BIG DATA COMPLIANCE Y PRIVACIDAD

Manuel Aguilera Pérez

Resumen: El Big Data aplicado al Compliance puede tratar grandes cantidades de datos que, al ser destinados para uso exclusivo y beneficio general del corporativo, en principio, no requiere autorización salvo en su etapa de recolección. El presente trabajo busca responder acerca si con el Big Data Compliance se puede cumplir con las expectativas de precaver ilícitos sin vulnerar la privacidad y protección del dato personal de los intervinientes.

Abstract: The Big Data applied to Compliance can process large amounts of data that, when destined for the exclusive use and general benefit of the corporate, in principle, does not require authorization except in its collection stage. The present work seeks to answer if the Big Data Compliance can meet the expectations of preventing illicit without violating the privacy and protection of the personal data of the participants.

Palabras clave: Protección de Datos Personales, Tratamiento Automatizado, Sistema documental de Prevención de Delitos Corporativos.

Keywords: Protection of Personal Data, Automated Processing, Documentary System for Corporate Crime Prevention.

Sumario: I. Introducción II. Generalidades 1. El Big data 2. Modelo de Prevención del Delito 3. Regulación del Tratamiento de Datos III. Libertad de Tratamiento de Datos y Uso Exclusivo Corporativo IV. Recolección en Ejercicio Legítimo de un Interés y en Cumplimiento de una Obligación Legal V. Seguridad de la Información 1. Ofuscación de Datos 2. Decisiones Automatizadas VI. Proporcionalidad en el Tratamiento VII. Conclusión.

I. Introducción.

El presente trabajo se ha centrado en torno a cómo ciertas tecnologías de la información y comunicación, se aplican y proyectan al Compliance y su relación con las normas de protección de datos personales y privacidad ante la libertad de tratamiento en la empresa.

Las Tecnologías de la Información, en adelante TI, avanzan rápidamente haciendo cada vez más vulnerable la esfera privada e intimidad de las personas, amenazando la dignidad humana en la medida que se extiende la brecha entre su regulación y progresión al aumento de las capacidades de los dispositivos físicos y lógicos, entregando la posibilidad de monitorizar una amplia gama de datos del medio de forma autónoma y ubicua, creando los denominados entornos o ambientes inteligentes.[1]

Se refieren a estas tecnologías Milanes, sosteniendo que el Big Data pone en jaque elementos fundantes del sistema de protección de datos y la noción de consentimiento,[2] y yendo, más allá, Davara Rodríguez, ha llegado a sostener que potencialmente los nuevos sistemas pueden controlar e interferir la vida de una persona sin que llegue a enterarse usando técnicas de la información y comunicación entre computadoras.[3]

Por otra parte, en un sentido similar Orza Ramón critica en Europa que,

“a lo que estamos asistiendo es a un creciente aumento de los instrumentos legales para controlar la vida privada de los ciudadanos. Aumento de estos instrumentos legales que viene acompañado de un incremento de las tecnologías -e incluso normas legales- que la hacen posible."[4]

Ahora bien, en Chile el Legislador en el Mensaje Nº 395-359, señala la necesidad de acomodar las materias de datos a las nuevas tecnologías, argumentando la pérdida de eficacia de la norma;[5] sin perjuicio que, con anterioridad a este proyecto, pronunciándose administrativamente sobre la privacidad e intimidad laboral, la Dirección del Trabajo resolvió en consulta que, la vigilancia directa y permanente por medio de programas computacionales es invasiva, pues provoca en el individuo un estado de tensión o presión incompatible con la dignidad humana;[6] lo que podemos complementar, además en cuanto a otros integrantes del grupo de interés, con aquello sostenido por Lucena Isabel, quien reitera que la vigilancia también impacta negativamente en la libertad, espontaneidad y en el desarrollo personal. [7]

Entonces, para la responsabilidad social corporativa, uno de los puntos que cobra mayor relevancia es el cumplimiento normativo relativo al tratamiento y protección de los datos personales que se necesitan recabar, desde el grupo de interés, para el desarrollo del negocio.[8]

Por otra parte, el Big Data viene avanzando para aumentar las grandes cantidades de datos que puede tratar para buscar patrones y prever desde sus análisis, ciertos hechos futuros; lo que aplicado al Compliance Promete la representación a priori y virtual de incidentes, anticipándose a conductas que se enmarquen dentro de los elementos del tipo legal o meramente regulatorio.

En lo operativo, estos continuos procesos informáticos se enfrentan a la necesidad de seguir mejorando, lo que va enrobusteciéndolos al tenor de la representación y aprendizaje de eventos, la afectación de las nuevas y continuas amenazas y tecnologías, cuyas correcciones hacen cada vez más especializada la seguridad de la información.

Así las cosas, cabe preguntarnos si, puede el Compliance, por medio del Big Data, prevenir delitos corporativos sin vulnerar la privacidad y la protección del dato personal.

