Primera sentencia europea que declara ilegal un algoritmo de evaluación de características personales de los ciudadanos

l tribunal distrito de La Haya declara que el sistema establecido por el gobierno holandés para valorar el nivel de riesgo de defraudación de los ciudadanos, no cumple las exigencias de proporcionalidad, carece de transparencia y vulnera las previsiones sobre respeto a la vida privada que reconoce el artículo 8 del Convenio Europeo de Derechos Humanos. La información en detalle pueden revisarla en Diario La Ley

Fuente: Diario La Ley

 

 

Protección de datos

El martes 28 de enero pasado se celebró el día mundial de la protección de datos, ese día nos tocó participar en un seminario sobre compliance, gobernanza de datos y ciberseguridad organizado por nuestra oficina @Legaltrust fue una excelente oportunidad para compartir desde una mirada multidisciplinar donde abogados, ingenieros y auditores participaron de esta actividad.

Además, quiero agradecer la oportunidad que nos entrega el Mercurio Legal para exponer nuestros puntos de vistas y remarcar las tendencias que son necesarias en nuestro país.

 

Nuestro país necesita avanzar en un modelo de protección de datos, pero con una autoridad autónoma, independiente y con un foco de responsabilidades claras y que no genere confusiones sobre su gestión y operación. Esperemos que en la discusión de la Cámara de Diputados podamos aclarar los alcances de la importancia de esta decisión.

 

Día mundial de la protección de datos

Nuestra sociedad vive hoy la era del algoritmo, pues los sistemas se nutren cada día de nuestros datos. Desde hace un tiempo la Unión Europea instauró el día 28 de enero como el día de la protección de datos (“Data Protection Day”), una celebración que comenzó en 2007 por iniciativa del Consejo de Europa y que tiene como fin generar conciencia y promover buenas prácticas para la protección de datos privados.

Nuestro país tiene hoy la responsabilidad de avanzar hacia la aprobación de la reforma a la normativa relativa a la protección de datos personales, la ley 19.628 sobre protección de la vida privada no está a la altura de los tiempos y parece que por delante nos queda un largo camino hacia la nivelación de nuestros estándares en la recolección y tratamiento que realizan las empresas en sus diversos procesos de negocios. A nivel continental países como Argentina y Uruguay han liderado la implementación de leyes modelos en protección de datos desde hace años, hoy se han ido sumando países tales como Colombia, Perú y recientemente Brasil con normas restrictivas que harán cambiar los modelos de trabajo en éste país para agosto del 2020. Fuera de nuestro subcontinente, China ya cuenta con una ley de protección de datos, otros han implementado normativas inspiradas similares e incluso que se han inspirado en el modelo del Reglamento Europeo de Protección de Datos, no solo como referencia, sino en pro del principio de reciprocidad, como es el caso de Japón. Actualmente 107 países han promulgado normas en materia de protección de datos, siendo continentes como Asia y África los más retrasados en esta materia. Solo un 58% de los países cuenta con un marco normativo en esta materia, un 10% de países se encuentra en la fase de discusión y un 21% de países no cuenta con legislación. (UNTAD).

Estamos viviendo en la sociedad del algoritmo, la inteligencia artificial toma cada vez más relevancia y las empresas utilizan datos, pero ¿de dónde vienen? ¿Cuáles son los riesgos del mal uso de esos datos? ¿Cómo se enfrentarán los sesgos en los algoritmos? No son pocas las dudas que aparecen en el uso de ésta tecnología sino que también se requiere tomar posturas frente a la utilización de la información y de los datos que se generan segundo a segundo.
Hoy vivimos una época en que los datos se transforman en importantes activos intangibles, algunos le llaman “el petróleo del siglo XXI”, pero también debemos entender que los datos son de titulares y muchos no desean que esa información sea utilizada sin su consentimiento. Chile debe avanzar éste año 2019 en el proyecto de ley para cumplir los compromisos internacionales y ajustarse a los estándares que tanto en nuestro subcontinente como a nivel global están imperando, los ciudadanos merecen tener una legislación que ampare y reconozca sus derechos acorde a los riesgos del entorno digital que estamos viviendo.

La protección de datos en la educación superior

Durante los primeros días del mes de enero del 2020 más de 260 mil jóvenes rindieron la PSU para acceder a la educación superior, la cual se encuentra en una fase de transición por la implementación de la reforma introducida por la ley 21.091, publicada en el Diario Oficial el 29 de mayo de 2018. La nueva norma contiene un conjunto de exigencias que las instituciones deben ir cumpliendo en la medida que avanzan los años, una de las cuales dice relación con la admisión. La ley señala en su Párrafo 3° “Del Sistema de Acceso a las Instituciones de Educación Superior, en su artículo 11 inciso “Créase un Sistema de Acceso a las Instituciones de Educación Superior (en adelante, “Sistema de Acceso”) el que establecerá procesos e instrumentos para la postulación y admisión de estudiantes a las instituciones de educación superior adscritos a éste, respecto de carreras o programas de estudio conducentes a títulos técnicos y profesionales o licenciaturas. Este Sistema de Acceso será objetivo y transparente y deberá considerar, entre otros, la diversidad de talentos, capacidades o trayectorias previas de los estudiantes.”
Así las instituciones de educación superior deberán ajustarse a los procesos e instrumentos de la admisión para la postulación de los estudiantes a las instituciones que estén adscritas. El actual sistema de admisión deberá mejorar sus estándares en materia de seguridad de la información en que prime la confidencialidad, es decir la garantía de acceso a la información de los usuarios que se encuentran autorizados para tal fin. La Integridad que es la preservación de la información completa y exacta, y por último la disponibilidad que es la garantía de que el usuario accede a la información que necesita en ese preciso momento.

