de información clara, precisa y de fácil acceso sobre la realización del tratamiento y los respectivos agentes del tratamiento.
Es importante señalar que el responsable u operador que, debido al ejercicio de la actividad de tratamiento de datos personales, cause al otro daño patrimonial, moral, individual o colectivo, en violación de la legislación de protección de datos personales, está obligado a repararlo y que, con el fin de garantizar una indemnización efectiva al interesado: (i) el operador es solidariamente responsable de los daños causados por el procesamiento cuando no cumple con las obligaciones de la legislación de protección de datos o cuando no ha seguido las instrucciones legales del controlador, en cuyo caso el operador es tratado con el controlador, excepto en casos de exclusión; y (ii) los controladores que están directamente involucrados en el procesamiento cuyo daño se ha producido al interesado responden de manera conjunta y solidaria, excepto en casos deexclusión.
A su vez, los agentes de tratamiento no serán responsables (casos de exclusión) solo cuando demuestren que no han realizado el tratamiento de los datos personales que se les han asignado; que, aunque hayan tratado los datos personales que se les han asignado, no se ha producido ningún incumplimiento de la legislación de protección de datos; o que el daño se debe a la culpa exclusiva del interesado o de un tercero.
La LGPD también establece una serie de derechos que los interesados pueden aplicar al controlador; la necesidad de designar a una persona a cargo del agente para que actúe como canal de comunicación entre el agente y la autoridad y entre el agente y los titulares, excepto en los casos previstos en la RESOLUCIÓN CD / ANPD No. 2, DE 27 DE ENERO de 2022; requisitos específicos para permitir una transferencia internacional de datos personales; el deber de adoptar medidas de seguridad, técnicas y administrativas capaces de proteger los datos personales de accesos no autorizados y situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento indebido o ilícito; y la obligación de informar a la ANPD y al titular de los datos personales de la ocurrencia de un incidente de seguridad que pueda causar un riesgo o daño significativo a los titulares.
Además, los agentes encargados del tratamiento de datos, por violaciones de las normas establecidas en la LGPD, están sujetos a las siguientes sanciones administrativas aplicables por la Autoridad Nacional de Protección de Datos: (i) advertencia, con indicación de un plazo para la adopción de medidas correctoras; (ii) multa simple de hasta el 2% (dos por ciento) de los ingresos de la persona jurídica privada, grupo o conglomerado en Brasil en su último año fiscal, excluyendo impuestos, limitada en total a R$ 50.000.000,00 (cincuenta millones de reales) por infracción; (iii) multa diaria; iv)la aplicación de la infracción una vez debidamente autorizada y confirmada su aparición; (v) bloqueo de los datos personales a que se refiere la infracción hasta su regularización; vi)y la liminación de los datos personales a los que se refiere la infracción; vii) la utilización parcial delfuncionamiento de la base de datos a que se refiere la infracción durante un período máximo de 6 (seis) meses, prorrogable por el mismo período, hasta la regularización de la actividad de tratamiento por parte delcontrol r; (viii) suspensión del ejercicio de la actividad de tratamiento de datos personales a la que se hace referencia en la infracción por un plazo máximo de 6 (seis) meses, prorrogable por el mismo periodo; y (ix) prohibición parcial o total del ejercicio de actividades relacionadas con el tratamiento de datos.[6]
Finalmente, vale la pena mencionar que, al igual que con la intimidad y la vida privada de las personas, el derecho a la protección de datos personales fue incluido por la Enmienda Constitucional No. 115 de 2022[7], en la Constitución brasileña, incluso en los medios digitales como un derecho fundamental, ratificando la relevancia del tema para la sociedad y el mercado, en general.
Referencias:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm -ace ssado el 9 de septiembre de 2022
https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019 -ace ssado el 9 de septiembre de 2022
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm – consultado el 9 de septiembre de 2022
[1] En 1 de agosto 2021, los artículos 52, 53 y 54 de la Ley General de Protección de Datos (LGPD) entraron en vigor, relativos a las sanciones administrativas.
[2] Según la LGPD, “controlador” es cualquier persona física o jurídica que toma decisiones con respecto al procesamiento de datos personales.
[3] Según la LGPD, “operador” es cualquier persona física o jurídica que lleva a cabo el procesamiento de datos personales en nombre del controlador.
[4] Personal dado es el información relacionada con una persona física identificada o identificable.
[5] Los datos personales sensibles son el datos personales sobre origen racial o étnico, convicciones religiosas, opiniones políticas, afiliación a un sindicato u organización de carácter religioso, filosófico o político, facilitados en relación con la salud o la vida sexual, datos genéticos o biométricos, cuando estén vinculados a una persona física.
[6] Sanciones suspensión parcial de la base de datos, suspensión del ejercicio de la actividad de tratamiento y prohibición del ejercicio de se aplicará sólo después de que al menos una (1) de las sanciones ya se haya impuesto de multa simple, multa diaria, publicidad de la infracción, bloqueo de datos personales hasta la regularización y supresión de los datos personales de los que se trata la infracción.
[7] http://www.planalto.gov.br/ccivil_03/constituicao/Emendas/Emc/emc115.htm#art1 – asen septiembre 9, 2022
Para mayor información contactar a:
Tatiana Campello | Socia en el área de Privacidad, Tecnología y Ciberseguridad de Demarest | tcampello@demarest.com.br
Cecilia Cunha | Asociada en el área de Privacidad, Tecnología y Ciberseguridad de Demarest | cacunha@demarest.com.br
by Juan Manuel González | Jun 20, 2022 | Noticias
Con la finalidad de mantener actualizados a los servidores públicos, en el tema de tratamiento de los datos personales, la Administración Municipal en coordinación con el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) y el Instituto Coahuilense de Acceso a la Información Pública (ICAI), brindaron una conferencia titulada “Los datos personales en poder de las autoridades municipales”.
Gustavo Muñoz, director de Desarrollo Institucional fue el encargado de dar la bienvenida a todos los presentes y agradeció la presencia de las autoridades del ICAI, resaltó la importancia de que los servidores públicos se mantengan actualizados respecto al tema, ya que salvaguardar la privacidad de los ciudadanos y la propia es fundamental.
Luis González Briseño, Comisionado Presidente del ICAI, dijo a los presentes que al ser funcionarios de públicos se debe conocer el adecuado tratamiento de datos personales en su desempeño diario, por esa razón se revisaron temas como ¿Qué son los datos personales?, ¿A qué se le conoce como datos personales sensibles?, ¿Cómo se deben cuidar los datos personales en las redes sociales? entre otros.
El funcionario ejemplifico con casos reales el buen y mal manejo que se puede realizar con los datos personales y las consecuencias que se pueden tener en ambos casos.
Explicó que existen principios, derechos y recomendaciones en cuanto al manejo de este tipo de datos que permiten no caer en ninguna violación a la privacidad de los ciudadanos y manifestó que el cuidado y la seguridad dependen en gran medida de la difusión de la información personal, por lo que reitero a los presentes la responsabilidad que tienen.
Fuente: La Vanguardia
Para mayor información contactar a:
Juan José López de Silanes | Socio Basham, Ringe y Correa | lopez_de_silanes@basham.com.mx