En este sentido, esta investigación describe intereses corporativos elementales, el Big Data y el Compliance de datos, articulando por un lado la regulación de la libertad de tratamiento de datos para uso exclusivo y beneficio general corporativo y por el otro la protección de la vida privada y del dato personal, frente a la prevención del delito.

La metodología usada por el autor es de carácter dogmática, cuyas muestras han sido extraídas y analizadas de fuentes primarias y secundarias nacionales y comparadas.

El estudio aborda los conceptos elementales dichos, así como la seguridad y proporcionalidad.

II. Generalidades

La teoría más aceptada en cuanto al máximo interés de la empresa, hace referencia a la obtención de utilidad financiera, que operativamente ha sido buscada por medio de la optimización de los recursos y contemporáneamente con aplicación del ciclo de mejora continua de procesos, que orienta la producción hacia la eficiencia, y calidad ante la competitividad de los mercados[9].

En esta dinámica, la empresa, va influyendo en los agentes con los que interactúa, considerados como su grupo de interés, involucrando accionistas, trabajadores, consumidores, proveedores y comunidad; fenómeno por el cual se viene reconociendo cierta 'Responsabilidad Social Empresarial o Responsabilidad Social Corporativa', por medio de la cual se busca afectar positivamente, además de lo interno, aquello económico, social y ambiental, asumiendo ciertos estándares[10]; que pueden ir más allá de las exigencias legales como son las prácticas justas de operación, la participación activa en la comunidad,[11] sin perjuicio de la regulación positiva como es la responsabilidad penal de las personas jurídicas, la creación del tribunal ambiental, el perfeccionamiento constante de la legislación laboral o la protección del consumidor.

1. El Big data

La tecnología del Big Data hace referencia al almacenamiento masivo de datos, sin embargo, en la actualidad es considerado por algunos, incluso una forma de pensar,[12] siendo elegido, por sobre el concepto de Data Mining; que es una técnica para descubrir patrones y relaciones previamente desconocidas y válidas desde multitud de datos.[13]

En este sentido el Big Data contempla “por una parte, la ingente capacidad de datos disponibles y, por otra al conjunto de herramientas y sistemas informáticos que analizan los datos buscando patrones recurrentes y correlaciones dentro del conjunto de aquellos.“[14]

2. Modelo de Prevención del Delito

El Compliance como sistema de prevención del delito tiene su fuente directa en la Ley de Responsabilidad Penal de las Personas Jurídicas[15], norma que establece elementos básicos del modelo de prevención, como es la identificación de actividades o procesos, establecimiento de protocolos y procedimientos de programación y ejecución de tareas y labores orientadas a la prevención del ilícito, identificación de los procedimientos de administración y auditoría financiera[16], entre otros; todo lo cual, es sin perjuicio que el sistema de prevención del delito se viene desarrollando ampliamente como un sistema orientado a la prevención del incumplimiento de toda la regulación de la empresa, como contratos, autoregulación, normativa interna, ética, estándares y leyes.[17]

Así, el crecimiento del compliance hacia una compleja disciplina, envuelve las normas de protección de datos en lo que podemos llamar Data Compliance, el cual ha sido definido como un sistema de procesos permanentes que garantizan la adherencia de los datos a las reglas comerciales de la empresa, requisitos legales, entre otros.[18]

En este sentido, en Europa, en búsqueda del apego a la normativa de protección de datos, se implementó la responsabilidad proactiva del encargado de estos, llamada también accountability[19], según la cual este, deberá reducir los riesgos y maximizar el cumplimiento normativo a través de los sistemas, debiendo demostrarlo mediante el soporte documental suficiente de su diligencia.[20]

3. Regulación del Tratamiento de Datos

El tratamiento de datos personales en Chile se encuentra regulado principalmente por la Ley 19.628 sobre Protección de Datos Personales, la que fue considerada desde su vigencia como una expresión de la garantía constitucional del número 4º del artículo 19 de la carta magna,[21] hasta antes de la Ley 20.050[22] que incorporó expresamente la protección de datos personales a las garantías referidas; sin perjuicio de otras contenidas en normas como la Ley General de Bancos, en donde se regula el secreto bancario. [23]

Pues bien, como hay una acentuada dicotomía de excepciones y contra excepciones para el tratamiento, en donde se enfrentan la libertad de tratamiento de datos[24], la autodeterminación informativa[25] y derechos fundamentales como la protección del dato personal y la privacidad; se forma un amplio espectro de autoregulación, subsumido a los principios de legitimidad, participación, calidad, finalidad, seguridad, transparencia y proporcionalidad.[26]

III. Libertad de Tratamiento de Datos y Uso Exclusivo Corporativo

Establece el inciso final del artículo 4º de la Ley 19.628 que no se requiere autorización en el tratamiento de datos para uso exclusivo de personas jurídicas privadas, de sus asociados y entidades afiliadas, para fines estadísticos, de tarificación u otros de beneficio general de aquéllos, lo cual es expresión de lo dispuesto en el artículo 1º, según señala que cualquier persona puede efectuar el tratamiento de datos personales, de modo concordante con la Ley, para los fines permitidos y respetando el ejercicio de los derechos fundamentales.

