Leyes y Evaluación de Datos Personales

Questions and Answers

¿Qué característica NO define a una ley según el texto?

• Es opcional para los ciudadanos. (correct)
• Es abstracta e impersonal.
• Se reputa conocida por todos.
• Es permanente.

¿Cuál de los siguientes tipos de leyes aclara el significado de la Constitución sin modificarla?

• Leyes interpretativas de la Constitución (correct)
• Leyes ordinarias
• Leyes orgánicas constitucionales
• Leyes de quórum calificado

¿En qué se diferencia un decreto de una ley?

• Un decreto requiere ser sometido al órgano legislativo, mientras que la ley no.
• Un decreto es aprobado por el poder legislativo, mientras que la ley es promulgada por el poder ejecutivo.
• Un decreto es promulgado por el poder ejecutivo sin necesidad de ser sometido al órgano legislativo, mientras que una ley emana del órgano legislativo. (correct)
• Un decreto regula la convivencia humana, mientras que la ley solo trata materias administrativas.

¿Cuál de las siguientes opciones describe mejor la función de una norma ISO?

Establecer reglas, criterios y características para actividades con el fin de obtener un nivel óptimo de ordenamiento. (B)

Si una empresa busca mejorar su gestión de calidad, ¿qué norma ISO debería implementar?

ISO 9000 (B)

¿Cuál de las siguientes describe mejor la diferencia entre un dato y la información?

Un dato es una representación simple de una variable, mientras que la información es un conjunto organizado de datos procesados que cambian el estado de conocimiento. (C)

¿Cuál de los siguientes ejemplos calificaría como un 'dato duro' según el contexto proporcionado?

El resultado de un análisis de sangre obtenido por una máquina. (C)

¿Qué tipo de datos personales requieren mayor protección debido a su naturaleza intrínseca?

Datos sobre hábitos personales, origen racial, opiniones políticas y creencias. (C)

En el contexto de la seguridad de la información, ¿cuál es el objetivo principal de un SGSI (Sistema de Gestión de Seguridad de la Información)?

Garantizar la confidencialidad, integridad y disponibilidad de la información institucional relevante. (A)

¿Cuál de las siguientes NO es una característica típica de las normas ISO?

Ser de obligatorio cumplimiento por ley en todos los países. (D)

¿Cuál es el enfoque principal de la familia de normas ISO 27000?

Gestión de la seguridad de la información. (B)

En relación con el tratamiento de datos, ¿qué implica el concepto de 'licitud'?

Que el tratamiento de datos tenga una base legal o el consentimiento del titular. (A)

¿Cuál es la implicación principal del principio de 'finalidad' en el tratamiento de datos personales?

Los datos solo pueden ser tratados para los fines específicos para los cuales fueron recolectados. (B)

De acuerdo al texto, ¿qué significa el principio de 'proporcionalidad' en el tratamiento de datos?

Limitar la cantidad de datos tratados a aquellos necesarios para los fines del tratamiento y conservarlos solo por el tiempo necesario. (C)

Según el texto, ¿qué obligación impone la ley 19.628 en relación con la 'calidad' de los datos personales?

Los datos deben ser exactos, completos y actualizados. (B)

¿A qué se refiere el principio de 'transparencia' en el contexto del tratamiento de datos personales?

Informar de manera clara y accesible sobre el uso y propósito de los datos personales. (B)

Según el texto, ¿cuál es la diferencia clave entre los derechos ARCOP y los derechos ARCOP con Portabilidad?

La inclusión de la Portabilidad permite al titular recibir una copia de sus datos en un formato estructurado y transferirlos a otro responsable. (C)

¿Qué sanción NO se contempla en el sistema de infracciones y multas descrito en el texto?

Prisión para los responsables. (C)

Según la información proporcionada, ¿quién es la autoridad de control encargada de supervisar el cumplimiento de la ley de protección de datos personales?

El Consejo para la Transparencia y la Protección de Datos Personales. (A)

En la legislación sobre protección de datos personales, ¿qué implica la 'inhabilitación para tratar datos personales' como sanción?

La prohibición temporal o indefinida de realizar operaciones de tratamiento de datos. (D)

Flashcards

¿Qué es una ley?

Una disposición obligatoria del órgano legislativo que regula la convivencia.

¿Qué es una norma?

Documento público aprobado por consenso que establece reglas y criterios para estandarizar.