Entendiendo éste contexto se advierte que el flujo de tratamiento de datos que se generan durante estos procesos es muy alto, por ello el legislador en el inciso primero del artículo 14 de la ya mencionada ley 21.091 dispuso …el Sistema de Acceso regulado en esta ley, así como los procesos e instrumentos de acceso que utilicen las instituciones de educación superior, deberán resguardar especialmente los principios de no discriminación arbitraria, transparencia, objetividad y accesibilidad universal, éste último de conformidad a lo dispuesto en el artículo 3 de la ley N° 20.422, que establece normas sobre igualdad de oportunidades e inclusión social de personas con discapacidad. Asimismo, deberán ajustarse a lo dispuesto en la ley N° 19.628 que establece normas sobre protección de la vida privada.

En el inciso 2° del mismo artículo entre al Ministerio de Educación la exigencia de elaborar un “reglamento que regulará las materias señaladas en el párrafo 3° de la ley 21.091 y además, el Ministerio de Educación fijará los aranceles que deberán pagar las instituciones de educación superior para la utilización del Sistema de Acceso”.
De acuerdo a lo anterior, adicionalmente a la nueva regulación sobe acceso surge una exigencia especial, el respeto de la ley 19.628 sobre protección de la vida privada, debiendo por tanto las instituciones de educación superior generar mecanismos que busquen proteger la información de los postulantes así como, la información que procesan y los diversos actores que integran el sistema de admisión a la educación superior.
¿Cómo se trabaja en la elaboración de un sistema de gestión de protección de datos en una institución de educación superior? ¿Qué aspectos se deben considerar? La respuesta a estas y otras interrogantes sobre la materia dice relación con la necesidad de disponer de información confiable y luego dar la protección adecuada, identificando por medio de diagnósticos las brechas que posean las instituciones, análisis documental a través de la revisión de sus contratos, reglamentos internos, políticas, contratos con proveedores, entre otros aspectos que se deben considerar. Además, se debe hacer la vinculación con la seguridad técnica de las diversas plataformas involucradas, tanto propias como de terceros que son utilizadas.
Estos y otros aspectos son los que las instituciones deben comenzar a tener a la vista en el entorno de la reforma de la ley de educación superior.

 

CS confirmó sentencia que rechazó protección contra Banco por no otorgar respuesta respecto de restitución fondos que fueron sustraídos a través de posible fraude. 

En forma unánime, la Corte Suprema confirmó la sentencia de la Corte de Santiago que, rechazó la protección interpuesta por un cuentacorrentista en contra del Banco del Scotiabank Azul por no otorgar una respuesta respecto de la restitución de fondos que fueron sustraídos a través de un posible fraude.
En el escrito, se señala haber recurrido de acción de protección en contra del Banco Scotiabank Azul, por la no respuesta del recurrido respecto de un crédito de consumo más 4 transferencias por la suma total de $20.731.400 que, habrían sido sustraídas a través de un supuesto fraude.

La sentencia de la Corte de Santiago señaló en síntesis que, de los antecedentes del recurso y los allegados a esta causa, no permiten concluir la existencia de un supuesto incumplimiento de las obligaciones del contrato suscrito entre las partes que pueda ser reparada por esta acción constitucional, para exigir la devolución del dinero que el recurrente afirma haber salido de su patrimonio de manera irregular.

(más…)

Modificación de la norma RAN 20-7 sobre Externalización de Servicios

Con el objeto de impulsar la competencia y generar mayores beneficios para los clientes y el desarrollo de los mercados, se hace necesario flexibilizar la disposición de mantener un site en Chile para los servicios externalizados, bajo ciertas condiciones, considerando que este requerimiento podría desalentar el ingreso de nuevos actores, y por ende afectar al desarrollo de la industria.

Esta norma contempla que si el  procesamiento de información es realizado en el extranjero, requieren mantener un site de contingencia en el país para las actividades que hayan sido consideradas significativas o estratégicas. La presente modificación normativa permitirá la posibilidad de que el directorio excepcione esta última condición, siempre y cuando se asegure que la institución ha adoptado las medidas necesarias para que los servicios externalizados cumplan con las siguientes exigencias:

• El tiempo de recuperación objetivo (RTO) debe ser aprobado por el directorio en función de un análisis de impacto (BIA) y de riesgo (RIA) que sea consistente con la criticidad del(os) servicio(s) externalizado(s). Lo anterior, debe ser evaluado y probado al menos anualmente.

