Listado de la etiqueta: Datos Personales

Ilustración de personas en tonos azules, representando los titulares de datos detrás de cada relación comercial B2B

Protección de datos en el mundo B2B: más allá del consentimiento

/en , /por

Si su empresa le vende a otras empresas, es probable que cada artículo sobre protección de datos le haya parecido escrito para otra persona. Banners de cookies. Consentimiento explícito. Perfilamiento de millones de consumidores. Menores en plataformas masivas. Usted trabaja con correos corporativos y contrapartes profesionales, y la pregunta es inevitable: ¿qué tiene que ver todo esto conmigo?

Mucho, aunque no por las razones que suelen repetirse. Cuando le escribe a maria.rojas@empresa.cl no le escribe a una empresa: le escribe a María Rojas. La gerenta de finanzas de su cliente, el contador de su proveedor, el ejecutivo que le firmó el último contrato. La Ley 19.628, reformada por la Ley 21.719, no protege empresas: protege los datos de esas personas, también cuando aparecen en un CRM de ventas industriales y no en una app de consumo masivo. Entender ese matiz cambia por completo la forma de cumplir. Y, como veremos, también la recompensa.

El consentimiento no es la puerta de entrada

El primer cambio de mentalidad es dejar de perseguir consentimientos. En las relaciones entre empresas, el consentimiento suele ser la base más frágil de todas: difícil de obtener, fácil de revocar y, en la mayoría de los casos, innecesaria. Un consentimiento arrancado a la fuerza no protege a nadie; sólo produce la ilusión de cumplimiento.

La ley ofrece fuentes de licitud que se ajustan mejor a la realidad profesional. La celebración o ejecución de un contrato cubre buena parte del vínculo con clientes y proveedores. Y para las comunicaciones que nacen de una relación comercial, el interés legítimo del responsable (artículo 13, letra d) es una base más sólida y más honesta. La lógica es simple: existe una expectativa razonable de que un contacto profesional reciba comunicaciones pertinentes a su rol y a su industria. Eso no es una intromisión en su vida privada; es la continuación natural de un diálogo profesional.

Pero el interés legítimo no se declara: se pondera. Antes de usarlo, hágase tres preguntas y deje constancia de las respuestas en una nota interna. Primero, ¿cuál es exactamente mi interés? «Vender más» no sirve; «informar a los clientes de nuestro software de un módulo complementario» sí. Segundo, ¿necesito estos datos para lograrlo? Casi siempre la respuesta es sí, y esa pregunta lo obliga de paso a no recolectar más de lo necesario. Tercero, ¿mi interés prevalece sobre los derechos de esa persona? La ley exige que el tratamiento no afecte sus derechos y libertades, y que usted pueda informarle, cuando lo pida, cuál es el interés en que se apoya. Esa nota de tres párrafos es la diferencia entre una base legal ponderada y una etiqueta puesta a la rápida. Cuando alguien pregunte, y alguien va a preguntar, usted tendrá una respuesta escrita antes que la pregunta.

La ponderación también marca los límites, y conviene conocerlos antes de cruzarlos. Hay terreno firme: el cliente que ya le compró y recibe noticias de productos similares, el ejecutivo que le dejó su tarjeta en una feria y recibe su seguimiento, el contacto que llenó el formulario del sitio y recibe respuesta. En todos esos casos hay una relación o una interacción previa que hace esperable su mensaje. Y hay terreno inviable: la lista de correos comprada a un tercero, donde no existe relación alguna y su mensaje es pura intrusión; el correo del contacto de facturación usado para marketing, porque la expectativa de esa persona era administrativa y usted cambió la finalidad sin avisar; el correo personal de Gmail, porque ahí ya no le escribe al profesional sino al individuo.

La regla de bolsillo: si su mensaje necesita explicar de dónde sacó el contacto, probablemente no debió enviarlo.