¿Qué es una norma técnica?

Documento con requisitos y especificaciones para asegurar la consistencia de un producto o servicio.

¿Qué es una norma ISO?

Documentos que especifican requerimientos para garantizar la calidad de productos o servicios.

¿Qué es un dato?

Representación cuantitativa o cualitativa de una variable mediante símbolos o números.

¿Qué es un dato duro?

Resultados derivados de máquinas, como análisis de sangre o TAC.

¿Qué es un dato privado?

Información concerniente a una persona física identificada o identificable.

¿Qué es un dato sensible?

Datos sobre características físicas o morales, vida privada, origen racial, ideologías u opiniones políticas.

¿Qué es la información?

Conjunto organizado de datos procesados que cambian el conocimiento de quien los recibe.

¿Qué es una ISO?

Un estándar internacional que establece buenas prácticas en diversos ámbitos.

¿Qué es la ISO 27000?

Familia de normas enfocada en la Gestión de Seguridad de la Información (SGSI).

¿Qué es ISO 27001?

Establecimiento de un Sistema de Gestión de Seguridad de la Información (SGSI).

¿Qué es ISO 27002?

Son controles y buenas prácticas de seguridad. Complementaria a ISO 27001.

¿Qué es ISO 27799?

Seguridad de la información aplicada a la salud, ampliando la ISO 27001.

¿Qué es el tratamiento de datos?

Cualquier operación que permita la grabación, elaboración, consulta o supresión de datos.

¿Qué son los derechos ARCOP?

Derechos de acceso, rectificación, cancelación y oposición.

Seguridad (tratamiento de datos)

El responsable debe garantizar estándares adecuados contra el tratamiento no autorizado.

Transparencia (Protección datos)

El responsable debe adoptar medidas activas de información.

Confidencialidad (datos personales)

El responsable debe guardar secreto sobre los datos, incluso tras finalizar la relación con el titular.

¿Qué son los derechos ARCOP?

Son las facultades que tiene toda persona sobre sus datos personales.

Study Notes

Calendario de Evaluaciones

• La Unidad de Aprendizaje I, centrada en generalidades e introducción a la evolución y el tratamiento de la información personal, cuenta con una evaluación que representa el 30% de la calificación.
• La Unidad de Aprendizaje II, que aborda la protección de datos de carácter personal, especialmente los relacionados con la salud, tiene una evaluación con un valor del 30%.
• La Unidad de Aprendizaje III se enfoca en la actividad del tratamiento de datos de carácter personal, en particular los relativos a la salud, y su evaluación corresponde al 40% de la nota.

Leyes

• Una ley es una disposición obligatoria emitida por el órgano legislativo del estado, destinada a regular la convivencia humana, orientando y direccionando las acciones de los individuos en la sociedad.
• Las leyes son de carácter general y obligatorio, y su incumplimiento puede acarrear sanciones.
• Características de las leyes:
  • Permanencia
  • Naturaleza abstracta e impersonal
  • Se asume que son conocidas
  • Generalidad
  • Obligatoriedad
• Existen diversos tipos de leyes:
  • Las leyes interpretativas de la Constitución aclaran el significado de la Constitución sin modificarla.
  • Las leyes orgánicas constitucionales desarrollan aspectos clave de la Constitución y requieren un quórum más alto para su aprobación.
  • Las leyes de quórum calificado necesitan una mayoría especial para ser aprobadas, ya que regulan temas importantes.
  • Las leyes ordinarias son las leyes comunes aprobadas por mayoría simple del Congreso.

Decretos

• Un decreto representa la decisión de una autoridad en el ámbito de su competencia.
• Es un acto administrativo promulgado por el poder ejecutivo, que contiene normativas reglamentarias sin necesidad de ser sometido al órgano legislativo.

Normas

• Una norma es un documento de conocimiento y uso público, aprobado por consenso y por un organismo reconocido.
• Tipos de normas:
  • Religiosas
  • Morales
  • Jurídicas
  • Protocolo
  • Sociales
  • Familiares
  • Lingüísticas
• Una norma técnica establece requisitos, especificaciones y directrices para asegurar que un producto, proceso o servicio sea adecuado para su uso.
• Una norma ISO especifica requerimientos que las organizaciones deben cumplir para garantizar la calidad de sus productos o servicios:
  • La ISO 9000 se centra en la gestión de la calidad.
  • La ISO 14000 fomenta la gestión del medio ambiente y la minimización de impactos ambientales (ISO 14001).
  • La ISO 31000 establece normas para la gestión del riesgo.
  • La ISO 22000 aborda la seguridad alimentaria y la inocuidad de los alimentos.
  • La ISO 27001 garantiza la seguridad de la información.
  • La ISO 45001 se enfoca en la prevención de riesgos laborales y la seguridad en el trabajo.

