{"id":476,"date":"2024-11-27T12:56:08","date_gmt":"2024-11-27T15:56:08","guid":{"rendered":"https:\/\/www.hdgroup.cl\/compliance\/?p=476"},"modified":"2024-11-27T12:56:08","modified_gmt":"2024-11-27T15:56:08","slug":"prensa-columna-de-opinion-de-nuestro-asociado-camilo-sanhueza-para-estado-diario","status":"publish","type":"post","link":"https:\/\/www.hdgroup.cl\/compliance\/2024\/11\/27\/prensa-columna-de-opinion-de-nuestro-asociado-camilo-sanhueza-para-estado-diario\/","title":{"rendered":"Prensa | Columna de opini\u00f3n de nuestro asociado, Camilo Sanhueza, para Estado Diario"},"content":{"rendered":"

Fuente: Estado Diario<\/a><\/p>\n

\u00bfEs necesario un Delegado de Protecci\u00f3n de Datos Personales en Chile?<\/strong><\/p>\n

Camilo Sanhueza Seguel. Asociado del \u00e1rea de Compliance de HD Group. Abogado de la Pontifica Universidad Cat\u00f3lica de Valpara\u00edso. Diplomado \u00a9 en Protecci\u00f3n de Datos Personales P. Universidad Cat\u00f3lica de Chile, Diplomado en Legal Management Program LatAm P. Universidad Cat\u00f3lica de Valpara\u00edso y Thomson Reuters, y Curso de Protecci\u00f3n de Datos Personales Universidad del Desarrollo. Socio miembro de la Asociaci\u00f3n de Profesionales de Protecci\u00f3n de Datos Personales.<\/strong><\/p>\n

La interrogante sobre la necesidad de contar con un Delegado de Protecci\u00f3n de Datos Personales en Chile, conocido internacionalmente como Data Protection Officer<\/em> (DPO, por sus siglas en ingl\u00e9s), adquiere especial relevancia en el contexto del Proyecto de Ley que regula la Protecci\u00f3n y el Tratamiento de los Datos Personales y crea la Agencia de Protecci\u00f3n de Datos Personales, en adelante, la \u201cLey<\/u>\u201d. Este se encuentra en sus \u00faltimas etapas de tramitaci\u00f3n. El pasado 15 de noviembre de 2024, el Tribunal Constitucional aprob\u00f3 y declar\u00f3 constitucional la Ley mediante control preventivo, dejando pendiente \u00fanicamente su promulgaci\u00f3n por parte del Presidente de la Rep\u00fablica y su publicaci\u00f3n en el Diario Oficial. \u00a0La Ley entrar\u00e1 en vigencia el d\u00eda primero del mes vig\u00e9simo cuarto posterior a su publicaci\u00f3n en el Diario oficial.<\/p>\n

En este contexto, a pocos d\u00edas de que se promulgue y publique la Ley, la figura del DPO resulta relevante, en orden a determinar si los organismos \u2013 p\u00fablicos o privados \u2013 en su calidad de Responsables del tratamiento (quienes determinan los fines y medios del tratamiento) deben implementar al interior de sus organizaciones este nuevo rol, externalizarlo, o bien, simplemente omitir dicho nombramiento.<\/p>\n

A partir de lo anterior, desarrollaremos sucintamente la figura del DPO y responderemos a la interrogante de que, si es necesario dicho cargo en Chile, considerando especialmente, que la propia Ley se refiere a \u00e9l como la figura angular del Modelo de Cumplimiento \/ Prevenci\u00f3n de Infracciones en materia de Protecci\u00f3n de Datos Personales.<\/p>\n

El rol del DPO: Definici\u00f3n y Funciones.<\/strong><\/p>\n

El DPO es el encargado de supervisar y garantizar el cumplimiento normativo en el tratamiento de los datos personales. Especialmente en Chile, es la figura central del Modelo de Cumplimiento en materia de protecci\u00f3n de datos personales. En el ejercicio de sus funciones, debe actuar de forma independiente y neutral, dicha independencia debe ser en relaci\u00f3n a la alta administraci\u00f3n de la organizaci\u00f3n, en el sentido que debe actuar sin presiones o influencias, que no existan conflictos de inter\u00e9s al momento de ejercer su labor, debiendo ponderar los intereses del negocio en contraposici\u00f3n de los derechos y libertades de los titulares, priorizando y protegiendo a estos \u00faltimos. Lo anterior adquiere especial relevancia puesto que dicho cargo rinde cuenta directamente al m\u00e1s alto nivel jer\u00e1rquico de la organizaci\u00f3n. Entre sus funciones, se encuentra el de informar y asesorar al Responsable, respecto a las disposiciones legales y reglamentarias relativas al derecho a la protecci\u00f3n de los datos personales y a la regulaci\u00f3n de su tratamiento. Su nombramiento debe atender a sus cualidades profesionales y a sus s\u00f3lidos conocimientos especializados en protecci\u00f3n de datos personales y pr\u00e1cticas asociadas, tales como privacidad por dise\u00f1o y por defecto, evaluaci\u00f3n de impacto, y atenci\u00f3n a solicitudes de derechos ARCOP+ (Acceso, Rectificaci\u00f3n, Cancelaci\u00f3n, Oposici\u00f3n, Portabilidad), entre otras.<\/p>\n