Sin perjuicio de ello, el objeto de protección de la normativa de datos es el dato, [27] lo que está conforme con el mismo título de la Ley 19.628, y sus disposiciones sobre el consentimiento del titular, desde donde se desprenderse que el control de exclusión del titular está dada por defecto en esta, cautelando la vida privada por medio del impedimento directo de la creación del dato personal.[28]

Por su parte, para Cea Egaña vida privada es aquella que “entiende aquella zona que el titular del derecho no quiere que sea conocida por terceros sin su consentimiento...“ [29] y para Barros Bourie la privacidad es aquella que:

"...se expresa en el derecho a definir por nosotros mismos quiénes tienen acceso por amistad, amor, respeto o simplemente por interés, a un ámbito sujeto a nuestro control exclusivo...“; [30]

De esta manera, la privacidad comprendería el ámbito físico de intangibilidad[31]; el deber de reserva; exclusión de publicidad de ciertos hechos relativos a la vida ordinaria, inclinaciones físicas o morales, comportamiento, modos de ser y obrar habitual, como también hechos personales que afectan el pudor; expresión del derecho moral y patrimonial respecto aspectos externos de su personalidad como imagen, voz, huellas dactilares, formas corporales, geolocalización, nombre, información sobre la salud, secretos de la vida privada, así como información relativa al ejercicio de profesión o comercio y a las relaciones entre las personas.[32]

Por otra parte, respecto de los datos estadísticos[33], encontramos un vínculo esencial con el principio de mejora continua de procesos, puesto que estos “son necesarios para identificar las variables críticas y procesos o áreas a ser mejoradas“[34], no obstante, a que, aún sobre este tipo de datos, la libertad de recolección de datos en los hechos y procesos en que participan personas puede verse restringida, condicionando la obtención de su materia prima, puesto que pueden ser resultado de los procedimientos de disociación[35], lo que relacionado con lo señalado en el inciso 2º del artículo primero y atendida la autorización dispuesta por el artículo 4º, permite aseverar que de cualquier forma en esta primera etapa el tratamiento quedaría subsumido a las constancias de control y exclusión de la esfera íntima y privada del titular, lo cual es también aplicable a los datos obtenidos para uso exclusivo y beneficio general del corporativo.

IV. Recolección en Ejercicio Legítimo de un Interés y en Cumplimiento de una Obligación Legal del responsable.

En nuestro Sistema Positivo el interés legítimo no ha sido reconocido expresamente en materia de datos, por lo que no habilita para efectuar el tratamiento, no obstante, a la comunicación de datos establecida en la Ley de Bancos[36], y sin perjuicio que el Consejo para la Transparencia, inspirándose en el Reglamento Europeo de Protección de Datos Personales propone incorporar a Ley 19.628, lo siguiente:

“El interés legítimo sólo podrá ser una fuente lícita para el tratamiento de datos personales, en la medida que no prevalezcan sobre éste los derechos y libertades del titular de los datos. Por lo tanto, a efectos de resguardar los derechos de este último...“[37]

En efecto, el Reglamento General de Protección de Datos europeo, en adelante el RGPD, estableció en su Considerando 47:

“El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable.“[38]

Respecto a este, el interés legítimo se analiza y pondera en cada caso para determinar si prevalece o no por sobre las libertades y derechos fundamentales del titular,[39] no obstante, a que desde los artículos 19 al 27 de la LOPDGDD[40] se enuncian casos en que se presume la prevalencia del interés legítimo, como es aquel con fines de prevención del fraude, el tratamiento de mercadotecnia, video vigilancia, y en caso que faltare algún requisito quedaría la ponderación a manos del responsable de datos[41].

Entonces, el artículo 24 de la misma norma, regula el tratamiento relativo a los Sistemas de información de denuncias internas en la empresa a fin de prevenir el fraude corporativo, lo cual se extiende a la administración pública conforme al número 5 de dicha norma.

En estos casos, se imprime el principio de finalidad en donde se contempla que los empleados y terceros, deberán ser informados acerca de la existencia de estos sistemas de información de prevención del fraude corporativo.

