El martes 30 de enero se realizó el evento Data Protection | Get Update 2024, un encuentro del Consejo de ética y autorregulación de la AMDD, exclusivo para sus socios, en el marco del día internacional de la protección de datos.
Pablo Leiva, presidente de la asociación, dio la bienvenida a los presentes recalcando la importancia que la protección de datos tiene para todas las industrias socias y del rol de acompañamiento de la AMDD en el proceso de adecuación respecto de la nueva regulación en la materia.
Posteriormente Guillermo Carey, socio Carey, habló de la importancia de tener una mirada más amplia para adentrarse al mundo de los datos personales. Estos no sólo se agotan en la ley de protección de datos pronta a ser aprobada, sino que es necesario tener una visión más amplia y hacer los conectores con otras regulaciones que afectarán esta materia.
Al ser el tema de datos personales un derecho fundamental consagrado a nivel constitucional, Carey recalca que es importante tener presente que se han aprobado y se están discutiendo regulaciones que impactarán a las empresas, obligándolas a hacer un adecuado tratamiento de datos personales.
Es así como resumió aspectos de la ley de delitos económicos, la ley marco de ciberseguridad, el proyecto de ley de Inteligencia artificial y algunas disposiciones de otros cuerpos legales que afectarán las conductas de las empresas en estas materias (i.e. Sernac) que las organizaciones conozcan.
Aspectos importantes de su presentación:
El socio Carey hizo un resumen sobre la Ley de delitos económicos, destacando la sistematización de los delitos ligados a la actividad empresarial, la amplia base de lavado de activos, las nuevas penas y sanciones procesales, el aumento exponencial de delitos base, exigencias que deben cumplir los modelos de prevención y que sean cometidos en ejercicio de un cargo o en beneficio de una empresa, como la falsificación, amenazas, fraudes, etc.
Lee el resumen sobre la ley de delitos económicos realizado por el equipo Carey aquí.
- Inteligencia Artificial
Guillermo Carey hizo una descripción de los aspectos más importantes del proyecto de ley presentado en el congreso. Fundamentalmente, explicó que el proyecto tiene como antecedente el reglamento de la Unión Europea sobre inteligencia artificial en donde se categoriza y regula la misma en base a los riesgos asociados al uso y desarrollo de la la misma.
En la misma línea explicó que en Chile se distinguen los riesgos más graves en categorías de inaceptable y de altra gravedad. Asimismo, se establece una institucionalidad que regulará y supervisará este tipo de desarrollos.
Además expuso que el sistema propuesto no parece conveniente frente a las autorizaciones, que los desarrolladores y empresas deberán solicitar a la institucionalidad propuesta, lo que necesariamente afectará el desarrollo y la innovación en estas materias. Al respecto, Carey propone sistema de softlaw para ir regulando estos temas complejos, en que las leyes describen principios, los que serán complementados con medidas que podrán tomar las empresas para articular un adecuado cumplimiento.
En este contexto describió la importancia de las certificaciones, auditorías algorítmicas, mecanismo de transparencia, mediciones de impacto algorítmico entre otros. Mencionó especialmente los PIA, (Privacy Impact Analysis) para asegurar que los desarrollos de IA se ajusten a los principios regulatorios aprobados.
También abordó en su ponencia nuevos riesgos asociados al uso de IA además de los sesgos algorítmicos y violaciones a la privacidad.
En efecto, describió los temas asociados a las violaciones de la propiedad intelectual e industrial fruto del uso de herramientas de inteligencia artificial generativa como chat GPT.
Finalmente, comentó la importancia de seguir explorando estos temas y que las empresas asociadas a la AMDD se conviertan en un referente para la industria.
“La Asociación de Marketing Digital y Data Chile (AMDD) ha sido pionera en los últimos años en la adopción de medidas concretas y decididas para promover la autorregulación de la industria, a través de la dictación de un exigente Código de Ética y Autorregulación, de carácter vinculante para sus asociados, así como el establecimiento de un Consejo de Autorregulación y la habilitación de una plataforma en su sitio web para denunciar infracciones por parte de un asociado a dicho Código. La AMDD podría continuar por esta senda para ir anticipando en su modelo de autorregulación algunos principios para regular el uso ético, transparente y responsable de la IA”, dijo Guillermo Carey
Continuó Macarena Gatica, socia Alessandri abogados y vicepresidenta del Consejo de ética y autorregulación, quien habló sobre los cambios más relevantes que introduce el proyecto de ley a consentimiento:
Consentimiento libre implica un consentimiento granular y centro preferencia
Se entiende que un consentimiento no ha sido otorgado libremente cuando se configura una venta atada. Es decir, cuando el tratamiento de datos excede los fines del producto o servicio contratado.
Consentimiento inequívoco, significa que no exista duda que la intención del titular de datos ha sido otorgar el consentimiento. Checkbox no deben venir prechequeados.
Fuentes de acceso público de acuerdo al proyecto de ley
Principales cambios: dejan de ser una fuente de licitud y una excepción a la finalidad. Requieren para su tratamiento una base de licitud, la cual generalmente será el interés legítimo. Al respecto, tener presente que esta es un base de licitud excepcional y que requiere de un examen de ponderación.
Gestión de riesgo
Artículo 48 (Proyecto de Ley): Los responsables de datos deberán adoptar acciones destinadas a prevenir las infracciones establecidas en la ley.
Debida diligencia
Conducta proactiva y preventiva
La empresa debe contar con un sistema que permita gestionar el riesgo asociado a la protección de datos personales.