La salida visible, el famoso Opt-out

El contrapeso del interés legítimo es el derecho de oposición del artículo 8°: cuando la base es el interés legítimo, la persona puede oponerse en cualquier momento, y si el fin es marketing directo, sin expresión de causa. Esto significa que el botón de «no quiero recibir más correos» no es una cortesía. Es la condición de validez de todo lo anterior. Sin una salida que funcione, su base legal completa se desploma y cada envío pasa a ser ilícito, por pertinente que sea.

Y una salida que funciona tiene tres características verificables. Está en cada envío, visible y en lenguaje directo. Opera sola: un clic y listo, sin pedir que la persona vuelva a escribir su correo ni que inicie sesión para que la dejen de molestar. Y alimenta una lista de exclusión permanente que el sistema consulta antes de cada nuevo envío; esa lista es, además, su prueba de que respetó la voluntad de quien se opuso.

Aquí vive uno de los riesgos más comunes y menos visibles: el vendedor que, para avanzar rápido, manda su propia «newsletter» desde Outlook o una planilla de contactos. Sin opt-out automático, sin lista de exclusión, sin registro. No es iniciativa comercial; es un envío sin base legal operativa, hecho fuera de todo sistema. Si su equipo lo hace, no necesita un castigo: necesita una herramienta oficial y una regla clara.

A nadie le importan sus papeles

Aquí viene la parte incómoda. Cuando un cliente evalúa trabajar con su empresa, no mira el grosor de la carpeta de políticas ni la elegancia del aviso de privacidad. Mide otra cosa: si puede confiarle su información, sus proyectos y los datos de su propia gente, y dormir tranquilo.

Contra esa vara, el cumplimiento de fachada falla dos veces. Documentos redactados para mostrar a un fiscalizador, que se desmoronarían ante el primer control serio, no protegen a las personas. Y tampoco convencen a quien está decidiendo si confía. Proteger datos no es archivar papeles; es conocer y gestionar bien los propios procesos.

Mírelo con el instrumento más básico del sistema, el registro de actividades de tratamiento. Suena a trámite. Es un mapa. Lo obliga a responder preguntas que cualquier buena gestión debería poder contestar de todos modos: qué datos tengo, dónde están, para qué los trato y bajo qué base de licitud, a quién se los comunico, cuánto tiempo los conservo, cómo los protejo. Si su empresa no puede responderlas hoy, el problema no es de cumplimiento. Es de gestión.

Dos advertencias importantes. La primera: la vaguedad delata. Un registro que dice «fines comerciales» como finalidad o «indefinido» como plazo de conservación no demuestra control, demuestra que nadie miró de verdad el proceso. Cada tratamiento necesita su finalidad concreta y cada dato su fecha de salida. La segunda: un registro desactualizado es casi peor que no tener ninguno, porque prueba que el sistema se abandonó. Cada software nuevo que contrata es un destinatario nuevo de datos; si el registro no lo refleja, el documento ya es falso. La solución es de gestión pura: nombre un owner interno, revise el registro cada seis meses y actualícelo cada vez que firme con un proveedor tecnológico o lance una campaña.

Levantar ese mapa, también puede sacar a la luz lo que ningún organigrama muestra: la planilla paralela que alguien exporta del CRM cada lunes, el software que nadie autorizó, el respaldo que vive en el computador de una persona que ya no trabaja en la empresa. El resultado no es sólo un documento para acreditar la licitud del tratamiento. Es una radiografía que mejora la eficiencia y la seguridad de toda la operación.

Un sistema vivo se nota

La ley reformada descansa sobre una idea exigente: no basta con cumplir, hay que poder demostrarlo. Y eso suele entenderse como un estado que se alcanza una vez, cuando en realidad es un proceso que se mantiene.

La prueba de que un sistema está vivo está en sus señales de vida. Las medidas de seguridad existen, funcionan y se pueden acreditar (artículo 14 quinquies). El personal está capacitado, y queda registro de ello. Hay un protocolo para reaccionar ante una vulneración de seguridad y reportarla a la Agencia sin dilaciones indebidas (artículo 14 sexies), y ese protocolo se ha probado, no sólo redactado.