•Que los sites de procesamiento de datos cumplan con un tiempo de disponibilidad de operación igual o superior a lo dispuesto en el Capítulo 20-9 de la RAN.

•Que los sites se encuentren en ubicaciones distintas que mitiguen tanto el riesgo geográfico como los riesgos políticos.•Que en términos de seguridad de la información los servicios externalizados se provean en un ambiente consistente con las políticas y estándares adoptados por la entidad.

• Se cuente con un informe anual que respalde el análisis de riesgo efectuado, el cual debe ser emitido por una empresa independiente, de reconocido prestigio y experiencia en la evaluación de este tipo de servicios.

en el caso de los bancos, éstos deberán mantener una adecuada calificación de gestión del riesgo operacional en la última evaluación realizada por esta Comisión. Si producto de una nueva revisión son calificados en una categoría de “Cumplimiento Insatisfactorio” o inferior, deberán informar a este Organismo sobre las medidas específicas adicionales adoptadas para asegurar la adecuada operación de los servicios.

Es interesante ver cómo el regulador le pide a las empresas que evalúen los países en que estarán los datos y ver si cuentan con información sobre marcos regulatorios de protección de datos y de seguridad de la información.

«Se introducen modificaciones en el punto de Riesgo País, estableciendo que el Directorio o la instancia que haga sus veces podrá excepcionar este requisito, en la medida que el país en el que se externalizan los servicios cuente con leyes de protección y seguridad de datos personales adecuadas, debiendo dejar constancia del análisis realizado al efecto.»

 

Fuente: CMF

Primera columna 2020.

Feliz año 2020 a todos !!! les dejo la última columna escrita el 2019 y la primera publicada el 2020 en El Mercurio Legal , en esta ocasión los desafíos de la ley 21.091 en especial la admisión a la educación superior a la protección de datos de los postulantes a las instituciones de educación.
https://lnkd.in/e4-kZTF

 

Feliz 2020 y 15 años de nuestro blog

Junto con saludarles y desearles un excelente 2020, es un motivo de orgullo el que nuestro blog esté llegando al año 15 de existencia. Hemos pasado por muchos periodos, nos hemos mantenido fielmente publicando, tanto sentencias, artículos y material vinculado al derecho, educación, tecnología y ciberseguridad.

Son 15 años en que hemos participado en diversas acciones, con las más varias instituciones tanto en Chile como el extranjero.

Quiero desearles mis mejores deseos a cada uno de ustedes por sus comentarios y participaciones en este blog o a aquellos que solo entran a leernos, hoy les invito a que dejen sus comentarios y sigamos construyendo una comunidad en los temas que son futuro para nuestro país.

Muchas gracias a todos y feliz 2020.

Tendencias para el 2020 en derecho y tecnología en Chile

Estamos en el último día de la última semana del año 2019 y nos preparamos para la fiesta de fin de año, y ya comenzamos a preparar y analizar las materias que serán tema para el 2020, en especial en nuestro ámbito. A continuación les expongo 1o temas que serán relevantes para el 2020

  1. Regulación de la Ciberseguridad en Chile. Elaboración del proyecto de Ley marco.
  2. Protección de datos personales, avance del proyecto de ley de reforma de ley 9.628.
  3. Velocidad de internet  y regulación de Reglamento de la Subtel.
  4.  Reforma a la ley 19.223 sobre delitos informáticos.
  5. Implementación de la ley de transformación digital del Estado. Reforma de la ley 19.880.
  6. Medios de pago y la nueva competencia.
  7. Implementación en telefonía móvil de la tecnología 5G.
  8. Análisis y discusión sobre infraestructura crítica a nivel de la seguridad de la información.
  9. Política Nacional en Inteligencia Artificial.
  10. Crecimiento en Chile de proyectos con tecnología blockchain.

Este 2020, veremos entonces diversos aspectos relevantes que deben ser destacados como la privacidad, nuevas tecnologías. A nivel mundial  algunos de los grandes desafíos tecnológicos del próximo año son si ¿Podrá controlarse el apetito los grandes como Google, Apple, Facebook y Amazon (Gafa) y otros gigantes de la red que están atacando a nuevos sectores de la economía (series, juegos, transportes, salud y pagos)? Libra, el proyecto de moneda digital de Facebook, debería ver la luz en 2020, pero está siendo cuestionado por las autoridades tanto en Europa como en Estados Unidos. Elizabeth Warren, probable candidata demócrata para la presidencia de Estados Unidos, aboga por el desmantelamiento de los gigantes de la tecnología en nombre de la libre competencia.

En la Unión Europea, la comisaria Margrethe Vestager, encargada de la Competencia y de los intercambios digitales, está considerada ya la pesadilla de las firmas Gafa. La Ocde confía en obtener un acuerdo político sobre la tributación de los gigantes tecnológicos y las multinacionales en junio de 2020.

La tendencia en materia de  de derecho y tecnología obligará a las empresas a trabajar con equipos de abogados e ingenieros en un entorno multidisciplinar para enfrentar estos y otros cambios que irán ocurriendo durante el año 2020.