Cabe hacer mención respecto de lo anterior, la facultad de mantener los datos contra excepción de borrado o supresión si la finalidad de su conservación es dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica.[42]

Sin perjuicio de lo anterior, el artículo 30 del RGPD regula de forma general la obligación de documentar la información sobre el tratamiento basado en interés legítimo; lo cual, sin perjuicio a que no se establece expresamente el deber de incorporar los intereses legítimos que se persiguen, al interpretar en sentido amplio el concepto de finalidad de tratamiento, es lógico que se deba además indicar los intereses legítimos que se busca satisfacer.[43]

En otro ámbito, el RGPD establece otros casos de prevalencia del interés legítimo para garantizar la seguridad de redes y de la información[44], así como a la transmisión de datos entre grupos de empresas bajo la necesariedad de fines administrativos legítimos en sectores de actividad relacionados[45].

Ahora bien, el legítimo tratamiento de datos europeo, establece otra causa legal habilitante de tratamiento de datos personales en la letra c) del artículo 7º de la “Directiva 95/46/CE sobre Tratamiento de Datos Personales y Libre Circulación de Estos Datos“ consistente en el cumplimiento de una obligación legal, de modo tal que el titular no puede alegar un tratamiento ilegítimo en estos casos.[46]

Así, el número 1 del artículo 8 de la LOPDGDD, regla lo dispuesto en el artículo 6.1. Letra c) del RGPD, indicando las posibles habilitaciones legales que fundamentan el tratamiento de datos en cumplimiento de una obligación legal exigible al responsable, señalando además que la norma europea o local podrá determinar las condiciones al tratamiento y el tipo de dato.

Ahora bien, no obstante, a que estas causas habilitantes no se encuentran reconocidas por la Ley en Chile, la asimetría entre los poderes negociadores y de conformidad a la necesidad de realizar el tratamiento de datos, el consentimiento se ha vuelto condición de acceso a las contraprestaciones y disfrute de servicios,[47] por lo que en general el tratamiento basado en un interés legítimo o el cumplimiento de una obligación legal exigible que no sea en la especie un tratamiento de datos, se aplica a consecuencia de la autorización del titular.

V. Seguridad de la información

A saber, el concepto de seguridad comprende los elementos de riesgo y la inexistencia de la seguridad absoluta,[48] por lo que la seguridad en el tratamiento de datos, implica generar todas las actividades necesarias para evitar su comunicación y uso desautorizado mediante medidas técnicas y organizativas, como el establecimiento de políticas de privacidad, resguardos ante cesiones y transferencias de datos, así como aplicar las medidas de privacidad por defecto[49].

En este sentido, a fin de proteger los datos es forzoso para la empresa determinar las “Políticas de Seguridad“[50] y el Sistema de Gestión de Seguridad de la Información, el que es considerado como una “parte del sistema gerencial general, basada en un enfoque de riesgo comercial; para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad...“[51] adoptando medidas necesarias para proteger la integridad, confidencialidad y disponibilidad de la información,[52] así como también su autenticidad, la responsabilidad, la no repudiación y la confiabilidad.[53]

Las medidas de seguridad dichas son bastas, sin embargo, para este estudio, interesan principalmente las siguientes:

1. Ofuscación de Datos

Dentro de las medidas lógicas para propender a la protección de los datos personales encontramos los procedimientos de anonimización o disociación,[54] los cuales comprenden la anonimización y la seudoanonimización o anonimización relativa, los que sirven como medio para eliminar las posibilidades de identificación de las personas y proteger su privacidad.

Siendo así, la finalidad de la anonimización es “eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo la veracidad de los resultados del tratamiento de los mismos“,[55] aplicado de forma proactiva y no reactiva, conforme a un índice de riesgo residual de reidentificación, todo lo cual debe garantizar la utilidad del dato anonimizado.

Así las cosas, el Consejo para la Transparencia propone como concepto de anonimización o disociación de datos personales, aquel siguiente:

“...procedimiento en virtud del cual los datos personales no pueden asociarse al titular ni permitir su identificación, por haberse destruido el nexo con toda información que lo identifica; porque dicha asociación exige un esfuerzo no razonable, entendiendo por tal el empleo de una cantidad de tiempo, gasto o trabajo desproporcionados, o porque se ejercieron medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona natural identificada o identificable. Un dato anonimizado deja de ser un dato personal“.[56]

Por otra parte, la seudoanonimización es un proceso de disociación reversible que consiste en “asociar los datos de una persona a un código“[57] sin que pueda ser asociada a una persona sin utilizar información adicional, siempre que estas medidas adicionales figuren por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar la inidentificabilidad de la persona física.

Ejemplo de norma que regula la anonimización es el número 4 del artículo 24 relativo al tratamiento basado en el interés legítimo del responsable para la prevención del fraude o ilícito corporativo, según señala que se pueden almacenar de forma anónima los datos de las denuncias a que no se les haya dado curso.