Hay otra señal de vida que pocos miran y que la ley convirtió en reloj: la respuesta a los derechos de las personas. Cuando un titular ejerza su derecho de acceso, rectificación, supresión u oposición, usted deberá acusar recibo y pronunciarse dentro de treinta días corridos, prorrogables por una sola vez (artículo 11). La respuesta va por escrito, usted debe conservar el respaldo de que la envió, y si niega la solicitud tiene que fundarla e informar que la persona puede reclamar ante la Agencia. Treinta días parecen muchos hasta que hay que encontrar los datos de alguien en cuatro sistemas y dos planillas. La empresa que ya levantó su mapa responde en una semana; la que no, descubre en plena cuenta regresiva que no sabe dónde están sus propios datos.

Una advertencia que en B2B se olvida con facilidad: los titulares más cercanos son sus propios trabajadores y colaboradores. Su empresa trata todos los días datos de su gente, y algunos de los más delicados que existen: remuneraciones, evaluaciones de desempeño, licencias médicas que contienen datos de salud, antecedentes de postulantes que nunca contrató. Ahí no hay espacio para bases de licitud creativas; hay un contrato de trabajo, deberes legales y, sobre todo, los mismos derechos de acceso, rectificación, supresión y oposición que asisten a cualquier titular, con el mismo reloj de treinta días que corre igual. Una empresa que exige rigor en los datos de sus clientes pero administra los de su personal en planillas abiertas no tiene un sistema: tiene una vitrina. El estándar se prueba primero adentro.

Una empresa que puede mostrar todo eso no está simplemente en regla. Tiene un sistema capaz de resistir una fiscalización justamente porque no se construyó para la fiscalización: se construyó para funcionar.

La recompensa se llama confianza

Quiero destacar lo siguiente porque suele pasarse por alto, hacer bien las cosas en materia de datos no sirve sólo para evitar sanciones. En el mundo B2B, donde las relaciones se construyen sobre confianza de largo plazo, la seriedad con que una empresa gestiona la información de sus contrapartes es, en sí misma, un argumento comercial.

La pregunta correcta no es cómo se ve usted ante la Agencia. Es qué puede hacer su cliente con usted que no puede hacer con su competencia. Entregarle datos sensibles sin pedir una segunda revisión a su equipo legal. Pasar una due diligence de proveedores en días y no en semanas de ida y vuelta. Incluirlo en proyectos donde la información es el activo principal. Eso es lo que compra una contraparte cuando elige a un proveedor que gestiona datos con rigor: capacidad de moverse rápido sin asumir el riesgo de otro.

Ahí está la síntesis más útil. La protección de datos bien entendida es el punto donde se encuentran dos cosas que solemos pensar por separado: el respeto a un derecho fundamental de las personas y la buena administración de una organización. No son fuerzas en tensión. Cumplir en serio es tratar bien a las personas y gestionar bien la empresa, al mismo tiempo. Y en un mercado donde casi todo se juega a la confianza, esa coincidencia no es un detalle menor, es la ventaja.

Inteligencia Artificial y Protección de Datos en Chile: Guía para un cumplimiento basado en un enfoque responsable

/en , , /por
Leer más

LA NUEVA LEY DE PROTECCIÓN DE DATOS PERSONALES: EL TABLERO DE AJEDREZ DONDE CADA MOVIMIENTO EN LOS PRÓXIMOS DOS AÑOS IMPORTA

/en , , /por

LA NUEVA LEY DE PROTECCIÓN DE DATOS PERSONALES: EL TABLERO DE AJEDREZ DONDE CADA MOVIMIENTO EN LOS PRÓXIMOS DOS AÑOS IMPORTA


Las organizaciones deben ajustar sus prácticas de gestión de datos para alinearse con los rigurosos requisitos que impondrá la nueva Ley de Protección de Datos, que está a punto de ser promulgada. Esta transformación no solo exige una actualización tecnológica, sino también un cambio profundo en la cultura y mentalidad dentro de la organización. Como lo han demostrado estudios previos, cumplir con normativas como el GDPR en Europa forzó a las empresas a una transformación de procesos y negocios revisando exhaustivamente sus prácticas de datos y a adoptar un enfoque más centrado en la privacidad para la gestión de la información.

