La urgencia de crear una cultura de protección de datos personales

Por Juan Pablo González Gutiérrez, Cyber Legal Senior Manager de Deloitte

En el marco del Día Internacional de la Protección de Datos Personales, es importante evaluar cómo sorteamos el 2020 las instituciones, en medio de un proceso de teletrabajo acelerado al que nos vimos abruptamente enfrentados debido a la pandemia. Y es en este contexto, que el manejo de los datos personales se ha vuelto un tema central en la discusión local y global.

El Covid-19 nos ha obligado a replantear nuestra manera de trabajar. Debimos trasladar nuestras oficinas a nuestros hogares, y con ello se ha creado un nuevo tipo de exposición y riesgos, por ejemplo, el posible acceso no autorizado de terceros a datos personales de clientes, debido al uso de dispositivos que no cuentan con estándares de seguridad.

Este proceso acelerado ha provocado, sin duda, que todas las instituciones deban ser más proactivas en dictar e implementar políticas de privacidad y confidencialidad en el manejo de los datos personales de sus colaboradores y también de los que obtienen a través de diversas operaciones cotidianas, como contrataciones, postulaciones o comunicaciones, entre otras.

El balance entre crear una cultura de protección de datos personales y el respeto de los derechos de los miembros de una compañía o institución no es fácil. Por una parte, la organización requiere de la trazabilidad en el manejo de los datos personales que fluyen en sus inmediaciones, por otro lado, algunos miembros de estas son reacios a entregarlos o derechamente, no aplican dichas políticas para resguardarlos de manera efectiva.

Sin lugar a duda, el desafío es la creación de una cultura de datos personales transversal al interior de estas. La legislación internacional -específicamente el Reglamento Europeo de Protección de Datos Personales- va en aquella línea, que busca resguardar la información personal de la organización y de sus funcionarios.

Por otra parte, la labor reactiva ante eventuales incidentes de seguridad sobre las bases de datos ha cobrado relevancia por diferentes hechos noticiosos, pero, además, porque han aumentado los tipos de ciberataque en este período.

Desde el plano regulatorio, distintas normativas e iniciativas en consulta pública obligan a las instituciones a ser proactivas y reportar las brechas de seguridad. Si bien, cada una de estas iniciativas fijan plazos diversos para realizar el reporte, todas coinciden en que para informar se debe tener un conocimiento acabado de las bases de datos y otros activos de información que manejan las empresas e instituciones, así como los procesos al interior de ellas, para identificar el nivel de riesgo y criticidad de la vulneración. En este trabajo, los equipos interdisciplinarios son esenciales, puesto que permite tener una visión holística del asunto, no solo desde el ámbito legal o técnico, sino también estratégico.

Múltiples actores estamos expectantes ante la tramitación del proyecto de ley de Protección de Datos Personales que está hoy en el Congreso, el cual se acerca a los estándares internacionales, lo que sería muy positivo para nuestro país. Sin embargo, es importante adelantarnos y crear desde ya la cultura de protección de datos personales dentro de cada compañía o institución. De esta manera, podremos evitar una pérdida de competitividad en ciertos mercados una vez publicada la ley.