El 26 de agosto el Congreso Nacional aprobó el proyecto de Ley de Datos Personales. Si bien considera 24 meses de adecuación, desde su publicación en el diario oficial, para quienes han tenido la oportunidad de trabajar, operativizar e implementar proyectos de esta naturaleza, es sabido que este plazo es ajustado, sobre todo para aquellas empresas que utilizan una gran cantidad de datos.
Algunos factores que apoyan dicha hipótesis, se refieren a que el foco actualmente está puesto en proyectos de transformación digital. Además, existe falta de experiencia en los equipos de trabajo en conceptos de privacidad y protección; muchas veces la cultura organizacional es patológica o burocrática. También, la falta de apoyo de la alta dirección y de comunicación o colaboración entre el delegado de protección de datos (DPO) y el CISO puede hacer que este tipo de proyectos se extiendan. A su vez, podría existir un bajo entendimiento de los framework de privacidad (ISO 27.700) y su relación con los framework de seguridad de información (ISO 27.001 e ISO 27.002); o una falta de empoderamiento del DPO, de los controladores y procesadores; y de múltiples procesadores PII externos, entre otros.
En esta etapa, un aspecto estratégico tiene que ver con establecer una gobernabilidad en protección de datos, que permita a las empresas cumplir con la ley, mejorar la gestión de riesgos de privacidad, y hacer de la privacidad y protección de datos una ventaja competitiva, reduciendo el riesgo de incidentes con compromiso de datos personales.
Una gobernanza adecuada, debiera considerar la existencia de los siguientes elementos:
Definición del rol del directorio y líneas de defensa
Resulta necesario definir claramente el rol del directorio y las instancias de comunicación. Sus miembros deben monitorear la implementación de la ley, lo cual implica supervisar el avance de la implementación de la estrategia de protección de datos; y el rol y responsabilidades de la primera línea de defensa, unidades de negocio, controladores y procesadores PII, dueños de datos y gestores de riesgos asociados con información personal.
Las funciones de segunda línea, como la gestión de riesgos, compliance y ciberseguridad, deben abocarse al aseguramiento de la protección de los datos, al igual que las labores de la auditoría interna, como una unidad independiente y la tercera línea de defensa.
Estrategia de privacidad para la protección de datos
La estrategia de privacidad debe considerar la línea de base que tiene la organización y a la que aspira en un horizonte de tiempo, que no debe ser superior a dos años, por lo mencionado en la ley. Se debe tener claridad del marco de protección de datos ISO 27.701, que incluye 31 controles para los controladores PII, 18 controles para los procesadores PII y la relación con los 94 controles de la ISO 27.002.
Cultura en protección de datos
La importancia que se le dé a la cultura organizacional y protección de datos es un factor diferenciador, para el éxito de la implementación del programa y en la detección temprana de cualquier incidente con compromiso de datos personales.
De los 3.348 incidentes registrados en la industria financiera en 2023, el 75% fue con compromiso de datos personales, según Verizon. En el 78% de ellos, se utilizó la ingeniería social como patrón de ataque, por lo que contar una cultura en protección datos adecuada permitirá gestionar de mejor manera los riesgos y evitar las multas.
Modelos de ética
La utilización de datos personales en la economía digital implica desafíos éticos enormes, debido a la cantidad de algoritmos de machine learning utilizados para modelos predictivos. Implementar marcos de ética, bajo las teorías del principialismo, es lo más indicado, por lo que principios como la beneficencia, la no maleficencia, la autonomía, la justicia y explicabilidad deben ser elementos a considerar.
Definir los roles y responsabilidades del DPO
La posición del DPO debe ser gerencial, ya que tendrá que relacionarse con la agencia de protección de datos, dirigir y liderar la implementación de la estrategia, y promover el desarrollo e implementación de las políticas y procedimientos de privacidad de la organización, y para los medios de comunicación y los grupos de interés en temas de protección de datos y privacidad.
Sumado a ello, es fundamental definir los roles y capacitar al controlador y procesador de datos. El primero garantizará el uso e intercambio seguro de la información, y el procesador (interno o externo), deberá procesar los datos en nombre del controlador.
Políticas y procedimientos de protección de datos
Bajo el liderazgo del DPO, la organización debe reunir documentación para obtener evidencia y demostrar el funcionamiento de un adecuado programa de privacidad y protección de datos, el cual considera la política de privacidad, el aviso de privacidad, la política de consentimiento, la política de privacidad relacionada a terceros y la política de protección de datos, entre otras.
Equipo Prensa
Portal Educa