El DPO supervisa al Responsable, garantizando el cumplimiento de las normativas aplicables y sirviendo como punto de contacto entre \u00e9l y los titulares de los datos, as\u00ed como con la futura Agencia de Protecci\u00f3n de Datos Personales. Sobre esta figura, resulta necesario aclarar que el DPO no es el sujeto obligado a cumplir con la Ley, sino que tal obligaci\u00f3n recae en el Responsable. En este sentido, el DPO no se hace personalmente responsable por las consecuencias derivadas de las decisiones adoptadas por el Responsable en caso de incumplimientos, y a\u00fan menos cuando act\u00faa en contravenci\u00f3n directa de las recomendaciones que \u00e9ste le pudiera dar.<\/p>\n

Designaci\u00f3n en Chile del DPO: \u00bfObligatoria o Voluntaria?<\/strong><\/p>\n

En la actualidad, pocas empresas en Chile cuentan con un DPO. Esto ocurre principalmente en organizaciones multinacionales o grandes compa\u00f1\u00edas que deben cumplir con est\u00e1ndares internacionales en esta materia, como el Reglamento General de Protecci\u00f3n de Datos de la Uni\u00f3n Europea (RGPD).<\/p>\n

La figura del DPO nace a prop\u00f3sito de la implementaci\u00f3n voluntaria de un Modelo de Prevenci\u00f3n de Infracciones, de conformidad a los art\u00edculos 49 y 50 de la Ley, en que se se\u00f1ala que, entre los elementos m\u00ednimos que este debe contener, se encuentra la designaci\u00f3n de un DPO y la definici\u00f3n de sus medios y facultades. En consecuencia, si bien la designaci\u00f3n de un DPO es voluntaria, salvo que la organizaci\u00f3n decida implementar el \u00a0Modelo de Prevenci\u00f3n antes se\u00f1alado, en la pr\u00e1ctica, con independencia de su adopci\u00f3n, es la figura por antonomasia en materia de protecci\u00f3n de datos personales, es qui\u00e9n deber\u00e1 garantizar el cumplimiento de la Ley ante la Agencia y ante los titulares, frente a cualquier fiscalizaci\u00f3n o ejercicio de derechos, respectivamente, y ser\u00e1 el aliado dentro de la organizaci\u00f3n en orden a crear una cultura organizacional y sensibilizaci\u00f3n en materia de protecci\u00f3n de datos personales. Adicionalmente y no menos importante, ser\u00e1 el encargado de gestionar los riesgos ante eventuales incumplimientos, velar por el cumplimiento y ejecuci\u00f3n de las medidas de detecci\u00f3n, prevenci\u00f3n y mitigaci\u00f3n de infracciones a la Ley, asimismo como tambi\u00e9n, deber\u00e1 adoptar las medidas t\u00e9cnicas y organizativas para garantizar su cumplimiento, asesorar a la entidad sobre la materia, y fortalecer la confianza frente a terceros y stakeholders<\/em>.<\/p>\n

Por otro lado, en relaci\u00f3n con las caracter\u00edsticas o cualidades que este nuevo rol debe reunir, el art\u00edculo 50 de la Ley, establece ciertos requisitos para el DPO, destacando su independencia, conocimientos espec\u00edficos en protecci\u00f3n de datos personales, deber de secreto o confidencialidad y la necesidad de ser nombrado por la m\u00e1xima autoridad de la entidad. Este rol puede ser asumido por una persona interna a la organizaci\u00f3n o bien, se puede externalizar. En el caso de las PYMEs, el propietario podr\u00eda desempe\u00f1ar este papel, y para grupos empresariales, la Ley permite un \u00fanico DPO para todas las entidades que operen bajo los mismos est\u00e1ndares y pol\u00edticas en materia de protecci\u00f3n de datos personales.<\/p>\n