Datos

• Un dato es una representación de una variable, ya sea cuantitativa o cualitativa, que indica un valor asignado a objetos y se representa mediante símbolos, números o letras, describiendo hechos empíricos.
• Los datos duros provienen de máquinas, como análisis de sangre o resultados de una TAC.
• Un dato privado es cualquier información concerniente a una persona física identificada o identificable.
• Un dato sensible se refiere a las características físicas o morales de las personas, así como aspectos de su vida privada, como hábitos, origen racial, ideologías políticas y creencias.
• La información es un conjunto organizado de datos procesados que cambian el conocimiento de quien la recibe, accesible a través de diferentes medios.
• La información permite solucionar problemas y tomar decisiones basadas en su uso racional.

Seguridad de la Información

• Los activos de información de una institución incluyen documentación en papel, bases de datos, documentos digitales, data centers, soportes de almacenamiento, redes de transmisión y enlaces de terceros.
• Estos activos enfrentan riesgos e inseguridades tanto internas como externas.
• El Ministerio de Salud (MINSAL) promueve la implementación de sistemas de seguridad de la información para disminuir el impacto de los riesgos sobre los activos de información.
• El objetivo del sistema de seguridad de la información es mantener la integridad, confidencialidad y disponibilidad de la información relevante, asegurando la continuidad operacional.
• SGSI significa Sistema de Gestión de Seguridad de la Información.
• El SGSI busca preservar la información de las organizaciones garantizando la confidencialidad, integridad y disponibilidad, basándose en la norma ISO 27001.
• A nivel central del Ministerio de Salud, el SGSI establece lineamientos para la gestión de la seguridad de la información, aplicables a todos los funcionarios sanitarios y a todo tipo de información.
• Una norma ISO es un estándar internacional desarrollado por la Organización Internacional de Normalización (ISO), que establece buenas prácticas, requisitos y guías en diversos ámbitos, incluyendo la seguridad de la información, gestión de calidad y seguridad en el trabajo.
• Las normas ISO son reconocidas a nivel mundial, garantizan calidad, seguridad y eficiencia, facilitan la interoperabilidad y se aplican a diversos sectores.
• La familia de normas ISO 27000 se enfoca en la gestión de la seguridad de la información, protegiendo la confidencialidad, integridad y disponibilidad mediante la implementación de un SGSI.

ISO 27000

• ISO 27000 proporciona introducción y fundamentos de la seguridad de la información.
• Define términos y conceptos clave para la gestión de la seguridad de la información y establece la base para las normas de la serie ISO 27000.
• ISO 27001: Establece un Sistema de Gestión de Seguridad de la Información (SGSI) basado en un enfoque de gestión de riesgos.
• ISO 27002: Ofrece controles y buenas prácticas de seguridad como guía complementaria a la ISO 27001, detallando controles de seguridad.
• ISO 27799: Amplía la ISO 27001 al sector salud, estableciendo requisitos y mejores prácticas para proteger la información médica y cumplir con regulaciones.

T ratamiento de Datos

• El tratamiento de datos incluye cualquier operación automatizada o no, que permita la grabación, elaboración, consulta, conservación, recogida, modificación, supresión, utilización, bloqueo o cancelación y cesiones de datos personales.
• Este derecho se constitucionalizó en Chile en 2018, estableciendo que toda persona tiene derecho a la protección de sus datos personales, cuyo tratamiento se efectuará según lo determine la ley.
• En Chile, la Ley 19.628 sobre la protección de la vida privada regula las condiciones y requisitos para recolectar, procesar y tratar los datos personales.
• Es necesario contar con el consentimiento previo, informado y por escrito del titular para procesar sus datos, o estar habilitado por ley; de lo contrario no se pueden emplear los datos.
• Un dato personal es cualquier información relacionada con una persona identificada o identificable, como nombre, RUT, dirección, correo electrónico y datos de salud.
• La protección de datos personales permite el acceso a los datos relativos a la propia persona, conocer su procedencia y destinatario, y solicitar la modificación de datos incorrectos, esta ley protege los datos personales asentados en archivos públicos o privados destinados a dar informes, garantizando el derecho al honor y a la intimidad.

