Es indiscutible que no tenemos tiempo para leer y revisar los términos y condiciones que nos permitan autorizar el tratamiento de nuestros datos. No sólo por aplicaciones digitales somos demandados a esta agotante lectura, sino también por servicios en diferentes puntos de atención. Más ahora que, con una nueva política pública, con estrecha vacancia legal, traerá consigo más desafíos a las organizaciones para que los ciudadanos entreguen su consentimiento, en las crecientes dimensiones de servicio de una economía digital. ¿Tú organización está preparada?

Contexto

En diciembre de 2024 se publicó en Chile la Ley 21.719, nueva normativa de protección de datos personales que moderniza por completo el marco legal vigente. Esta ley –alineada con estándares internacionales como el Reglamento General de Protección de Datos (GDPR) de la UE– eleva significativamente las exigencias en el manejo de datos personales (Protección de Datos).

Todo tratamiento de datos personales debe fundarse en una base de licitud válida. En la mayoría de los casos esto implica obtener el consentimiento expreso, libre, específico e informado del titular de los datos, salvo que exista otra base jurídica permitida por la ley (por ejemplo, cumplimiento de contrato, interés legítimo, obligaciones legales, etc.). La ley eleva el estándar de consentimiento, exigiendo que sea previo e inequívoco; ya no bastarán las casillas pre-marcadas ni frases ambiguas, se requiere una aceptación explícita tras informar claramente al cliente (La nueva ley de protección de datos personales en Chile, lo que tienes que saber – Fintualist). En paralelo, la institución debe respetar las preferencias del titular en cuanto a cómo se pueden usar sus datos.

La seguridad y la privacidad de los datos suelen considerarse cuestiones de cumplimiento, impulsadas por los mandatos normativos de protección de datos emergentes y por el hecho de que los consumidores están empezando a darse cuenta de la cantidad de información que se recopila y utiliza. Las protecciones de la seguridad y la privacidad de los datos suelen ser insuficientes o monolíticas, en lugar de estar adaptadas a conjuntos de datos individuales. Será clave proporcionar a los empleados un acceso seguro a los datos, proceso que actualmente es altamente manual, lo que lo hace propenso a errores. Los procesos manuales de resiliencia de datos dificultan la recuperación rápida y completa de los datos, lo que crea riesgos de interrupciones prolongadas de los datos que afectan la productividad de los empleados.

En este contexto, las principales medidas que se están implementando, según el Estudio El Uso de Los DATOS, recaen en el “establecimiento de políticas internas respecto a la ética en protección de datos” con un 48%, seguido por “procesos que permitan un mejor resguardo de los datos” con un 44%. En oposición, aunque no deja de ser preocupante, un 19% declara que “no ha hecho nada”, que se condice con el 30% de desconocimiento en la nueva normativa de datos.

LÍMITES DATA-DRIVEN: ¿Qué medidas o acciones se están tomando respecto al manejo de privacidad y ética de datos?

Marco de Trabajo para Administrar el Consentimiento

La creación de un marco de trabajo para la administración del consentimiento es un paso fundamental para las empresas que buscan cumplir con las regulaciones de protección de datos y privacidad. Este marco debe ser integral, abarcando desde la recopilación inicial del consentimiento hasta su gestión y revocación. Debe incluir políticas claras y transparentes que informen a los usuarios sobre qué datos se recopilan, cómo se utilizan, con quién se comparten y cómo pueden ejercer sus derechos sobre ellos.

Según la normativa las bases de licitud se sustentan en: “una Ley”, “un contrato”, “el consentimiento” y el “interés legítimo”. Por ejemplo, la Ley 20.584 explica la norma que establece que las fichas clínicas de los pacientes deben estar a disposición de los diferentes prestadores y así garantizar la continuidad de la atención, en este caso –por “una Ley”– no se requiere el consentimiento de un individuo. Para exponer un ejemplo de “un contrato”, podemos revisar un caso del sector inmobiliario, donde la “Promesa de Compraventa” habilita el tratamiento de datos –y finaliza cuando expira el contrato–. Del mismo modo ocurre con una línea aérea, que en el momento de la venta de los tickets tiene la obligación de comunicar las actividades críticas del pre vuelo, vuelo y post vuelo.

En otra vereda, el “interés legítimo” se refiere a una justificación válida para el procesamiento de datos personales sin el consentimiento explícito del titular. Aunque no es necesario obtener el consentimiento, se deben cumplir ciertos criterios para garantizar que el tratamiento sea equitativo y proporcional –evitando que se transforme en una bolsa sin control–. Siguiendo con el ejemplo de una inmobiliaria, podríamos considerar la acción de postventa que busca tomar contacto con el propietario (cliente) por asuntos preventivos inherentes a un daño estructural de la propiedad. Aquí por ejemplo opera el “interés legítimo”.

Un sistema efectivo de administración del consentimiento debe permitir a los usuarios dar su consentimiento de manera informada y voluntaria, ofreciendo opciones claras y accesibles de Opt-in y Opt-out. Esto no solo cumple con los requisitos legales, sino que también fomenta la confianza y la transparencia con los clientes.

