COMPLIANCE Y

PROTECCIÓN DE
DATOS
PERSONALES
 Protección de datos en Argentina
La ley 25.326 introdujo la protección de
datos personales en el derecho
argentino y a la vez reglamentó la
acción constitucional de hábeas data
(art. 43, CN)..
2
Consiste en otorgar a los individuos
una facultad de control sobre sus datos
personales, a través de toda una serie
de reglas y principios que incluyen la
calidad de ciertos datos, el
consentimiento para su tratamiento, Todo esto implica obligaciones para
acciones judiciales, limitaciones a los empresas y particulares que tratan
bancos de datos en su contenido, en el datos personales.
tiempo y en la forma de su tratamiento,
en las cesiones o transferencias a
terceros y en la intervención de
agencias especializadas del Estado
destinadas a tutelar estos derechos.
 Un cambio de paradigma
▪ Extraterritorialidad
▪ Consentimiento libre, informado e inequívoco
▪ Se agregan los principios de transparencia e información
▪ Se reconoce el derecho a la limitación del tratamiento
▪ Se incorpora el derecho al olvido y a la portabilidad de los
datos
▪ Se agrega el principio de accountability

3
 Un cambio de paradigma
▪ Principio de protección de datos desde el
diseño y por defecto
▪ Se prevén garantías más estrictas para la
transferencia de datos fuera de la UE
▪ Se obliga a los responsables y encargados a
hacer evaluaciones de impacto
▪ Se agrava el marco sancionatorio
4
 Reglamento europeo de protección de datos

El Reglamento
El Reglamento
crea una serie
se va a La razón de esto
de obligaciones
transformar en es que del otro
que han pasado
una norma lado no existe
a formar parte
modelo en una propuesta
del "compliance"
materia de de regulación
que deben
protección de sino un pedido
cumplir todas las
datos para las de
empresas en
próximas autorregulación.
materia de datos
décadas.
personales.

5
 Principio fundamental en el RGPD
Responsabilidad
proactiva" o accountability
6
son las propias empresas
las que tienen que tomar
las empresas tienen que
las medidas adecuadas
poder demostrarlo (art. 30,
para reducir al máximo los
Reglamento).
riesgos y garantizar el
cumplimiento del RGPD
 Obligaciones
▪ Responsabilidad proactiva
▪ Privacidad por defecto y por diseño
▪ Realizar una evaluación de impacto
▪ Informar a la autoridad de control cuando la evaluación de
impacto muestre riesgos
▪ Mecanismos de autorregulación vinculantes

7
 Necesidad de un programa de
cumplimiento normativo

8
 Compliance
Un conjunto dinámico de elementos que tiene por
finalidad el control de los concretos riesgos
normativos –penales, tributarios, etc.- de una
empresa mediante estrategias preventivas y
reactivas (sistema voluntario de gestión de riesgos)

9
 La protección de los datos y la privacidad como
diferenciador positivo

1. El cumplimiento de las obligaciones legales

2. Para prevenir incidentes de seguridad que
dañan al titular del dato y al negocio
3. Para mantener el valor de sus marcas
4. Porque es lo éticamente esperable
5. Para fortalecer y hacer crecer el negocio de la
organización
10
 La protección de datos como diferenciador
positivo
1. Para mantener la confianza del público y de los
inversores
2. Para mantener la expectativa de privacidad del
consumidor respecto de las prácticas de la organización
3. Para tener una ventaja comparativa con los
competidores
4. Para construir la lealtad del consumidor

11
 RIESGOS DERIVADOS DE LA INOBSERVANCIA

Multas y sanciones

Responsabilidad civil

Pérdida de datos

Pérdida de oportunidades de negocio

12
 ¿Cómo gestionar estos riesgos?
▪ Identificar los datos personales que se manejan: y clasificarlos según
su nivel de sensibilidad y el riesgo que implican en caso de una
posible filtración o uso indebido.
▪ Evaluar el nivel de cumplimiento con la normativa: en materia de
protección de datos personales y llevar a cabo un análisis de riesgos
para identificar las posibles amenazas y vulnerabilidades.

