Por José Antonio Lagos, CEO de Cybertrust Latam
Después de siete años de tramitación, el Congreso Nacional aprobó recientemente la Ley de Protección de Datos Personales. Y, si bien algunas compañías están tomando con calma su implementación, al considerar que hay 24 meses de adecuación desde su publicación en el Diario Oficial, el tiempo es acotado, sobre todo para aquellas empresas que utilizan una gran cantidad de datos.
El tiempo es acotado al considerar que el foco de muchas organizaciones está puesto actualmente en proyectos de transformación digital en general y no con detenimiento en la protección de datos y la ciberseguridad. Además, existe falta de experiencia en los equipos de trabajo en conceptos de privacidad y protección, ya que muchas veces la cultura organizacional de las empresas es patológica o burocrática. Además, hoy en día falta apoyo de la alta dirección en estos temas.
Por todos esos factores es de gran relevancia que las empresas comiencen hoy a avanzar en una estrategia para responder a las demandas que establece la nueva ley. Para esto, hay cinco factores clave a considerar.
El primero es la definición del rol del directorio y las líneas de defensa. Es el liderazgo el que debe impulsar el monitoreo de la implementación de la ley, con una supervisión continua del avance de la implementación de la estrategia de protección de datos. Así también, se debe determinar con precisión y claridad los roles y las responsabilidades de la primera línea de defensa, unidades de negocio, controladores y procesadores PII, dueños de datos y gestores de riesgos asociados con información personal. Las funciones de segunda línea, como la gestión de riesgos, compliance y ciberseguridad, deben abocarse al aseguramiento de la protección de los datos, al igual que las labores de la auditoría interna, como una unidad independiente y la tercera línea de defensa.
El segundo factor clave es la estrategia de privacidad para la protección de datos. Ésta debe considerar la línea de base que tiene la organización y a la que aspira en un horizonte de tiempo, que no debe ser superior a dos años, de acuerdo con lo mencionado en la ley.
En tercer lugar, la importancia que se le dé a la cultura organizacional y protección de datos es un factor diferenciador para el éxito de la implementación del programa y en la detección temprana de cualquier incidente con compromiso de datos personales. Un desafío importante al considerar que, de los 3.348 incidentes registrados en la industria financiera en 2023, el 75% fue con compromiso de datos personales, según Verizon. En el 78% de ellos, se utilizó la ingeniería social como patrón de ataque, por lo que contar una cultura en protección datos adecuada permitirá gestionar de mejor manera los riesgos y evitar las multas.
El cuarto elemento clave son los modelos de ética. La utilización de datos personales en la economía digital implica desafíos éticos enormes, debido a la cantidad de algoritmos de machine learning utilizados para modelos predictivos. Implementar marcos de ética, bajo las teorías del principialismo, es lo más indicado, por lo que principios como la beneficencia, la no maleficencia, la autonomía, la justicia y explicabilidad deben ser elementos a considerar.
Finalmente, es fundamental establecer políticas y procedimientos de protección de datos. La organización debe reunir documentación para obtener evidencia y demostrar el funcionamiento de un adecuado programa de privacidad y protección de datos.
El tiempo corre. Por lo tanto, las empresas deben comenzar a avanzar en estos cinco puntos clave lo antes posible.
Equipo Prensa
Portal Innova