Regulación de Datos

• La nueva regulación de datos se orienta a:
  • Adecuar la ley 19.628 al estándar internacional (Unión Europea, APEC y OCDE).
  • Considerar las condiciones para el tratamiento de datos personales, minimizando la afectación a los derechos de los titulares.
  • Reconocer los derechos de los titulares para velar por sus datos personales.
  • Establecer una autoridad autónoma e independiente para velar por el cumplimiento de las obligaciones y derechos.
• Los principios del tratamiento de datos son normas universales que guían la forma y oportunidad en que se desarrolla el tratamiento de datos personales e incluyen que se hagan con :
  • Licitud
  • Finalidad
  • Proporcionalidad
  • Calidad
  • Responsabilidad
  • Seguridad
  • Transparencia.
  • Confidencialidad
• La Ley 19.628 solo permite el tratamiento de datos con habilitación legal y consentimiento expreso y escrito del titular, con excepciones para datos de fuentes de acceso público de carácter económico, financiero, bancario o comercial.
• Las fuentes de acceso son:
  • Datos de fuentes de acceso público
  • Datos económicos, financieros, bancarios o comerciales tratados según el título III de la ley.
  • Datos necesarios para cumplir una obligación legal o lo dispuesto por la ley.
  • Datos necesarios para celebrar o ejecutar un contrato con el titular, o para medidas precontractuales a solicitud de este.
  • Datos necesarios para satisfacer intereses legítimos del responsable o de un tercero, sin afectar los derechos del titular.
  • Datos necesarios para la formulación, ejercicio o defensa de una reclamación administrativa o judicial.
  • Datos necesarios para proteger la vida o salud del titular.
• Se adopta un modelo de responsabilidad demostrada, donde el responsable del tratamiento acredita que existe una fuente de licitud que lo ampare.

Finalidad y mas sobre Regulaciones

• La ley 19.628 restringe el tratamiento de datos personales a los fines para los cuales fueron recolectados, excepto si provienen de fuentes de acceso público
• Los datos recolectados no pueden tratarse para fines distintos a los informados, salvo que sean compatibles, exista una relación contractual, el titular otorgue nuevamente su consentimiento, los datos provengan de fuentes de acceso público o lo disponga la ley
• Este principio tiene dos dimensiones: el tiempo durante el cual los datos personales pueden ser tratados y la cantidad de datos personales que pueden ser procesados para una operación de tratamiento específica;la ley 19.628 establece que los datos deben eliminarse o cancelarse cuando su almacenamiento carezca de fundamento legal o cuando hayan caducado.
• El proyecto de ley regula la proporcionalidad en el tratamiento de datos, limitando el tiempo de conservación a lo necesario para cumplir los fines del tratamiento, requiriendo autorización legal o consentimiento del titular para un tratamiento extendido.

Principios clave

• La Ley considera que los datos personales a tratar deben limitarse a aquellos que resulten necesarios en relación con los fines del tratamiento, lo que obliga a gestionar el ciclo de vida del dato y a recolectar solo los datos mínimos necesarios.
• Para que los datos personales sean útiles, es indispensable que los datos reflejen la verdadera situación de la persona en un momento determinado
• La ley 19.628 establece que los responsable deben modificar los datos cuando sean erróneos, entre otras cosas, mientras el nuevo proyecto establece que los datos deben ser exactos, completos y actuales y rectificados cuando sean inexactos, desactualizados o incompletos.
• Quienes realicen el tratamiento de datos personales serán legalmente responsables del cumplimiento de los principios, obligaciones y deberes; estos principios se encuentra tratado de forma analoga entre la ley 19628 y en el proyecto de ley.
• La Ley 19.628 solo establece el deber de resarcir por daño patrimonial y moral causado por el tratamiento ilícito de datos.
• Al implementar el actual proyecto de ley adiciona el deber de responder ante la autoridad de control ya sea a travez del pago de multas de caracter fiscal que se le hicieran efectivos por infraccion a la ley.
• El proyecto de ley detalla que el responsable del tratamiento de datos debe garantizar estándares de seguridad, protegiéndolos contra el tratamiento no autorizado o ilícito, así como su pérdida, filtración, daño accidental o destrucción.