Partiendo de la situación actual de los países del entorno latinoamericano y siendo conscientes de las consecuencias a nivel social, tecnológico y económico que supone la obtención de la Declaración de Adecuación, emitida por la Comisión Europea, por parte de los países miembros de la Red Iberoamericana de Protección de Datos (RIPD), dentro del marco del reconocimiento del Derecho a la Protección de Datos Personales como un Derecho Fundamental,

Consideramos que la celebración de un Seminario en el que participen autoridades de protección de datos junto a representantes de las instituciones iberoamericanas miembros de la RIPD, puede ser una buena oportunidad para impulsar la implementación de una norma que regule esta materia en cada uno de los países miembros, así como una excelente ocasión para avanzar en el proceso de obtención de la “Declaración de Adecuación” aludida. Sin perjuicio de abordar temas como las Transferencias Internacionales de Datos (TID), transparencia y la protección de datos personales y la privacidad en el entorno judicial y empresarial, se aprovechará para conocer la situación actual de cada país en el momento de la celebración del Seminario, así como para exponer el estado actual de los proyectos comprometidos por cada uno de los países del entorno iberoamericano en el último Encuentro celebrado en el mes de noviembre en Madrid.

PROGRAMA:

1 DE JUNIO

Las Transferencias Internacionales de datos y su relación con la adecuación de la Unión Europea.

Transferencias Internacionales a países con niveles adecuados y no adecuados de protección. Aspectos Prácticos.

Transferencias Internacionales a países con niveles adecuados y no adecuados de protección. Aspectos Prácticos (continuación).

2 DE JUNIO

La armonización entre las leyes de transparencia y los estándares internacionales de protección de datos personales.

Interoperabilidad versus Privacidad en las Administraciones Públicas.

Interés público y protección de datos personales con especial referencia a los Derechos Humanos.

3 DE JUNIO

El tratamiento de los datos personales en los Tribunales de Justicia.

Bases de Datos Jurisdiccionales.

Garantías en el acceso a la información y protección de datos personales en el ámbito jurisdiccional.

Casos jurisprudenciales, antes y después de la sanción de la Ley uruguaya, de Protección de Datos Personales y Acción de Habeas Data.

4 DE JUNIO

Regularización Internacional de los Bureau de información crediticia. Sectores Corporativos más susceptibles a la protección de datos: estrategias y buenas prácticas de abordaje regulatorio.

Tratamiento de datos sensibles en las empresas e incidencia del secreto profesional. Incidencia de la Protección de Datos en el diseño empresarial

Hoy por la prensa nos enteramos del gran cambio en el disclaimer que ya nos tenía preocupadas en los sistemas biométricos de atención de salud…un cambio a nuestro juicio que no responde aún al verdadero ejercicio de los derechos de acceso en protección de datos y al deber de información por parte de los responsables de bases de datos.

El disclaimer de hecho aparece hoy en un comunicado y ahora señalaría:

“Al colocar el dedo sobre el lector de huellas autorizo expresamente la inscripción y almacenamiento de mis datos personales en la base de datos de I-Med S.A. y de Autentia S.A., y el tratamiento de tales datos para verificar mi identidad contra los datos ya almacenados de conformidad a la ley. En caso que la colocación de mi huella digital no implique el otorgamiento de dicha autorización, comunicaré tal circunstancia a I-Med y/o Autentia a través de carta dirigida a Avda. 11 de Septiembre 1901 piso 3 o al correo electrónico: autentia@i-med.cl, a fin que se tomen las medidas del caso”.

El anterior disclaimer indicaba: “Al colocar el dedo sobre el lector de huellas suscribo y otorgo un contrato privado por el cual gratuitamente para mi autorizo expresamente la inscripción enrolamiento, transmisión y almacenamiento de mis datos personales en la base de datos prexistentes de I-Med S.A., como en la de Autentía S.A. el tratamiento de tales datos y /o la verificación de mi identidad contra dicha base de datos ya almacenados declarando haber sido informado del propósito de la inscripción, enrolamiento,  transmisión y almacenamiento de tales datos y su posible comunicación a terceros, conforme lo exige el artículo 4º de la ley 19.628”…

La verdad es que la diferencia es insignificante, puesto que en nuestra consideración NO se cumple a cabalidad con el deber de información por parte de I-MED respecto de la finalidad del tratamiento,  su transmisión y comunicación a terceros; asimismo, no queda claro el tratamiento para verificar la identidad ya que se describe en términos muy amplios… Lo que ahora pesa sobre los usuarios del sistema es el envío de una carta a la dirección indicada para que cualquier persona que lo desee puede solicitar que se borre la información biométrica contenida en la bases de datos.