Tanto la Ley de Protección de datos como la Ley Marco de Ciberseguridad son metarregulaciones, en el sentido que establecen ideales u objetivos que deben ser cumplidos pero no indica la forma de hacerlo, por lo que se vuelven normas complejas y subjetivas al momento de abordarlas, ya que la forma de cumplir depende de cada empresa y su contexto de riesgos propio, es en cierto sentido, una estrategia que tiene que estar muy bien pensada y articulada.

Con dos años de vacancia legal antes de que las reglas entren en pleno vigor, las empresas tienen la oportunidad de prepararse de forma adecuada a un marco regulatorio complejo.

Es por esta razón, que en Idónea Consultores quisimos entregar una orientación para saber por donde empezar en esta preparación. Para ello hicimos una analogía de transformar el cumplimiento en un juego de ajedrez donde cada decisión estratégica puede llevarte más cerca del éxito o ponerte en una posición difícil. Les comparto el documento que creamos con los elementos mínimos necesarios que toda empresa debe considerar desde ya.

Si necesitas ayuda para adaptar tu estrategia en materia de protección de datos personales, todos los datos de contacto están en nuestro sitio web https://idonea.cl/

[3d-flip-book mode=»fullscreen» pdf=»https://idonea.cl/wp-content/uploads/2024/09/Preparacion-Ley-de-proteccion-de-datos-personales.pdf «][/3d-flip-book]

¿Es posible configurar un acto doloso de las personas jurídicas según lo dispone la nueva Ley de Protección de Datos Personales ?

/en /por
Leer más
Nota Ley de Proteccion de Datos Personales

Nueva Ley de Protección de Datos Personales

/en , /por

Las organizaciones deben ajustar sus prácticas de gestión de datos para alinearse con los rigurosos requisitos que impondrá la nueva Ley de Protección de Datos, que está a punto de ser promulgada. Esta transformación no solo exige una actualización tecnológica, sino también un cambio profundo en la cultura y mentalidad dentro de la organización. Como lo han demostrado estudios previos, cumplir con normativas como el GDPR en Europa forzó a las empresas a una transformación de procesos y negocios revisando exhaustivamente sus prácticas de datos y a adoptar un enfoque más centrado en la privacidad para la gestión de la información.

Tanto la Ley de Protección de datos como la Ley Marco de Ciberseguridad son metarregulaciones, en el sentido que establecen ideales u objetivos que deben ser cumplidos pero no indica la forma de hacerlo, por lo que se vuelven normas complejas y subjetivas al momento de abordarlas, ya que la forma de cumplir depende de cada empresa y su contexto de riesgos propio, es en cierto sentido, una estrategia que tiene que estar muy bien pensada y articulada.

Con dos años de vacancia legal antes de que las reglas entren en pleno vigor, las empresas tienen la oportunidad de prepararse de forma adecuada a un marco regulatorio complejo.

Es por esta razón, que en Idónea Consultores quisimos entregar una orientación para saber por donde empezar en esta preparación. Para ello hicimos una analogía de transformar el cumplimiento en un juego de ajedrez donde cada decisión estratégica puede llevarte más cerca del éxito o ponerte en una posición difícil. Les comparto el documento que creamos con los elementos mínimos necesarios que toda empresa debe considerar desde ya.

Revisa el artículo completo en el siguiente enlace de LinkedIn.

Garantizar la alineación comercial de los modelos de prevención de infracción de datos personales

/en /por

Escrito por Catherine Muñoz

Para que un modelo de prevención de infracción de datos personales, o en términos amplios, para que un programa de privacidad tenga éxito, debe poder justificar su existencia dentro del contexto de la misión de una organización que abarca aspectos más allá de su práctica, incluyendo su desarrollo comercial.