2. Decisiones Automatizadas

La decisión automatizada de sistema y sus efectos en materia de tratamiento de datos no fue contemplada expresamente por el legislador, sino que por analogía queda comprendida donde hace referencia al tratamiento automatizado; sin perjuicio que de ciertos estándares ya reconocidos por la Unión Europea, pueden funcionar como medidas de seguridad sobre ficheros en distintos niveles[58], como por ejemplo a través de autorizaciones automatizadas, análisis de eventos y restricción de accesos a autorizados, registros y escalamiento de niveles de seguridad automatizados, entre otras muchas posibilidades.

Por otra parte, la toma automática de decisiones es recogida expresamente por el legislador europeo en la formación de perfiles[59], puesto que le reconoce el derecho al titular de no ser objeto de este tipo de tratamiento si la decisión pudiera tener efectos jurídicos o significativos similares,[60] comprendiendo ejemplo de este último la discriminación; todo lo cual es sin perjuicio de la contra excepción, que si permitiría la toma de decisiones automatizadas en la etapa de ejecución de un contrato y preacuerdo, si fuera necesario y evidentemente si el titular ha consentido expresamente en esta forma de toma de decisiones.

VI. Proporcionalidad en el Tratamiento

Ante la necesidad de recolectar datos personales a fin de ejercer la dirección y vigilancia empresarial, en el cumplimiento de otro contrato, o para la mejora continua de procesos, y en general para prevenir el incumplimiento normativo, una vez requerida la exclusión del titular luego de su autorización, mediante oposición al tratamiento o revocación de la autorización respectiva, cabe despejar la interrogante acerca de hasta dónde el tratamiento afectaría sus derechos fundamentales; lo que se ha intentado satisfacer mediante la aplicación de un “examen de proporcionalidad“,[61] conforme al cual se indaga la medida entre la seguridad de la empresa y la restricción de ciertos derechos elementales a través del análisis de la razonabilidad entre los medios conforme a los cuales se pueda cumplir con el fin propuesto, su legitimidad, y la equivalencia entre el beneficio proveniente de la restricción con la lesión que produce al derecho.

VII. Conclusión

El Compliance de datos es elemental en la empresa, su función interrelacionada con el Big Data, trata en proteger, vigilar, administrar y disponer los datos recolectados de las tareas y labores que figuran en los distintos procesos corporativos; todo, con arreglo a la normativa, como efectos de autoregulación y disposiciones legales de protección de datos personales y vida privada.

En este sentido, en Chile, el legítimo tratamiento de datos procede en la medida que exista autorización legal o del titular, permitiendo la primera de estas el tratamiento para uso exclusivo y en beneficio general del corporativo; sin perjuicio que, aun así, este tratamiento requeriría autorización cuando pueda afectar derechos fundamentales, lo que puede suceder, con la aplicación del Big Data, en su etapa de recolección; sin perjuicio que, el dato, pueda luego ser disasociado para hacerlo objeto de la libertad de tratamiento.

Siendo así, esta autorización resguarda la vida privada y el dato personal del titular frente a la necesidad de tratamiento que surge como interés legítimo, el cual no prevalece ante los derechos fundamentales de su titular; por ende, estos, no se verían vulnerados por un racional Big Data Compliance.

[1] AGUILAR JOYANES, Luis. Big Data, Análisis de grandes volúmenes de datos en organizaciones. p. 33

[2] MILANES, Valeria. Desafíos en el debate de la protección de datos para Latinoamérica. Transparencia & Sociedad. p. 19.

[3] DAVARA, Miguel, Manual de Derecho Informático. p. 51.

[4] ORZA LINAREZ, Ramón, p.30.

[5] Chile. Proyecto de Ley Que Introduce Modificaciones a la Ley 19.628 Sobre Protección de la Vida Privada y Protección de Datos de Carácter Personal, 25 de Noviembre de 2011. Mensaje Nº 395-359.

[6] DIRECCIÓN DEL TRABAJO, Ordenanza nº 3441/072 del 20/08/2008.

[7] LUCENA, Isabel. El Concepto de Intimidad en los Nuevos Contextos Tecnológicos. p. 44.

[8] THOMSON Y REUTERS. Sector bancario. Guía Corporate Compliance y Protección de Datos. Cap 2, Apartado I, número 1.

[9] GUILLÓN, María de la Paz. Las herramientas estadísticas para la Mejora Continua en la Matriz de Hoerl. p. 1.

[10] BALMACEDA, Gustavo, Compliance: Visión General desde una Perspectiva Penal y Comercial. p. 52.

[11] NCh-ISO 26000, Guía de Responsabilidad Social, 2010. p. 66 y ss.

[12] MIRANDA RAYA, Antonio. Big Intelligence. p. 50.

[13] DUA SUMEET & XIAN DU. Data Mining and Machine Learning in Cybersecurity. p. 5.

[14] GARRIGA, Ana. Nuevos Retos para la Protección de Datos Personales. p. 28.

[15] Chile. Ley 20.393. Artículo 3º Inciso 3º.

[16] Chile. Ley 20.393. Artículo 4º numeral 3º.