13
 ¿Cómo gestionar estos riesgos?
▪ Establecer medidas de seguridad adecuadas: tales como la encriptación de
datos, la adopción de políticas y procedimientos de seguridad, la capacitación
del personal en el manejo de datos personales y la realización de auditorías de
seguridad.
▪ Establecer un plan de acción en caso de brecha de seguridad: que contemple
la identificación de la brecha, la adopción de medidas correctivas y la
notificación a las autoridades y a las personas afectadas.
▪ Fomentar una cultura de protección de datos personales: en todos los niveles
de la organización, sensibilizando al personal y a los usuarios sobre la
importancia de la protección de los datos personales.
▪
14
 Compliance y protección de datos personales
▪ El compliance en materia de protección de datos implica al menos
asegurarse de las siguientes situaciones dentro de una empresa:
▪ — Debe existir una base legal para cada procesamiento de datos personales
que realice la empresa (generalmente consentimiento, pero puede ser interés
público o interés legítimo del responsable del tratamiento).
▪ — La empresa debe contar con una política de privacidad que indique de qué
forma se tratarán los datos personales.
▪ — Las cesiones y transferencias internacionales de datos personales a
países que no tienen legislación adecuada deben tener un fundamento legal
y contener resguardos para la protección de los datos personales.

15
 Compliance y protección de datos personales
▪ — Se deben aplicar las medidas de privacidad como norma general —privacy by default—
y desde el primer momento en el que se plantea un tratamiento de datos —privacy by
design — para un nuevo producto o servicio a lanzar al mercado. Una correcta aplicación
dl principio de responsabilidad proactiva exige que se evalúen los riesgos que entrañan
aquellas actividades susceptibles de incumplir la normativa de protección de datos, y que
se apliquen las medidas preventivas necesarias para minimizar dichos riesgos.
▪ — Aparece el concepto de la evaluación del impacto de actividades en materia de datos:
el art. 35, RGPD establece que "cuando sea probable que un tipo de tratamiento, en
particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines,
entrañe un alto riesgo para los derechos y libertades de las personas físicas, el
responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto
de las operaciones de tratamiento en la protección de datos personales".

16
 Compliance y protección de datos personales
▪ — Aparece el concepto de chief privacy officer o data protection officer, o Delegado de
Protección de Datos (Data Protection Officer, DPO: la figura del DPO (art. 37 del
Reglamento) tiene por objeto: i) informar y asesorar al responsable o al encargado del
tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les
incumben en virtud del presente Reglamento; ii) supervisar el cumplimiento de lo
dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o
de los Estados miembros y de las políticas del responsable o del encargado del
tratamiento en materia de protección de datos personales, incluida la asignación de
responsabilidades, la concienciación y formación del personal que participa en las
operaciones de tratamiento, y las auditorías correspondientes; iii) ofrecer el asesoramiento
que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y
supervisar su aplicación de conformidad con el art. 35; iv) cooperar con la autoridad de
control; v) actuar como punto de contacto de la autoridad de control para cuestiones
relativas al tratamiento, incluida la consulta previa a que se refiere el art. 36, y realizar
consultas, en su caso, sobre cualquier otro asunto (art. 39.1 del Reglamento).

17
 Compliance y normas ISO 27001
▪ Art.42 RGPD: detalla el cumplimiento del reglamento a
través de "procesos de certificación de protección de
datos
▪ Los sistemas de gestión de seguridad de la información
que cumplen con la ISO 27001 están enfocados al riesgo
y abordan las amenazas de seguridad que hace frente
una empresa, teniendo en cuenta personas, procesos y
tecnología.

18
 Conclusiones
En materia de
protección de datos
se observan Prima el análisis en
La tendencia en
mecanismos de función del riesgo y
este ámbito se
regulación que la supervisión
tradicionalmente se encamina, como en
dentro de la
otras áreas de
han utilizado para organización por
Compliance, a la
realizar compliance parte de figuras
autorregulación de
de otras áreas autónomas e
específicas, como las empresas
independientes.
Competencia o
Medio Ambiente

19
 Consultas, comentarios o sugerencias:
veronicamelo@uca.edu.ar

20
21