Bienvenido a nuestro Blog

Lo que necesita saber de las normativas relacionadas con el tratamiento de datos

Posted by Alejandro Durán on 5/2/18 2:51 PM

iStock-459878353

A continuación destacamos los aspectos más relevantes de ambas jurisdicciones:

Chile

Proyecto de Ley que modifica la Ley 19.628 de Protección de Datos Personales y crea la Agencia de Protección de Datos.

Con fecha 7 de marzo 2018, la comisión de constitución del Senado despachó el proyecto de Ley que modifica la Ley de Protección de Datos y que crea la Agencia de Protección de Datos Personales, refundiendo en un solo texto las mociones del Ministerio de Hacienda y de los senadores Harboe, Araya, De Urresti, Espina y Larraín.

Posteriormente, con fecha 3 de abril, el Senado aprobó en general el texto refundido, correspondiendo la discusión en particular en el Senado y en la Cámara de Diputados.

Aspectos relevantes del proyecto de ley:

* Consentimiento del titular es la principal fuente de legitimidad del tratamiento.

* Consentimiento: Expreso, previo, libre, informado, específico.

* Derechos Arco: Acceso, Rectificación, Cancelación y Oposición.

* Crea la Agencia de Protección de Datos, encargada de fiscalizar el cumplimiento de la ley. Puede dictar normas jurídicas y ejerce dicho proceso de fiscalización (multas de hasta UTM 5000).

* Crea el Registro Nacional de Cumplimiento y Sanciones.

* Distingue entre el responsable y el encargado del tratamiento de datos.

* Incorpora nuevas categorías de datos personales: De menores de edad, biométricos, geolocalizadores, de salud y biológicos

Es importante que su empresa comience a adecuar sus prácticas y tratamiento de datos a la nueva normativa, por ejemplo, sólo utilice datos que han sido recolectados previa autorización expresa de su titular, no compre bases de datos, adecúe sus políticas de privacidad, establezca los procedimientos para canalizar el ejercicio de los derechos ARCO, entre otros.

Como es sabido, MasterBase® presta sus servicios en gran parte de Latinoamérica, Estados Unidos y Europa, abarcando países con tratamiento de datos regulados, cuyo exponente más estricto es la Unión Europea, por lo que hemos elevado nuestros estándares de protección de datos a los más altos referentes. 

Conforme a ello, MasterBase® incluye un sistema de desuscripción que permite el libre ejercicio de los derechos ARCO a los titulares de los datos personales; en Perú se incorpora el listado de Indecopi (No Molestar) y hemos implementado niveles de seguridad de la información, práctica en la que nuestros clientes pueden descansar la confidencialidad de su información y datos personales. 

España-Unión Europea

El 25 de mayo próximo, comienza a regir el nuevo Reglamento Europeo de Protección de Datos (GDPR) cuyo objetivo es proteger y velar por un correcto tratamiento de datos de los usuarios, permitiendo la libre circulación de datos de ciudadanos en la Unión Europea.

Los aspectos más relevantes del GDPR

* Ámbito de acción de la norma: Es importante destacar que este Reglamento será de aplicación no sólo a las empresas o profesionales responsables o encargados del tratamiento de datos, y con domicilio en Europa, que presten servicios a ciudadanos europeos, sino que se amplía a empresas o profesionales con domicilio social fuera de la UE que realicen tratamiento de datos como consecuencia de su oferta de bienes o servicios destinados a ciudadanos europeos. Por ejemplo: Amazon vende y entrega a domicilio productos en Europa. Google Analytics ofrece servicios de monitorización o análisis del comportamiento de usuarios en páginas web en la UE, residiendo ambas empresas fuera del territorio de la Unión Europea.