Esto lleva a una de las responsabilidades clave de un Oficial de Datos Personales (DPO): garantizar que el programa de privacidad permanezca alineado con los objetivos comerciales de una organización.

Es fácil que los expertos protección de datos personales se pierdan en su trabajo y piensen en la protección de datos como un fin en si mismo, sin embargo su trabajo solo será efectivo cuando facilite el logro de las metas y objetivos organizacionales. Los esfuerzos de privacidad deben alinearse con las metas, objetivos, funciones, procesos y prácticas de la empresa desde su ámbito comercial.

Hay cinco formas clave en que los DPO pueden garantizar esta alineación comercial:

i. Enfocar un caso de negocios para la protección de datos personales. Los DPO deben poder justificar las inversiones de tiempo y dinero que esperan que la organización haga en un programa de privacidad o modelo de prevención de infracciones de protección de datos. Esto requiere identificar cómo la protección de datos respalda los objetivos comerciales y articular claramente el retorno de la inversión que la alta gerencia debe esperar.

ii. Identificar a las partes interesadas. Hay muchas partes interesadas diferentes que desempeñan un papel en el logro de los objetivos de un programa de privacidad. Estos incluyen seguridad de la información, recursos humanos, marketing, legal, adquisiciones y otros especialistas. Es importante involucrar a estas partes interesadas en el proceso desde el principio e involucrarlos en el programa de privacidad.

iii. Aproveche las funciones clave. Además de involucrar a otras funciones comerciales como partes interesadas en el programa de privacidad, los DPO deben aprovechar la experiencia de esas funciones para lograr los objetivos de privacidad y protección de datos. Por ejemplo, los profesionales del equipo de protección de datos dedican gran parte de su tiempo a analizar e interpretar los requisitos legales. El equipo legal de la organización puede desempeñar un papel invaluable ayudando con este trabajo. De manera similar, la mayoría de las organizaciones tienen equipos de comunicaciones que pueden ayudar a desarrollar mejores mensajes internos y externos sobre privacidad.

iv. Cree un proceso para interactuar dentro de la organización. El equipo de protección de datos a menudo trabajará en estrecha colaboración con otros equipos de la organización y debe tener procesos claramente definidos para estas interacciones. Por ejemplo, es probable que el equipo de TI tenga que realizar gran parte del trabajo técnico del programa de privacidad. El equipo de protección de datos debe conocer y comprender los procesos de gestión de servicios de TI y aprovechar ese conocimiento para mejorar su capacidad de trabajar juntos.

v. Alinear la cultura organizacional y los objetivos de privacidad/protección de datos.

Cada organización tiene una cultura única, y navegar esa cultura es crucial para el éxito de las iniciativas internas. Los DPO deben comprender la cultura de su organización y utilizar ese conocimiento para avanzar con éxito en los objetivos de privacidad.

El Consentimiento en la nueva Ley de Protección de Datos Personales en Chile

/en , /por

Escrito por Catherine Muñoz

Tal como el modelo de la Unión Europea, la Ley de Protección de Datos Personales próxima a promulgarse en Chile (LPD) establece derechos para que las personas tengan, por regla general, el control de sus datos. Por tanto, los datos personales deben recogerse de forma leal, lícita y con fines legítimos, específicos. Para ello, la recogida de datos debe basarse en un consentimiento libre, específico, informado e inequívoco o en otra base legal como determinados tipos de datos y excepciones.

La nueva ley de protección de datos próxima a promulgarse define el consentimiento en los términos del GDPR de la siguiente forma:

Consentimiento: toda manifestación de voluntad libre, específica, inequívoca e informada, otorgada a través de una declaración o una clara acción afirmativa, mediante la cual el titular de datos, su representante legal o mandatario, según corresponda, autoriza el tratamiento de los datos personales que le conciernen.

La regla general aplicable a los datos personales contenida en el artículo 12 señala que es lícito el tratamiento de los datos personales que le conciernen al titular, cuando otorgue su consentimiento para ello.

