Getty Images/iStockphoto
Panorama de la protección de datos empresarial en Chile y AL
Si bien la legislación sobre protección de datos personales en Chile y Latinoamérica no es tan completa como la de Europa o EE.UU., se está trabajando para actualizarla, señalan expertos, quienes ofrecen algunos consejos para la correcta gestión de sus datos empresariales.
El acelerado desarrollo tecnológico que hemos vivido en los últimos años y el consiguiente crecimiento exponencial de la información que se maneja y almacena digitalmente ha llevado a que muchos gobiernos se hayan planteado la necesidad de regular adecuadamente y establecer normativas legales para la correcta protección de los datos por parte de las empresas.
En Chile, la ley 19.628, promulgada en 1999, es la que regula el trato de los datos de carácter personal, en registros o bancos de datos, por organismos públicos o privados. Y no son pocos los que critican que hoy en día está bastante obsoleta. A juicio de José Luis Gutiérrez, arquitecto de soluciones de ciberseguridad de CoasinLogicalis, en Chile se partió muy atrasado respecto a otros países sobre la legislación de la protección de datos personales, incluso comparativamente con naciones de la misma región.
“La creación y promulgación de la Ley 19.628 ha sufrido múltiples modificaciones para enmendar vacíos legales que permitían la discriminación y vulneración que sufrieron los ciudadanos producto del tráfico de los datos personales. Es así como nacieron las leyes parches, tales como la Ley 19.812 (2002) que modificó la ley 16.628 y el Código del Trabajo para la no utilización de datos financieros como parte de los procesos de selección; la Ley 20.463 (2010); la Ley 20.521 (2011); y la Ley 20.575 (2012), conocida como ‘Ley DICOM’, que tuvo el propósito de evitar el abuso en el tratamiento de datos personales por parte de ‘las entidades’, en referencia en ese entonces a Equifax. Para el 2020 esperamos tener una nueva modificación del actual régimen de protección de datos personales, la más importante desde la Ley 19.628, necesaria y profundizada con el escenario de covid-19”, sostiene.
En esta misma línea, para Walter Montenegro, gerente de ciberseguridad de Cisco Chile: “Las empresas claramente se acogen a la legislación vigente, la cual no es lo suficientemente estricta para los tiempos que vivimos. No obstante, para segmentos más tradicionales de tratamiento de datos, como la salud o el sector financiero, se intenta mantener la protección adecuada, la cual tampoco es bien lograda en algunos casos. Como ejemplo, ha estado bien discutido estas últimas semanas el tratamiento de datos a raíz del covid-19, y hemos visto cómo aplicaciones de salud han quedado cuestionadas justamente por este tema”.
A la escasa actualización que se observa en la normativa vigente, se suma otro elemento negativo que se basa en que muchas compañías de gran tamaño han abordado ya el tema, generando políticas y procedimientos, pero las más pequeñas aún no han avanzado de la misma manera.
“Las empresas grandes, multinacionales, a través de sus conexiones con los headquarters o áreas corporativas, que están en países donde este tipo de leyes o protección de datos son mucho más estrictas, requieren que todas las sucursales que están asociadas a esta casa matriz tengan que cumplir con la protección de datos. Sobre todo, las que tienen casa matriz en Europa o Estados Unidos. Este tipo de firmas han tenido que hacer un proceso de proteger los datos personales de las personas, salvaguardando la integridad de ellos y también colocando algunos controles de seguridad que impidan la sustracción de los mismos”, comenta Cristián Cabezas, director de soluciones de NTT Ltd.
En el caso de las empresas más pequeñas, explica el ejecutivo, la situación es distinta. “Deben tener un responsable que haga esto, contar con una metodología de cómo hacerlo y en algunos casos contratar a alguna empresa externa para que les ayude. Dada la situación actual, es más complicado que estas organizaciones se sumen al tema de la protección de datos, que implica generar muchas iniciativas internas de control y de manejo de la data, así como también el cómo se comparte y quién es el responsable de hacerlo”.
Los datos en la era digital
No cabe duda de que la acelerada digitalización de los negocios de hoy ha fomentado la discusión sobre la problemática de los datos personales y ha llevado a la redacción de nuevas normativas, siguiendo las realidades de cada industria y país.