[17] SÁIZ PEÑA, Carlos y otros. Compliance Cómo gestionar los riesgos normativos en la empresa. sp. Bloque I, título 4.3.

[18] The CASRAI Dictionary.

[19] Europa. Parlamento Europeo y Consejo. Reglamento General de Protección de Datos (EU) 2016/679. 27 de Abril del año 2016. Art.5º, Número 2.

[20] PALAZZI, Pablo. Compliance y protección de datos personales. p. 406.

[21] RAJEVIC MOSLER, E. Protección de Datos y Transparencia en la Administración Pública Chilena. p. 142.

[22] Chile. Ley 19.039, Art. 86 y siguientes sobre el Secreto Empresarial, Ley General de Bancos Art. 14 sobre datos de deudores, Ley 19.223 sobre Delitos Informáticos, Código del Trabajo Art. 2º Inciso 7º sobre el uso de la información de obligaciones pendientes del trabajador y 154 bis respecto de la reserva de los datos del trabajador, otros.

[23] Chile. Ley General de Bancos. DFL 3, del año 1997. art. 154.

[24] VIOLLIER, Pablo. El Estado de La Protección de Datos en Chile. p. 20.

[25] JARA AMIGO, R. Régimen de los Datos de Carácter Económico, Financiero, Bancario o Comercial en la Ley N.º 19.628. p. 71.

[26] ARRIENTA CORTÉS R. Autorregulación y protección de datos personales. p. 17.

[27] DE LA SERNA BILBAO, M. La institucionalización de la Protección de Datos de Carácter Personal. p. 61.

[28] Chile. Ley 19.628. Art. 2º Letra f).

[29] CEA EGAÑA. El sistema constitucional de Chile. p. 94.

[30] BARROS BOURIE, Enrique. Tratado de responsabilidad extracontractual. p. 542.

[31] BARROS BOURIE, Enrique. Tratado de responsabilidad extracontractual. p. 542.

[32] GARRIGA, Ana. Nuevos Retos para la Protección de Datos Personales. p. 102.

[33] Chile. Ley 19.628. Art. 2º Letra e).

[34] GUILLÓN, María de la Paz. Las herramientas estadísticas para la Mejora Continua en la Matriz de Hoerl. p. 2

[35] ISO/IEC 17799. Tecnología de la Información - Técnicas de seguridad - Código para la práctica de la gestión de la seguridad de la información de seguridad ? Código para la práctica de la gestión de la seguridad de la información. p. 14.

[36] Chile. D.F.L. Núm. 3.- Santiago, 26 de noviembre de 1997. Ley General de Bancos. Publicada el 19 de Diciembre del año 1999. Art. 154 Inc. 2º.

[37] CONSEJO PARA LA TRANSPARENCIA, DJ/UNR/10.05.2018.

[38] Europa. Parlamento Europeo y Consejo. Reglamento General de Protección de Datos (EU) 2016/679. 27 de Abril del año 2016.

[39] THOMSON REUTERS LIMITED. Sector Bancario. Guía Corporate Compliance y Protección de Datos. sp. Capítulo 2, II 1.3

[40] España. Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales 3/2018. 5 de Diciembre del año 2018. Título IV

41 España. Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales 3/2018. 5 de Diciembre del año 2018. Preámbulo V y Disposición adicional décima.

[42] España. Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales 3/2018. 5 de Diciembre del año 2018. Art. 24.

[43] FERNÁNDEZ, Javier, FERNÁNDEZ, Paula. El Interés Legítimo como Principio para Legitimar el Tratamiento de Datos. p. 176.

[44] Europa. Parlamento Europeo y Consejo. Reglamento General de Protección de Datos (EU) 2016/679. 27 de Abril del año 2016. Considerando 49.

[45] Europa. Parlamento Europeo y Consejo. Reglamento General de Protección de Datos (EU) 2016/679. 27 de Abril del año 2016. Considerando 48.

[46] THOMSON REUTERS LIMITED. Sector Bancario. Guía Corporate Compliance y Protección de Datos. sp. Capítulo 2, II 1.5

[47] CONTRERAS VÁSQUEZ, P. ,03 p. 73.

[48] SAIZ PEÑA, Carlo. Seguridad de los Datos, Evaluación de Impacto, Códigos de Conducta y Certificación. p. 388.

[49] PALAZZI, Pablo. Compliance y protección de datos personales. p. 406

[50] ESCRIVÁ GASCO, Gema. Seguridad Informática. p. 16.

[51] ISO/IEC 27001:2005 (E), Tecnología de la Información ? Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requerimientos. p. 10.

[52] ESCRIVÁ GASCO, Gema. Seguridad Informática. p. 210.

[53] ISO/IEC 17799. Tecnología de la Información ? Técnicas de seguridad - Código para la práctica de la gestión de la seguridad de la información de seguridad - Código para la práctica de la gestión de la seguridad de la información. p. 14.