  • El consentimiento del titular debe ser libre, informado y específico en cuanto a su finalidad o finalidades. El consentimiento debe manifestarse, además, en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.

  • Cuando el consentimiento lo otorgue un mandatario, este deberá encontrarse expresamente premunido de esta facultad.

  • El titular puede revocar el consentimiento otorgado en cualquier momento y sin expresión de causa, utilizando medios similares o equivalentes a los empleados para su otorgamiento. La revocación del consentimiento no tendrá́ efectos retroactivos.

  • Los medios utilizados para el otorgamiento o la revocación del consentimiento deben ser expeditos, fidedignos, gratuitos y estar permanentemente disponibles para el titular.

  • Se presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección.

  • Con todo, lo dispuesto en el inciso anterior no se aplicará en los casos cuando quien ofrezca bienes, servicios o beneficios, requiera como única contraprestación el consentimiento para tratar datos.

    El artículo 16, indica que el tratamiento de los datos personales sensibles solo puede realizarse cuando el titular a quien conciernen estos datos manifiesta su consentimiento en forma expresa, otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente.

    Por su parte, el tratamiento de los datos personales que conciernen a los niños, niñas y adolescentes, sólo puede realizarse atendiendo al interés superior de éstos y al respeto de su autonomía progresiva. Cumpliéndose la exigencia establecida en el inciso anterior, para tratar los datos personales de los niños y niñas se requiere el consentimiento otorgado por sus padres o representantes legales o por quien tiene a su cargo el Cumpliéndose la exigencia establecida en el inciso anterior, para tratar los datos personales de los niños y niñas se requiere el consentimiento otorgado por sus padres o representantes legales o por quien tiene a su cargo el cuidado personal del niño o niña, salvo que expresamente lo autorice o mandate la ley.

    Los datos personales de los adolescentes se podrán tratar de acuerdo a las normas de autorización previstas en esta ley para los adultos, salvo lo dispuesto en el inciso siguiente. Los datos personales sensibles de los adolescentes menores de 16 años sólo se podrán tratar con el consentimiento otorgado por sus padres o representantes legales o quien tiene a su cargo el cuidado personal del menor, salvo que expresamente lo autorice o mandate la ley.

    La ley permite que los datos personales se recopilen y utilicen sobre la base de un consentimiento que puede manifestarse de forma amplia, derivado de la expresión “una clara acción afirmativa” la cual puede ser interpretable de muchas maneras. Por su parte para los datos sensible, se requiere un consentimiento «expreso».

    No obstante, en Europa se ha discutido que la expresión “inequívoca” para definir el consentimiento de los datos personales no sensibles, es equivalente o quiere decir lo mismo que consentimiento expreso. En definitiva, el debate planteado da cuenta que todos consentimientos finalmente deben ser expresos, lo que puede generar problemas de ambigüedades e interpretaciones.

    Por ejemplo, un problema interpretativo podría ser si una persona verbalmente confirma «Sí, estoy de acuerdo» o selecciona una opción o casilla que indica su aprobación, ha dado su consentimiento a través de una acción afirmativa, más bien una acción afirmativa explícita , pero si una persona nunca dice «Estoy de acuerdo», y nunca marca una casilla evidentemente no está dando un consentimiento expreso, pero ¿podríamos inferir implícitamente su consentimiento a través de una acción afirmativa diferente si estamos hablando de datos personales no sensibles?

    En principio, si pudiese ser posible deducirlo, por ejemplo, si un usuario en internet entra en un concurso en línea, para entrar, tiene que completar un formulario de acceso proporcionando su nombre y dirección. Además, introduce su dirección de correo electrónico en un campo de correo electrónico marcado como «opcional», con un breve descargo de responsabilidad debajo que dice «Introduzca su dirección de correo electrónico para recibir información sobre productos y servicios que creemos que le interesarán». Este es un consentimiento con una acción afirmativa, no hay duda, pero no queda claro si es inequívoco o no.