* Obtención de consentimiento explícito: Las organizaciones tienen la obligación de obtener un consentimiento explícito e inequívoco por parte del individuo tras una explicación totalmente transparente del objetivo (procesamiento, almacenamiento o uso de los datos). Bajo la nueva normativa, no basta con informar al titular de los datos, sino que es preciso que la persona exprese activamente su conformidad. En todo caso deberá poder probarse que se ha otorgado el consentimiento, por lo que las empresas o plataformas online deberán dotarse de sistemas que puedan garantizar esto. 

En los casos de tratamiento de datos sensibles, como los datos biométricos, no sólo se exigirá una acción positiva implícita, sino que la acción deberá ser expresa. 

Por su parte, respecto al tratamiento de datos de menores, en el nuevo GDPR se dispone que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales o aplicaciones móviles), es de 16 años. 

Sin embargo, esa edad se puede rebajar y cada Estado miembro puede establecer la suya propia, pero con un límite en ningún caso inferior a los 13 años. En tal sentido, España estableció los 14 años. Si se es menor a esa edad, es necesario que padres o tutores den su consentimiento a la empresa u organización que quiera tratar los datos personales del menor. 

* Derecho de acceso: Todos los ciudadanos tendrán derecho a obtener confirmación de si una empresa está tratando sus datos personales; en caso afirmativo, podrán acceder a estos datos y la organización estará obligada a entregar una copia y a explicar los fines del tratamiento de datos, los criterios y plazo de conservación. Vinculado a este derecho, en la GDPR se recoge también el derecho a la rectificación de los datos. Debe facilitarse información clara y fácilmente inteligible a la hora de efectuar un tratamiento de datos.

Para ser lo más transparentes posible deberá facilitarse el ejercicio de derechos por parte de los usuarios: no sólo los derechos de acceso, rectificación, cancelación u oposición, sino también los derechos de reclamación o queja y el derecho al olvido. 

* Derecho al olvido: Este derecho permite al titular de los datos personales solicitar la supresión de sus datos personales en diversos supuestos, tales como que ya no sean necesarios para el propósito para el que fueron recogidos, que se haya retirado el consentimiento, que los datos hayan sido obtenidos en relación a una oferta de servicios de comercio electrónico o que los datos hayan sido procesados de forma ilícita, entre otros.

* Derecho de portabilidad: El titular de los datos personales tendrá derecho a solicitar que la organización que almacena sus datos personales le entregue copia de ellos o los transfiera a otra entidad. 

* Responsabilidad de la organización: El GDPR incrementa la responsabilidad de empresas e instituciones. Las organizaciones estarán obligadas a implementar sistemas de monitorización; documentar los procedimientos de recogida, almacenamiento y uso de datos personales (en empresas de más de 250 empleados); reportar a los organismos responsables cualquier brecha de seguridad o ataque que sufran, dentro de las 72 horas posteriores al hecho, e, incluso, contratar a un responsable de protección de datos en empresas que manejen grandes cantidades de información sensible. 

* Proteger los datos. Toda entidad debe considerar, en cumplimiento con el GDPR, incrementar y reforzar activamente la seguridad de la información, teniendo una actitud proactiva en el establecimiento de medidas de seguridad destinadas a garantizar que la infraestructura de la empresa asegure un correcto tratamiento y almacenamiento de los datos de sus clientes o usuarios. 

Las principales medidas que se debe adoptar son: establecer accesos seguros al sistema de la empresa y a sus bases de datos; establecer procedimientos de copias de seguridad suficientes, tomar medidas especiales para evitar fugas de datos, instalación de malware o evitar o prevenir que otros riesgos relacionados ocurran, como ataques por parte de crackers, denegaciones de servicio, daño a los sistemas informáticos, etc.

Delegado de Protección de Datos: Se establece la obligación de disponer de un delegado de protección de datos cuando: El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala, o cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales relacionados a condenas e infracciones penales.

Sabemos que ésta es información muy importante para nuestros clientes, por lo cual publicaremos un newsletter legal mensualmente, tratando estos y otros temas para mantenerles informados.

 

Tags: Legal

Post más populares

Suscríbase al blog

Suscribirse

Suscríbase a nuestro blog

Suscribase