[54] Chile. Ley 19.628. Art. 2º Letra l).

[55] AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. Orientaciones y Garantías en los Procedimientos de Anonimización de Datos Personales. p. 2.

[56] CONSEJO PARA LA TRANSPARENCIA. DJ/UNR/15.05.2017. p. 9.

[57] THOMSON REUTERS LIMITED. Sector Bancario. Guía Corporate Compliance y Protección de Datos. sp. Capítulo 2, X 4.1

[58] Autor. Regula esta materia el reglamento español 994/1999, en el que se establecen medidas de seguridad para distintos niveles, atendido al tipo de datos del banco; estableciendo por ejemplo controles de accesos, auditorias, registros de incidentes, gestión de soportes, entre otros.

[59] Europa. Parlamento Europeo y Consejo. Reglamento General de Protección de Datos (EU) 2016/679. 27 de Abril del año 2016. Art. 22.

[60] Bélgica. Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE. Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento. 2016/679. p. 23.

[61] RAINER ARNOLD, MARTÍNEZ ESTAY J. Y ZÚÑIGA URBINA F. El principio de proporcionalidad en la jurisprudencia del Tribunal Constitucional. p. 88.

BIBLIOGRAFÍA

- AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, Orientaciones y Garantías en los Procedimientos de Anonimización de Datos Personales. 2016. Fecha de consulta: 03-01-2020. Disponible en https://www.aepd.es/...procedimientos-anonimizacion.pdf

- AGUILAR JOYANES, Luis. Big Data, Análisis de Grandes Volúmenes de Datos en Organizaciones. México: Alfaomega Grupo Editor. 2013.

- ARRIENTA CORTÉS, R. Autorregulación y protección de datos personales. Marzo de 2011. Reflexiones Sobre el Uso y Abuso de los Datos Personales en Chile. Santiago: Andros Impresores. 7-24. I.S.B.N: 978-956-8678-04-3.

- BALMACEDA HOYOS, Gustavo. Compliance: Visión General desde una Perspectiva Penal y Comercial. 1º Edición. Santiago: Thomson Reuters. 2019.

- BARROS BOURIE, Enrique; Tratado de Responsabilidad Extracontractual. Santiago: Editorial Jurídica de Chile. 2006.

- CASRAI. The CASRAI Dictionary. (Fecha de consulta: 22-10-2019) Disponible en: https://dictionary.casrai.org/Data_compliance.

- CEA EGAÑA, José. El sistema constitucional de Chile, Santiago: Universidad Austral de Chile. 1999 .

- CONSEJO PARA LA TRANSPARENCIA, DJ/UNR/15.05.2017. (Fecha de consulta: 24-09-2019) Disponible en: https://www.consejotransparencia.cl/wp-content/uploads/estudios/2019/01/Minuta-Observaciones-y-Sugerencias-Proyectos-de-Ley-de-Protecci%C3%B3n-de-Datos-.pdf.

- CONSEJO PARA LA TRANSPARENCIA, DJ/UNR/10.05.2018. (Fecha de consulta: 24-09-2019). Disponible en: https://www.consejotransparencia.cl/wp-content/uploads/estudios/2019/01/Indicaciones-PL-PDP-Inter%C3%A9s-leg%C3%Adtimo-10.05.18.pdf.

- CONTRERAS VÁSQUEZ, P y TRIGO KRAMSÁK, P. Interés legítimo y tratamiento de datos personales: Antecedentes Comparados y Regulación en Chile. Revista Chilena de Derecho y Tecnología. 2019. Volumen 8. 69-106.

- DAVARA RODRÍGUEZ, Miguel. Manual de Derecho Informático, 11º Edición, España: Aranzadi. 2015.

- DE LA SERNA BILBAO, M. La institucionalización de la Protección de Datos de Carácter Personal. Marzo de 2011. Reflexiones Sobre el Uso y Abuso de los Datos Personales en Chile. Santiago: Andros Impresores. 61-75. I.S.B.N: 978-956-8678-04-3.

- DIRECCIÓN DEL TRABAJO. Responsabilidad Social Empresarial. Cuaderno 25. Santiago: Departamento de Estudios de la Dirección del Trabajo. 2005. NCh-ISO 26000.

- DUA SUMEET & XIAN DU. Data Mining and Machine Learning in Cybersecurity. USA: Taylor & Francis Group. 2011. ISBN: 13: 978-1-4398-3943-0.

- ESCRIVÁ GASCO, Gema. Seguridad Informática, 1º Edición. España: Macmillan. 2013. ISBN 10:8415656645.

- FERNÁNDEZ, Javier y FERNÁNDEZ, Paula. Capítulo V, El Interés Legítimo como Principio para Legitimar el Tratamiento de Datos . En Artemi Rallo Lombarte, Tratado de Protección de Datos Personales. Valencia: Tirant Lo Blanch, 2019. pp 170-196.

