@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF90aXRsZSIsInNldHRpbmdzIjp7ImJlZm9yZSI6IiIsImFmdGVyIjoiIn19@

在过去的几个月里,我有幸参与柏林,使几家公司的政策和流程适应新的数据保护总规则(GDPR)。我已经看到了公司内部的辩论以及营销,法律,技术和商业部门之间不断的拉锯战。

通过
DIEGO MALDONADO ROSAS

@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF9kYXRlIiwic2V0dGluZ3MiOnsiYmVmb3JlIjoiIiwiYWZ0ZXIiOiIiLCJkYXRlX2Zvcm1hdCI6Ik0gaiwgWSIsImN1c3RvbV9kYXRlX2Zvcm1hdCI6IiJ9fQ==@

在过去的几个月里,我有幸参与柏林,使几家公司的政策和流程适应新的数据保护总规则(GDPR)。我已经看到了公司内部的辩论以及营销,法律,技术和商业部门之间不断的拉锯战。

一直没有一个和平的主题,每个区域始终有其目的,他们并不总是一致的:市场倾向于相信总有一个“合法利益”的理由未经事先同意发送邮件从第三方购买的邮件列表,商业面积将认为在购买产品有兴趣的表示同意延伸到接收其他不同的产品报价中,IT部门将声称它是不可能提供的网站没有cookies或这样或那样的变化不会对路线图应该推迟到2020年,和法律领域无法避免上述所有要求,不仅移动手指没有可能尚未指定数据保护官员的批准。

在任一方向的决策能有上百万的后果,或者是由于具有严格的执行标准限制了空间的作用,从而恢复公司或因草率解释标准和灵活的最终可导致罚款高达全球年收入的4%,即2000万欧元(以较高的数字为准)。

范式的转变很明显。个人数据的处理现在是一种活动,只有在六个法律条件中的任何一个条件下构建时才允许这样做。也就是说,我们从一个有限制的许可系统转变为限制性系统,但有例外。

处理个人数据的六个条件是:

a)利益方同意为一个或多个特定目的处理其个人数据;

b)处理是执行合同的必要条件,在该合同中,利害关系方是当事方,或者在合同要求时采用合同前措施;

c)必须遵守适用于控制人的法律义务;

d)必须采取治疗措施,以保护利害关系方或其他自然人的切身利益;

e)为履行为公共利益或行使赋予控制人的公共权力而执行的任务,必须进行处理;

F)的处理是必要的控制器或第三方追求合法利益的目的,只要这种利益不会因数据主体的需要个人数据保护的利益或基本权利和自由覆盖,特别是当有关方是小孩的时候。

该标准还考虑了一系列限制和限制,将个人数据传输到国际电联以外的地区,以及欧洲委员会未被视为适当保护提供者的国家。

在拉丁美洲,只有阿根廷和乌拉圭得到了有利的认可。通过这种方式,只有当公司能够证明以下情况时,才应转移到包括智利在内的其他拉丁美洲国家的欧洲数据传输:

1.数据处理在所提到的六个条件中的至少一个内构成。示例:相关方的明确同意

2.数据处理提供充分的保障,并规定利益相关方拥有可执行的权利和有效的法律行动。示例:存在与欧盟委员会批准的标准条款的合同。 (列于第46条)

然后应该问以下问题:

    您在智利的公司是否持有欧盟境内居民的个人数据?
    您是否可以在合法处理数据的任何法律依据假设中构建自己?
    这种治疗是否提供了第46条规定所要求的充分保障?

证明遵守这些条件并不总是显而易见的,并且将取决于所讨论的个人数据的类型,所述治疗的目的以及框架的背景。我很遗憾地告诉你,公司越大,分析就越复杂。但我向你保证这是一项有趣的任务。

迭戈阿尔贝托马尔多纳多罗萨斯

律师,Puc智利

图片来自Frank Buschman smeders.nl

订阅我们的时事通讯

Direcciones

Málaga 85, oficina 201, Las Condes, Santiago.Av. da República 45, 8.˚ Dto. 1050-187 Lisboa, Portugal.
contacto@apparcel.cl
+56 2 3270 7912+56 9 5940 6096+351 936700374