Perspectiva Internacional: el Est\u00e1ndar Europeo.<\/strong><\/p>\n

Como referencia a nivel internacional, en Europa, el RGPD establece en su art\u00edculo 37 que la designaci\u00f3n de un DPO es obligatoria en tres casos espec\u00edficos: (i) Cuando el tratamiento es realizado por una autoridad p\u00fablica; (ii) Cuando las actividades principales del responsable o encargado incluyen tratamientos a gran escala que requieren un seguimiento habitual y sistem\u00e1tico de los titulares; y, (iii) Cuando las actividades principales involucran categor\u00edas especiales de datos (similares a los datos sensibles) o datos relativos a condenas e infracciones penales.<\/p>\n

Aunque para el caso chileno, la Ley no contempla esta obligatoriedad, la experiencia europea y lo se\u00f1alado previamente, sugiere que la designaci\u00f3n de un DPO resulta beneficioso para garantizar el cumplimiento normativo y proteger la privacidad de los titulares, especialmente en organizaciones que manejan grandes vol\u00famenes de datos personales o datos sensibles, como podr\u00eda ocurrir en el rubro del retail, Fintech, <\/em>telecomunicaciones, bancario, educacional, salud, u organismos sin fines de lucro como las fundaciones o corporaciones, entre otros.<\/p>\n

Beneficios de contar con un DPO<\/strong><\/p>\n

Independientemente de la obligatoriedad, contar con un DPO aporta valor estrat\u00e9gico y operativo a las organizaciones. Este profesional asegura el cumplimiento normativo, protege los derechos de los titulares y previene sanciones. Adem\u00e1s, en el ejercicio de \u00a0sus funciones y atribuciones, permite generar valor a trav\u00e9s de, entre otras cosas: (i) Fortalecer la confianza de los clientes y usuarios al demostrar un compromiso con la protecci\u00f3n de los datos personales; (ii) Facilitar la gesti\u00f3n de riesgos en el tratamiento de los datos; (iii) Actuar como intermediario entre la organizaci\u00f3n, los titulares y la Agencia de Protecci\u00f3n de Datos Personales; \u00a0(iv) Impulsar la cultura de cumplimiento y sensibilizaci\u00f3n dentro del organismo; (v) Generar confianza para el desarrollo de nuevos negocios, especialmente, en materia de transferencias internacionales, en que se preferir\u00e1 elegir aqu\u00e9l que disponga de un Compliance<\/em> de Datos Personales robusto frente a otro que no cumpla con dicho est\u00e1ndar, considerando especialmente que hoy en d\u00eda, ante la Comisi\u00f3n Europea, Chile, no es considerado como un pa\u00eds \u201cadecuado\u201d en materia de protecci\u00f3n de datos personales, y que la Ley tiene por objeto subsanar dicha deficiencia.<\/p>\n

\u00bfDPO Interno o Externo?<\/strong><\/p>\n

La figura del DPO no necesariamente debe ser desempe\u00f1ada por un abogado, pero quien lo desempe\u00f1e, s\u00ed requiere conocimientos especializados en protecci\u00f3n de datos. Como adelantamos m\u00e1s arriba, este rol puede ser ejercido de manera interna o externa en la organizaci\u00f3n, es decir, por un empleado actual o por un externo contratado por el Responsable. Ahora bien, un DPO interno aporta un valor a\u00f1adido significativo, ya que tiene un conocimiento profundo de la cultura organizacional y del sector en el que se desempe\u00f1a la empresa, lo que le permite actuar como un aliado en la b\u00fasqueda de soluciones adecuadas, facilitar la comunicaci\u00f3n entre las distintas \u00e1reas de la organizaci\u00f3n y comprender de mejor manera la realidad de la compa\u00f1\u00eda. En cambio, si se opta por un DPO externo, esta alternativa tambi\u00e9n beneficiosa, ofrece independencia y experiencia especializada en organizaciones que carecen de recursos internos suficientes para cubrir esta posici\u00f3n. Adicionalmente, no habr\u00eda inconveniente en designar “subdelegados de protecci\u00f3n de datos personales” en \u00e1reas cr\u00edticas como el departamento Legal\/Compliance<\/em>, TI, Recursos Humanos, entre otros. Estos subdelegados pueden reportar directamente al DPO externo e independiente, para alinear los intereses de la compa\u00f1\u00eda con los derechos de los titulares, siempre que se definan claramente sus funciones, responsabilidades, acceso a la alta direcci\u00f3n y se eviten posibles conflictos de inter\u00e9s.<\/p>\n

En ambos casos, es fundamental que el DPO tenga acceso a los recursos necesarios, especialmente econ\u00f3micos para el adecuado cumplimiento de sus funciones, que reciba formaci\u00f3n continua y cuente con la independencia necesaria para ejercer su funci\u00f3n sin interferencias y represalias, como podr\u00eda ser la desvinculaci\u00f3n o aplicaci\u00f3n de sanciones por parte del Responsable, situaci\u00f3n que se anticip\u00f3 en el contexto europeo, el art\u00edculo 38 del RGPD, dispone que el DPO no podr\u00e1 recibir ninguna instrucci\u00f3n en lo que respecta al desempe\u00f1o de sus funciones, y que no podr\u00e1 ser destituido ni sancionado por el Responsable por desempa\u00f1ar sus funciones.<\/p>\n