Haciendo un brevísimo análisis del comunicado:

• Para garantizar la autenticidad de las transacciones efectuadas por personas se usan la verificación de identidad mediante la huella digital, la información de las huellas es almacenada sólo en nuestras bases de datos en forma encriptada y no es traspasada a terceros fuera de nuestro control empresarial, garantizándose siempre la privacidad de la información contenida en ellas.
• En cada operación de verificación de identidad, y a especial pedido del usuario sólo se emite a la empresa requerida del servicio (Isapre, AFP, etc.) la información de control de identidad, consistente en confirmar o negar que la persona que se presenta bajo un cierto nombre y RUT corresponde a quien dice ser según el resultado del control de la huella digital, para que así pueda concretarse la transacción que dicho usuario, por su voluntad, desea realizar con la empresa requerida. Posteriormente, nuestra empresa guarda los datos de la transacción para garantizar la integridad de la operación. Dichos datos no son ni serán traspasados a terceros fuera de nuestro control empresarial.

¿Que empresas están detrás de I-MED?

I-Med, no está sola,  los socios de ésta crearon Autentia (que desde el año 2006 se encarga de generar aplicaciones alrededor del uso de huella dactilar digital). Entre las dos empresas han generado el mayor know  how en el uso de biometría digital en América Latina…. Y detrás de Autentia está el sólido respaldo de SONDA, la principal empresa de informática de Chile y una de las más grandes de América Latina; la Cámara Chilena de la Construcción y Banmédica…

• Nuestra empresa no tiene acceso ni almacena ningún dato relacionado con la transacción efectuada entre el usuario y la empresa requerida.

La autorización señala claramente: Al colocar el dedo sobre el lector de huellas autorizo expresamente la inscripción y almacenamiento de mis datos personales en la base de datos de I-Med S.A

• Nuestro servicio se encuentra organizado responsablemente dentro del marco de la legislación específica aplicable a la protección y resguardo de datos de carácter personal y de firma digital, siguiendo todos los parámetros nacionales e internacionales al respecto.
• Nuestro servicio de identificación sólo puede materializarse con el concurso de la voluntad de la persona cuya identidad se requiere verificar en una transacción específica. Dicha voluntad se manifiesta en el momento de colocar la huella en el lector para ser verificada. En ausencia de su voluntad el proceso de identificación jamás llega a concretarse.

Y así es, no es culpa de ellos que la ley no tenga sanciones y que, en definitiva, regule el tratamiento de datos y no el control de los titulares sobre los mismos.
En radio cooperativa, se señala que el diputado Gabriel Silber presentó ayer miércoles una denuncia en la Superintendencia de Salud por esta cláusula que autoriza la transferencia o cesión de datos sensibles del cliente. El abogado Claudio Mangliola, académico de Propiedad Intelectual y Nuevas Tecnologías de la U. de Chile, declaró en el mismo medio que desestima la denuncia del parlamentario “porque la ley sobre protección de datos establece que el tratamiento de de datos personales puede hacerse cuando consta con autorización expresa y por escrito de la persona”, “¿Cuando yo pongo la huella es una autorización expresa y por escrito? Sí, porque la huella es una firma electrónica”.

¿Y dónde queda el deber de información por parte de I-MED? ¿es válida esa autorización expresa si no existe información sobre la finalidad del tratamiento?

¿Cuál es el sueño de I-MED?

“Queremos hacer posible el futuro en prestaciones de salud, mediante el cual los distintos agentes están conectados en línea, sus transacciones son inmediatas, y tienen acceso a todos los aspectos de la transacción – comercial, financiera y operacional. Aseguradores, empleadores, prestadores de salud, farmacias y emisores de tarjetas de crédito: todos conectados para hacer de la Salud un servicio fácil, cercano y eficiente.” 

SÚPER!

Más info: aquí

Así durante este trámite se gestó la idea de contemplar un artículo con el concepto de datos personales.