El programa de prevención de infracciones y su contenido.
Es de carácter facultativo y al estar certificado por la Agencia puede ser un atenuante en caso de infracciones.
Designar un encargado de prevención o delegado de protección de datos.
Definir los medios y facultades del encargado de protección de datos
Identificación del tipo de información que la entidad trata, ámbito territorial en que opera, tipo de datos, características de los titulares.
Identificación de las actividades o procesos de entidad en que se generan los riesgos de infracciones (Registro de tratamiento de datos RAT-Evaluación de impacto, Privacy impact assessment PIA)
Reglas, protocolos, procedimientos especificos que prevengan infracciones
Mecanismos de reporte interno sobre el cumplimiento de la ley y reporte a las autoridades.
La existencia de sanciones administrativas internas.
Las regulaciones contenidas en el modelo de cumplimiento deben incorporarse en: Contrato de trabajo y en Reglamento interno de orden, higiene y seguridad.
Delegado de protección de datos personales
Principales roles con relación a la data en una organización, los cuales no se recomienda que recaigan en una misma persona debido al conflicto de interés existente.
CISO: Chief Information Security Officer
Delegado de Protección de datos (DPO)
Gobierno de datos
Funciones del delegado
Informar y asesorar al responsable respecto de la regulación sobre datos personales
Supervisar el cumplimiento de la ley.
Formación de las personas que traten datos personales
Identificar los riesgos y medidas para resguardar los derechos de los titulares.
Adoptar acciones designadas a prevenir infracciones
Desarrollar un plan anual
Atender consultas de los titulares
Contacto con la agencia.
- Evaluación del Impacto en protección de datos personales (Privacy impact assessment PIA)
El proyecto de ley mandata que se debe realizar una evaluación en los siguientes casos:
- Cuando sea probable que se pueda producir un alto riesgo para los derechos de los titulares
- Decisiones automatizadas
- Monitoreo sistemático de una zona de acceso público
- Tratamiento de datos sensibles y especialmente cuando se trata de excepciones al consentimiento.
Finalmente, Cristián Maulén, presidente del Consejo de ética y autorregulación de la AMDD y CEO de CustomerTrigger, presentó en exclusiva su estudio El uso de los Datos, opinión de lideres de servicio, marketing y tecnología, que permite comprender cómo transforman datos en conocimiento para impulsar el valor de sus operaciones y respetar la privacidad.
Maulén comentó sobre cómo las nuevas tecnologías y el uso de datos personales brindan a la humanidad la oportunidad de vivir y consumir mejor y ser más sostenibles. Las reglas de privacidad y protección de datos contribuyen a la creación de confianza. La metodología que usaron fue un panel de 147 líderes de servicio, marketing y tecnología, registrando sus opiniones en noviembre de 2023.
Datos importantes de su presentación:
- Mapeo de datos
Las empresas necesitan saber qué datos realmente necesitan para atender a los clientes. Gran parte de los datos recopilados no se utilizan para análisis y no serán necesarios en el futuro.
- Infraestuctura
Las organizaciones están trabajando para crear entornos que puedan adaptarse fácilmente a los crecientes volúmenes de datos recopilados. Además de atender las innovaciones tecnológicas.
- Operaciones
Las organizaciones líderes han desarrollado prácticas de administración de identidad y acceso para individuos de acuerdo con sus roles, con niveles de acceso de seguridad determinados para diferentes categorías de datos.
- Prácticas centradas en el cliente
Las empresas líderes están construyendo privacidad por diseño en aplicaciones orientadas al consumidor, con características como cierres de sesión automáticos y requisitos para contraseñas seguras.
- Aumenta la importancia sobre los datos.
80% de los líderes declara como “importantes” y “críticos” los datos, considerando el 73% del año 2021.
- Organizaciones más avanzadas en el uso de datos.
Más del 32% de los líderes declara “avances importantes” en el uso de datos.
- La práctica en el uso de datos alcanza niveles prepandemia.
Hoy, el 50,3% de las organizaciones está alcanzando niveles de práctica “avanzados” y “muy avanzados” en Data-Driven.
- Se mantienen los niveles de confianza en data-driven.
Una amplia mayoría de líderes (72%) “confía” ampliamente en el valor de Data-Driven y su potencial crecimiento para el negocio en el futuro.
- Las inversiones continuarán enfocadas en los datos.
Más del 66% de los líderes declara que “crecerán” y “aumentarán” sus inversiones en prácticas asociadas al uso de datos.
- Débil esfuerzo en inteligencia artificial para data-driven.
58% de las organizaciones “no realiza ningún esfuerzo” en IA para el diseño de una “siguiente mejor acción”.
- ¿Cuál es el peso de las barreras regulatorias?
Se mantiene constante, con 35% el “límite sustancial” sobre las barreras regulatorias, tales como el proyecto que modifica la Ley de Protección de Datos y Ley Proconsumidor.
El estudio presentado por Cristián Maúlen fue realizado por el Observatorio de Insightlab y CustomerTrigger, en colaboración con la Cámara de Comercio de Santiago de Chile. Revisalo completo aquí.
Finalmente Alejandra Ravera, gerente general de la AMDD, dijo unas palabras al cierre y agradeció la asistencia.
Este evento forma parte de la agenda de la AMDD de encuentros exclusivos para nuestros socios como instancias para compartir experiencias y mantenerse actualizados con las últimas tendencias del marketing digital y la data.