Los equipos comerciales, ventas y marketing deben trabajar estrechamente con el departamento legal, tecnología de la información y otras partes interesadas para desarrollar una Plataforma de Administración del Consentimiento que sea segura, eficiente y centrada en el usuario. El uso del diseño del viaje del cliente, contrastado con el ciclo de vida de datos personales, resulta ser una muy buena herramienta para definir las bases de licitud. Luego de la definición, es clave la creación de interfaces intuitivas para los usuarios, sistemas seguros para almacenar el consentimiento y procesos eficientes para actualizar o retirar el consentimiento según sea necesario. Además, la capacitación y la concienciación del personal sobre la importancia del consentimiento y la protección de datos son cruciales para garantizar que las políticas y los procedimientos se implementen correctamente.

Contar con un buen sistema de administración del consentimiento es clave para manejar responsablemente los datos personales. Al hacerlo, no sólo se adhieren a las normativas, sino que también se posicionan como entidades responsables y dignas de confianza en la era digital. La implementación de este marco será un paso significativo hacia la protección de la privacidad de los usuarios y la construcción de una cultura corporativa que valore y respete los derechos de datos personales.

Plataforma de Administración del Consentimiento

Es fundamental evaluar y mitigar los riesgos de manera eficaz, administrar eventos de riesgo y cumplir con las directivas corporativas y normativas mediante soluciones automatizadas. La privacidad y administración de datos se basan en principios de control, conocimiento del uso y ubicación de los datos, seguridad de los datos en reposo y en tránsito, y defensa contra el acceso de terceros. 

Estas capacidades son esenciales para garantizar la seguridad y privacidad de la información de los clientes en cualquier sistema de administración que se decida implementar.

Para facilitar la lectura y la eficiencia en el flujo de sistemas, es importante considerar lo siguiente:

1. Implementar un “modelo de datos estrella” para organizar las tablas de manera lógica y eficiente.
2. Definir claramente una “Primary Key” que permita identificar de manera única cada registro.
3. Establecer procedimientos para activar, desactivar o eliminar consentimientos específicos asociados a cada marca.
4. Asegurar que el sistema permita la fácil navegación y manipulación de las relaciones entre las tablas.
5. Considerar la creación de interfaces intuitivas para que los usuarios puedan gestionar sus consentimientos sin dificultades.
6. Priorizar la seguridad y la privacidad de los datos al diseñar el flujo de consentimiento.

Nuestros servicios permiten el diseño de un flujo de información del cliente de alto nivel y la descripción para un sistema de administración, respetando la prioridad de centrarse en la protección de información de los clientes.

Tecnologías para la Administración del Consentimiento

Se deben asegurar que los requisitos de consentimiento estén claramente definidos y sean fácilmente gestionables por los usuarios, permitiendo así un control transparente y eficiente sobre sus datos personales. Esto implica una implementación técnica que priorice la experiencia del usuario, con interfaces intuitivas y procesos que reflejan la importancia de la confianza y la claridad en el manejo de la información personal. A continuación una breve descripción de las tecnologías que hemos estado pesquisando para administrar el consentimiento.

OneTrust: permite recopilar, gestionar y utilizar datos con total visibilidad y control. Ayuda a optimizar la gestión de riesgos, garantizar el cumplimiento normativo y optimizar las estrategias de datos para la innovación, a la vez que cumple con las exigencias regulatorias y de los clientes.

DataGrail: automatiza el acceso, la eliminación y las solicitudes de cancelación de datos de los interesados para ahorrar tiempo a su equipo y minimizar los errores humanos. DataGrail permite ganar confianza y el consentimiento de los clientes con una solución rápida y personalizable que automatiza el cumplimiento.

Microsoft Azure: es una nube híbrida consistente, ofrece una productividad sin igual para los desarrolladores, proporciona una seguridad completa y multicapa, incluida la mayor cobertura de cumplimiento de cualquier proveedor de nube.

Salesforce Privacy Center: portafolio de soluciones que ayudan a las empresas a proteger datos confidenciales, gestionar consentimientos, auditar actividades y asegurar el cumplimiento normativo, todo dentro de una infraestructura confiable. Permite una gestión integral de los datos personales dentro de Salesforce: desde su ingreso, almacenamiento cifrado, control de quién los ve, hasta su depuración cuando corresponda.

Databricks: proporciona protecciones de red que permiten proteger las áreas de trabajo de Azure Databricks y ayudar a evitar que los usuarios filtren datos confidenciales. Puede usar listas de acceso IP para aplicar la ubicación de red de los usuarios de Azure Databricks.

Snowflake: protege la privacidad de los datos con políticas de protección de datos avanzadas y data clean rooms. Data clean rooms permite a varias empresas o divisiones de una empresa colaborar con datos confidenciales o regulados. Protege contra la ingeniería inversa y la re identificación de datos. Limita los tipos de consultas que se pueden ejecutar en los datos.

BONUS SoyIO: plataforma de privacidad que ayuda a empresas a simplificar sus operaciones de privacidad y a usuarios a controlar fácilmente sus datos personales. Permite acceder a datos personales de forma legal y segura, generando evidencia auditable y reduciendo riesgos. Es una start-up chilena.

Estudio El Uso de Los DATOS – Data Driven INDEX

Obtén en este enlace el estudio.

Programa de Formación

Accede a un marco de referencia único y actualizado para gestionar calidad, integridad, seguridad y disponibilidad de los datos en tu organización.

Estrategia para el Gobierno de Datos by InsightLab

Servicios Relacionados

Datos – Convierte Datos en Insights

Protección de Datos – Diseña y Automatiza el Programa de Protección de Datos