En un primer momento, el artículo solo contempló la definición de datos personales y posteriormente en el segundo informe de la misma comisión, este artículo es nuevamente modificado incorporando diversas definiciones legales, atendido el carácter técnico y la complejidad de la materia en estudio, lo que fue expresamente sugerido por las personas invitadas a la sesión entre ellos: el Presidente, el Gerente General y el abogado de Dicom, señores Guillermo Elton, Marco Antonio Álvarez y Jaime Guerrero, respectivamente; el Gerente General de la Base de Datos del Diario Oficial, señor Mario Saquel; el Gerente General de la Cámara de Comercio de Santiago, señor Claudio Ortiz; el Fiscal de la Cámara de Comercio de Santiago, señor Cristián García-Huidobro; el asesor legal de la Cámara Nacional de Comercio, señor Francisco Arthur; el representante de la Asociación Chilena de Empresas de Tecnología de Información, señor Fernando Hudson; el representante de la Asociación de Marketing Directo, señor Sergio Pineda; los señores Mauricio Alliende Leiva y Emilio Pohl Ibañez y la señora Gina Peri Mundaca, Presidente, Vicepresidente y Secretaria General del Comité Jurídico de la Asociación de Instituciones de Salud Previsional.

Entre las definiciones que fueron eliminadas en los siguientes tramites: Dato anónimo, difusión de datos, interesado, mientras que otras definiciones tal como fuente accesible a público se agregó en tercer trámite a sugerencia de la Segpres.
El archivo se encuentra disponible al consultar la ley.

Foto: Ciper Chile

Una multa de 80 millones de pesos cursó la Superintendencia de Salud a las ISAPRES Banmédica y VidaTres por intercambio de datos personales de clientes, con la cadena de farmacias Cruz Verde.

Los datos se referían a patologías Auge y a sus medicamentos específicos.  

El Mercurio señaló que “El convenio entre las ISAPRES y la cadena farmacéutica fue suscrito para entregar a los usuarios los beneficios correspondientes a las patologías Auge, y fue descubierto sólo tras la denuncia hecha a la justicia por la abogada Verónica Sánchez, quien advirtió el 8 de abril del año pasado que su diagnóstico médico había sido entregado a la cadena de farmacias, que a su vez le ofrecía los medicamentos para tratarlo”.  

Este acuerdo contemplaba:  

-          uso de medicamentos por patología en unidades y pesos  

 -          medicamentos usados por beneficiarios en unidades y pesos  

 -          costos de los beneficiarios  

-          distribución geográfica del consumo en unidades y pesos  

-          beneficiarios que más utilizan medicamentos en unidades y pesos 

-          tendencias de consumo. 

La ley 19.628 al respecto señala que los datos de salud, pertenecen a la categoría de datos sensibles o especialmente protegidos, entendiéndose por tales aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.   Enseguida,  que el tratamiento de los datos personales sólo puede efectuarse cuando esta ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello. A pesar de que la norma contempla una serie de excepciones, en el caso de los datos de salud, por pertenecer a una categoría especial de datos personales, no pueden tratarse. La ley fue clara en ese sentido señalando que no pueden ser objeto de tratamiento los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular (…) y, agregó una “excepción” adicional: que dichos datos sean necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares…

Las empresas aludidas tienen cinco días para formular descargos y, de no estar conformes con la sanción, pueden recurrir a los tribunales de justicia. El diario Financiero ya informó hoy que las empresas van a apelar a dichas multas.

La Asociación de Isapres justificó el intercambio, argumentando que “la Isapre entrega información a la farmacia, primero, para saber quién es el afiliado y para saber qué medicamentos entrega”, Rafael Caviedes, director ejecutivo de la entidad.    

Según El Mercurio el traspaso de datos era la única forma de cumplir con la ley que regula el plan Auge, pues las farmacias son las únicas expendedoras de medicamentos autorizadas en el país. También señalaron que “El texto del convenio entre los seguros y Cruz Verde añade que estos datos son confidenciales y que ninguna de las partes podrá divulgar su contenido sin la autorización de la otra”.    

Además, prohíben entregarles información a terceros, salvo a una empresa de informática de su confianza y a una fundación que atiende a pacientes con cáncer.    

La abogada Verónica Sánchez, una de las cerca de 3 mil afectadas por este hecho, anunció que prepara una millonaria demanda civil en contra de estas entidades.

Más info:

Diario Financiero  

Diario El Mercurio  

Diario La Tercera  

Radio BioBio  

Y en Radio Infinita un audio de la abogada Verónica Sánchez.