Conclusiones y Recomendaciones.<\/strong><\/p>\n

La Ley entrar\u00e1 en vigencia el d\u00eda primero del mes vig\u00e9simo cuarto posterior a su publicaci\u00f3n en el Diario Oficial, por lo que dicho plazo ser\u00e1 el referente para que los Responsables puedan dar comienzo a su implementaci\u00f3n y cumplimiento, es esencial que las organizaciones tomen decisiones internas destinadas a implementar las acciones que sean necesarias para adaptarse a las nuevas exigencias que trae consigo la nueva Ley, especialmente sobre la adopci\u00f3n de un Modelo de Cumplimiento y la designaci\u00f3n de un DPO. A partir de la experiencia europea, en donde se estableci\u00f3 un plazo id\u00e9ntico al de nuestra Ley, este plazo de dos a\u00f1os ser\u00eda insuficiente, por lo tanto, recomendamos que las organizaciones comiencen de inmediato a establecer una gobernanza de datos y definir responsables, adem\u00e1s de decidir si se limitar\u00e1n estrictamente a lo dispuesto en la Ley o adoptar\u00e1n una cultura organizacional de cumplimiento. Estas importantes decisiones, deben tomarse a nivel directivo pues marcaran el actuar de la organizaci\u00f3n a futuro en esta materia que se traducir\u00e1n en un plan de acci\u00f3n que permita aprovechar la ventaja competitiva que el cumplimiento de altos est\u00e1ndares en protecci\u00f3n de datos personales le dar\u00e1 a la organizaci\u00f3n.<\/p>\n

Finalmente, se debe considerar para la designaci\u00f3n de un DPO, que este debe contar con integridad y \u00e9tica profesional y conocimientos s\u00f3lidos en protecci\u00f3n de datos personales. El profesional electo como DPO debe ser capaz de fomentar una cultura de cumplimiento, asesorar a la alta administraci\u00f3n, monitorear el cumplimiento normativo y supervisar la implementaci\u00f3n y cumplimiento de un Modelo de Prevenci\u00f3n de Infracciones asociado a una Matriz de Riesgos en protecci\u00f3n de datos personales. Para el \u00e9xito de su cometido, ser\u00e1 crucial que tenga la debida autonom\u00eda e independencia para tomar decisiones en esta materia, asimismo, la debida resiliencia frente a resistencias internas, no teniendo que ceder a presiones de la alta direcci\u00f3n, asegurando la observancia del Modelo y las nuevas exigencias establecidas en la Ley.<\/p>\n

 <\/p>\n

\"\"<\/p>\n","protected":false},"excerpt":{"rendered":"

Fuente: Estado Diario \u00bfEs necesario un Delegado de Protecci\u00f3n de Datos Personales en Chile? Camilo Sanhueza Seguel. Asociado del \u00e1rea de Compliance de HD Group. Abogado de la Pontifica Universidad Cat\u00f3lica de Valpara\u00edso. Diplomado \u00a9 en Protecci\u00f3n de Datos Personales P. Universidad Cat\u00f3lica de Chile, Diplomado en Legal Management Program LatAm P. Universidad Cat\u00f3lica de<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[36],"tags":[],"class_list":["post-476","post","type-post","status-publish","format-standard","hentry","category-going-on"],"acf":[],"lang":"es","translations":{"es":476,"en":477},"meta_box":{"news_pdf":[],"team_posicion-imagen":false,"team_taxonomy":false,"listado_categorias":false,"gp_limit":false,"gp_taxonomia":false},"pll_sync_post":{"es":true,"en":true},"_links":{"self":[{"href":"https:\/\/www.hdgroup.cl\/compliance\/wp-json\/wp\/v2\/posts\/476","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hdgroup.cl\/compliance\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hdgroup.cl\/compliance\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hdgroup.cl\/compliance\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hdgroup.cl\/compliance\/wp-json\/wp\/v2\/comments?post=476"}],"version-history":[{"count":0,"href":"https:\/\/www.hdgroup.cl\/compliance\/wp-json\/wp\/v2\/posts\/476\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.hdgroup.cl\/compliance\/wp-json\/wp\/v2\/media?parent=476"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hdgroup.cl\/compliance\/wp-json\/wp\/v2\/categories?post=476"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hdgroup.cl\/compliance\/wp-json\/wp\/v2\/tags?post=476"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}