    Los dos modelos diferentes de consentimiento se traducen en soluciones muy diferentes dentro de los productos y servicios. En uno, el modelo de consentimiento «expreso», nada menos que una casilla de selección de suscripción o una declaración de consentimiento, funcionará. En el otro, el modelo de consentimiento «inequívoco», puede cumplirse con un aviso prominente, junto con una «acción afirmativa», obteniendo el consentimiento implícito sin la necesidad de una casilla de suscripción.

Tratamiento licito de datos sensibles sin el consentimiento de sus titulares.

Es lícito el tratamiento de datos personales sensibles, sin el consentimiento del titular, en los siguientes casos:

  • Cuando el tratamiento se refiere a datos personales sensibles que el titular ha hecho manifiestamente públicos y su tratamiento esté relacionado con los fines para los cuales fueron publicados.

  • Cuando el tratamiento se basa en un interés legítimo realizado por una persona jurídica de derecho público o de derecho privado que no persiga fines de lucro y se cumplan ciertas condiciones.

  • Cuando el tratamiento de los datos personales del titular resulte indispensable para salvaguardar la vida, salud o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento.

  • Cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o un órgano administrativo.

  • Cuando el tratamiento de datos sea necesario para el ejercicio de derechos y el cumplimiento de obligaciones del responsable o del titular de datos, en el ámbito laboral o de seguridad social, y se realice en el marco de la ley.

  • Cuando el tratamiento de datos personales sensibles lo autorice o mandate expresamente la ley.

Reglas sobre datos sensibles relativos a salud

Sólo se podrá tratar los datos personales sensibles relativos a la salud del titular y a su perfil biológico, sin contar con su consentimiento:

  • Cuando éste resulte indispensable para salvaguardar la vida o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento.

  • En casos de alerta sanitaria legalmente decretada.

  • Cuando sean utilizados con fines históricos, estadísticos o científicos, para estudios o investigaciones que atiendan fines de interés público o vayan en beneficio de la salud humana, o para el desarrollo de productos o insumos médicos que no podrían desarrollarse de otra manera.

  • Cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o un órgano administrativo.

  • Cuando el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de sistemas y servicios de asistencia sanitaria y social.

  • Cuando la ley así lo permita e indique expresamente la finalidad que deberá tener dicho tratamiento.

Tratamiento licito de datos personales sin el consentimiento de sus titulares.

Al respecto, la nueva normativa local establece las siguientes fuentes de licitud que reemplazan el requisito de consentimiento en el caso de datos personales no sensibles:

  • Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y se realice de conformidad con las normas del Título III de esta ley.

  • Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley.

  • Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.

  • Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular.

  • Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.

Ninguna base legal es ‘mejor’ o más importante que las demás ni que el consentimiento; todo dependerá de su propósito y relación con el usuario o cliente.

Recomendaciones:

  1. Se debe determinar si es necesario el consentimiento o se puede aplica una base legal descritas en los párrafos anteriores y documentarlo siempre. Por ejemplo, una base legal para tratar datos personales sin el consentimiento puede ser la existencia de un contrato previo. En otras palabras, tiene un contrato con la persona y es necesario procesar sus datos personales para cumplir con sus obligaciones en virtud del contrato. ‘Necesario’ no significa que el procesamiento de datos deba ser absolutamente esencial o ‘la única forma’ de ejecutar el contrato. Sin embargo, debe ser un paso específico y proporcionado que sea parte integral de la prestación del servicio contractual o la realización una acción sujeta a obligación contractual.

  2. Los formularios de consentimiento deben ser fáciles de entender y fáciles de usar.

  3. Mantenga registros para evidenciar el consentimiento: quién dio su consentimiento, cuándo, cómo.

  4. La ley expresamente señala que las personas que han otorgado este tipo de consentimientos pueden retirarlo sin expresión de causa en cualquier momento, por lo que se debe contar con un proceso de facilitación para el retiro del mismo.

  5. Mantenga los consentimientos bajo revisión y actualícelos si algo cambia. Incorpore revisiones periódicas de consentimiento en sus procesos de compliance.