- GARRIGA, Ana. Nuevos Retos para la Protección de Datos Personales . Madrid: Dykinson. 2016. ISBN: 9788490856536.

- GUILLÓN, María de la Paz. Las Herramientas Estadísticas para la Mejora Continua en la Matriz de Hoerl. (Fecha de consulta: 04-09-2019) Disponible en: http://www.edutecne.utn.edu.ar/...A_029.pdf .

- JARA AMIGO, R., Tratamiento de Datos Personales y Protección de la Vida Privada. Régimen de los Datos de Carácter Económico, Financiero , Bancario o Comercial en la Ley N.º 19.628 . Santiago: Jorge Wahl Silva. 2001. pp. 61- 85.

- KOO, Julia. Governance, Risk, and Compliance Handbook. What To Look in Enterprise Content Management for Compliance. USA: John Wiley and Sons. 2008. pp. 259-265.

- LUCENA CID, Isabel. El Concepto de la Intimidad en los Nuevos Contextos Tecnológicos. La Protección Jurídica de la Intimidad y de los Datos de Carácter Personal Frente a las nuevas Tecnologías de la Información y Comunicación. España: Tirant Lo Blanch. 2014. ISBN: 978-84-9053-764-0

- MILANES, Valeria. Desafíos en el debate de la protección de datos para Latinoamérica. Santiago: Transparencia & Sociedad. No. 5, 2017. pp. 13-31.

- MIRANDA RAYA, Antonio. Big Intelligence. Madrid: Fundación EOI, 2015.

- ORZA LINAREZ, Pablo. La defensa de la privacidad en la era de la ciberseguridad. Fecha de consulta: 03-01-2020. Disponible en: https://www.researchgate.net/...

- PALAZZI, Pablo. Compliance y Protección de Datos Personales. Compliance, Anticorrupción y Responsabilidad Penal Empresaria. Buenos Aires: Thomson y Reuters. 2018. p. 405 y ss.

- RAINER ARNOLD, MARTÍNEZ ESTAY J. Y ZÚÑIGA URBINA F. El principio de proporcionalidad en la jurisprudencia del Tribunal Constitucional. Centro de Estudios Constitucionales de Chile Universidad de Talca. Estudios Constitucionales. Nº 1. 2012. pp. 65 116.

- RAJEVIC MOSLER, E. Protección de Datos y Transparencia en la Administración Pública Chilena. Reflexiones Sobre el Uso y Abuso de los Datos Personales en Chile. Santiago: Andros Impresores. 2011. pp. 137-157. I.S.B.N: 978-956-8678-04-3.

- SÁIZ PEÑA, Carlos y otros. Compliance: Cómo gestionar los riesgos normativos en la empresa. 5º Edición. Navarra: Aranzadi. 2015. ISBN: 978-84-9098-302-7.

- THOMSON REUTERS LIMITED. Sector Bancario. Guía Corporate Compliance y Protección de Datos . 1º Edición. Navarra: Aranzadi. 2018.

- VIOLLIER, Pablo. El Estado de La Protección de Datos en Chile . Santiago. Derechos Digitales América Latina. 2017. (Fecha de consulta: 14-06-2019) Disponible en: https://www.derechosdigitales.org/.../PVB-datos-int.pdf .

- Chile, Ley 19.628 sobre Protección de Datos Personales. 18 de agosto de 1999. Publicada el 28 de agosto de 1999. Diario Oficial.

- Chile. Ley 20.393 Sobre Responsabilidad Penal de las Personas Jurídicas en los Delitos que Indica . 25 de noviembre del año 2009. Publicada el 2 de diciembre del año 2009. Diario Oficial.

- Chile. Constitución Política de la República de Chile de 1980 . 17 de septiembre de 2005. Publicada el 22 de septiembre de 2005. Diario Oficial.

- Chile. L ey 20.096 Consagra el Derecho a Protección de los Datos Personales. 5 de junio de 2018. Publicada el 16 de junio de 2018 . Diario Oficial.

- Chile. Proyecto de Ley Que Introduce Modificaciones a la Ley 19.628 Sobre Protección de la Vida Privada y Protección de Datos de Carácter Personal . 25 de noviembre de 2011. Mensaje Nº 395-359.

- España. Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales 3/2018 . 5 de diciembre del año 2018.

- Europa. Parlamento Europeo y Consejo. Reglamento General de Protección de Datos (EU) 2016/679. 27 de abril del año 2016.

- Europa. Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE. Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento . 2016/679.

- ISO/IEC 17799. Tecnología de la Información Técnicas de seguridad Código para la práctica de la gestión de la seguridad de la información de seguridad Código para la práctica de la gestión de la seguridad de la información. 2º Edición. 2005.

- ISO/IEC 27001:2005 (E), Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos. 1º Edición. 2015.