Aunque viene de cerca la recomendación, por que hoy en día trabajo en la Biblioteca, la novedad es que hoy es posible acceder de manera inmediata y directa a la ley que principalmente nos interesa en este blog la ley 19.628 actualizada (y a todas la Leyes de la Republica, of course) y a una bateria de otra información que enriquecen nuestra experiencia de consulta en el sitio.

Desde la ley también se accede a la Historia de la Ley y de sus artículos disponibles (a la fecha hemos elaborado tres: Arts. 16, 17 y 18) a los proyectos de ley en actual tramitación en el Congreso que la modifican y a una consulta en web de los dictamenes de aplicación emanados de la Contraloría General de la República. Todo desde el mismo sitio.

También a los reglamentos de aplicación o relacionados en este caso, las modificaciones, versiones, etc.

Creo que vale la pena echarle un vistazo a estas nuevas herramientas gratuitas y que deben difundirse en toda la comunidad.

EL organizador del Seminario es la Dirección Nacional de Protección de Datos Personales y este evento construirá un ámbito para formular propuestas teniendo en cuenta el estrecho vínculo entre tecnología y economía y, en especial, la influencia de la protección de datos personales para la potenciación del desarrollo económico que trae aparejada la innovación y el abordaje de problemas complejos con resguardo de los derechos de las personas.

Objetivos

Este Seminario se ha organizado considerando la estrecha vinculación que existe entre Protección de  los Datos Personales y la Economía.

Anteriormente, hemos puesto especial relevancia en el progreso tecnológico, el éxito y la innovación en la sociedad. Ahora, agregamos a los factores mencionados la economía. Se produce una natural sincronización. La economía como proceso de riqueza relacionada con la protección de los  datos personales  en los ámbitos comerciales, financieros y en todos aquellos en los que esté en juego el desarrollo nacional e internacional.

El resguardo del federalismo ha sido contemplado en este Seminario, al pensar la actividad conjunta entre los Municipios, las Provincias Argentinas y el Gobierno Nacional a través de la Dirección Nacional de Protección de Datos Personales.

El objetivo fundamental se proyecta en las personas, a fin de preservar  su honor y privacidad.

Ahora, se pone nuevamente en marcha la labor para que el presente y el futuro se integren en el año del Bicentenario de la República Argentina.

Para inscribirse al seminario, aquí.

Fuente

http://www.jus.gov.ar/datos-personales/seminario-internacional.aspx

En Chile el Código del Trabajo prohíbe todo acto de discriminación, considerando entre ellos las exclusiones basadas en motivos de raza, color, sexo, edad, religión, opinión política, nacionalidad, origen social, etc. También se prohíbe condicionar el empleo a la inexistencia de deudas.

Todo lo anterior, al igual que en Francia, es letra muerta debido a que en la práctica es difícil de probar la existencia de esta discriminación pre- contractual, la cual se da el momento de análisis de los postulantes. Es una realidad que supera el mandato de la norma: tener Dicom, no solo es la muerte económica si no también un impedimento para acceder por completo al mercado laboral, aunque no tenga nada que ver con el trabajo en postulación.

La Dirección del Trabajo en Chile, dentro de sus facultades de fiscalización ha sancionado a diversas empresas que mediante avisos exigen ciertas características tales como: buena presencia, apariencia física, fotografía, antecedentes comerciales, edad, nacionalidad y en otras situaciones ha considerado que la exigencia de titulo universitario o solo técnico, por ejemplo, no constituye acto de discriminación.

El proyecto Francés que termina en mayo del 2010, será evaluado en sus resultados para determinar en definitiva si es posible una práctica así de manera permanente. Entre las empresas participantes encontramos: Loreal, Peugeot, Axa, Citroen, Nissan, Air France…

¿Cómo le iría a Chile en una iniciativa de esta envergadura?

Escuche el programa aqui.

Para remediar esta situación, se encuentra en el Congreso un proyecto de ley enviado por el Gobierno el 01 de octubre de 2008 que modifica la Ley 19.628 de Protección de la Vida Privada y la Ley 20.285 de Acceso a la Información Pública. ¿Hasta cuándo dormitará ahí?

El Tarot de JJ dijo que es un gran desafío que los congresistas se pongan de acuerdo y tomen una decisión..

Fuente: Radio Tierra

Fecha de emisión: 19 de junio de 2009.
Temas del programa: protección de datos personales, sazonado con un poco de Tarot.
Conductores: Hugo Fernández y Juan Jorge Faúndes.
Duración: 30’.