“Aunque las organizaciones están obligadas a dar cumplimiento a estos requisitos, la confianza en el entorno digital no ha tenido una buena racha últimamente, dadas las continuas brechas de seguridad. A pesar de los esfuerzos, el cambio ha sido lento, y lamentablemente aún no han supuesto una significativa diferencia positiva. El problema crece debido a la cantidad de información que se maneja en la actualidad, tanto por empresas privadas como públicas, desde redes sociales a los dispositivos IoT que recopilan y comparten datos, que son potencialmente sensibles para individuos, empresas y estados. Aunado a lo anterior, el mercado de datos crece en valor, debido al potencial en el uso de esta información. Basta recordar el caso de Cambridge Analytica, donde científicos de datos fueron capaces de transformar encuestas y alterar la intención del voto a partir de la elaboración de perfiles psicográficos de usuarios de Facebook”, indica Miguel Ángel Mendoza, especialista de seguridad de ESET Latinoamérica.
A juicio de Cristián López Urbina, CEO de VainaTec, el tratamiento de los datos personales ha adquirido una particular importancia con el creciente avance de las tecnologías y el continuo traspaso de información, siendo una materia de regulación permanente en diferentes países. “El cumplimiento de esto se basa en las responsabilidades que una empresa puede tener y que se rige por dos figuras: titular de los datos de carácter personal y responsable del registro o banco de datos. Así, las entidades que puedan ser calificadas como responsables del registro de datos, de acuerdo con la legislación vigente, están determinadas con base en los principios de: Licitud, Finalidad, Proporcionalidad, Exactitud, Actualidad o Calidad, Seguridad de los datos, Información y Temporalidad. El panorama actual exige que se garantice con evidencia el cumplimiento de los principios y se implementen los mecanismos suficientes y necesarios manuales o tecnológicos para ello”, advierte.
Consejos para cumplir con las regulaciones
En opinión de algunos expertos, las compañías en general no son capaces de proteger fielmente los datos de usuarios y clientes, o lo hacen de manera insuficiente. Por esta razón, Mendoza, de ESET Latinoamérica, sostiene que para lograr el ejercicio efectivo de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición): “Se debe contar con la infraestructura, los procedimientos y el personal idóneo para estas tareas. En otras palabras, se debe apuntar a que las organizaciones cuenten con sistemas de gestión de seguridad de datos personales (SGSDP). El objetivo de estos sistemas es organizar los esfuerzos e iniciativas en materia de protección de datos. Como resultado, también pueden impulsarse otras acciones, como implementar sistemas de gestión de seguridad de la información (SGSI), donde se protege toda la información que es de interés para las empresas, no solo los datos personales. De este modo, se incrementa el nivel de seguridad dentro de la organización, al mismo tiempo que se da cumplimiento a las legislaciones y reglamentos”.
Otra demanda de la industria se relaciona con la necesidad de modernizar la legislación en la materia. En este sentido, Gutiérrez, de CoasinLogicalis, resalta que se requiere una reforma integral a la ley actual. “La normativa GDPR para la protección de datos personales conlleva el cambio más profundo hasta la fecha en lo que a protección de datos de ciudadanos se refiere. Define claramente los mecanismos de almacenamiento, procesamiento, acceso, transferencia y divulgación de datos, y lo más importante: define “responsables” y altas multas para quienes no cumplan. Sin embargo, esto no aplica a la generalidad de Chile, dado que afecta a organizaciones con presencia física en al menos un país miembro de la Unión Europea; organizaciones que procesan o almacenan datos sobre individuos que residen en la UE; y organizaciones que utilizan servicios de terceros que procesan o almacenan información sobre individuos que residen en la Unión Europea. Muchos países han tomado GDPR como modelo para la construcción de una sólida regulación para la protección de datos personales. En Chile, necesitamos de una regulación similar que obligue a las organizaciones y al mundo empresarial a tomar medidas profundas que garanticen la protección de datos, algo que a la fecha no ocurre”, dice.
Respecto del factor humano y empleo de las tecnologías, existe también un consenso entre los ejecutivos acerca de la importancia de contar con personal calificado, estándares y herramientas que aseguren a clientes y usuarios un correcto manejo de su información privada. “Sin duda, hay que invertir en tecnologías y capacitación. Por el lado de las tecnologías, hay que implementar sistemas de clasificación de información; herramientas de análisis de datos e invertir en seguridad sobre la información que exponen los servicios que se liberan hacia internet (ethical hacking, pentest, análisis de código y vulnerabilidades). De igual forma, hay que hacer evaluaciones de seguridad y compliance que permitan llevar a cabo el cumplimiento”, destaca Marcelo Díaz, CEO de MAKROS.
En concordancia, Cabezas, de NTT Ltd, dice las empresas deben contar con un encargado de protección de datos que gestione la documentación de los procedimientos internos de la acción de recibir, procesar, almacenar y compartir los datos. “Además, garantizar el análisis del riesgo del tratamiento de los datos, así como las medidas y controles de seguridad para garantizar el correcto uso de estos respecto a la base jurídica y la prevención ante eventuales ciberataques”, concluye.