¿Sabías que el dato tiene un ciclo vital? ¿Que nace, se compila, se analiza, se usa, y que al final, tarde o temprano, debe “morir” y borrarse? ¿Sabías que hay diversos tipos de datos y que cada uno debe protegerse de una manera en particular?
Estas preguntas tienen todo que ver con la charla sobre la Ley de Protección de Datos que dictó Andrés Pumarino, abogado especialista en seguridad de la información, en el Digital Innovation Cybersecurity 2022, un encuentro realizado por TIVIT que reunió a importantes expertos y compañías tecnológicas de toda la región latinoamericana.
Pumarino habló de los datos, de su composición, definición, y, sobre todo, de los esfuerzos que se están haciendo para protegerlos, de las leyes de seguridad de datos que se están construyendo y de cómo pueden cambiar la manera en que viven las personas y operan las empresas en el mundo.
Hoy los datos son el principal activo de las organizaciones, requieren un cuidado y protección especial. Gracias a estos insumos es posible, entre otras cosas, encaminar a las organizaciones hacia decisiones más acertadas que permitan incrementar su rendimiento y productividad.
¿Cómo lograr un entorno ciberseguro? Mira estas experiencias de empresas en Latam?
¿Qué nos dice la ley de protección de datos?
Europa marcó el camino con la creación del GDPR (Reglamento Europeo de Protección de Datos Personales, por sus siglas en inglés) en la década de los ochenta, un instrumento innovador para ese momento.
Pero en América Latina, a diferencia de lo que sucede en bloques como la Unión Europea, hace falta homogeneizar las regulaciones de protección de datos, dotándolos de mayor contundencia
Es así como los Estados de la región ahora buscan garantizar legislaciones en ese camino. Estos son algunos ejemplos que citó el abogado especialista en ciberseguridad, durante el Digital Innovation Cybersecurity:
Chile es uno de los casos más interesantes. El país busca reestructurar la Ley 19.628 de 1999, un tema que, para Paulina Castro, directora del área de Tecnologías de la Información en Pagbam Schwencke, Chile, está siendo primordial en la redacción de la próxima Constitución Política del país.
Seguramente, la nueva norma chilena entrará en vigencia durante el primer semestre de 2023 y traerá responsabilidades que todas las empresas deben conocer. Así fueron resumidas por Pumarino:
Te recomendamos: Los retos de la seguridad cibernética en empresas
Claves de la nueva regulación chilena de protección de datos
- Chile se sumará a la OCDE en materia de protección de datos, compromiso que se adquirió hace unos años. Esto implicará nuevos estándares de seguridad y protección.
- Los derechos de acceso de los datos siguen siendo de los titulares. Las empresas que capturan los datos deberán permitir que los titulares accedan a ellos y responder a las peticiones de rectificación o eliminación.
- Se creará un nuevo regulador, la Agencia de Protección de Datos Personales, que a su vez deberá crear nuevo reglamento y posiblemente sanciones
Chile incorporará nuevas multas por el incumplimiento de su reglamentación. Lo que se conoce, adelantó Pumarino, es que dichas sanciones podrían estar alrededor de los $600 millones de pesos.
“La norma trae que los titulares que se vean afectados por sus datos van a poder demandar o pedir una indemnización si eso les genera prejuicios. Además, eso no impide que la nueva agencia de regulación pueda incorporar multas por ese tema”.
Andrés Pumarino - Abogado especializado en seguridad de la información.
¿Quién está obligado a cumplir la ley de protección de datos?
Las compañías afrontan, con la nueva regulación, una serie de desafíos que no pueden obviar si quieren continuar operando nacionalmente y con la oportunidad de expandirse internacionalmente. Algunas de las claves que dejó Pumarino para ellas fueron:
- Generar políticas de privacidad.
- Elaborar acciones concretas en la organización desde el punto de vista de áreas encargadas específicamente de este tema.
- Asignar responsables que abarquen lo técnico, lo organizacional y lo legal.
- Revisar contratos de personal y subcontratistas para que este personal, que tiene acceso a la información, sea apto.
- Trabajar con estándares internacionales: la ISO 27000, que será clave para hacer negocios con Europa. Y estar actualizados con los cambios en esas normas.
- Automatizar procesos.
- Tener una clara gobernanza de los datos: quién los maneja, quién tiene acceso a ellos, donde se encuentran. Son preguntas que hay que responder desde la génesis.
Las compañías deben estar consultando porque la norma dará poco tiempo para actualizar toda la infraestructura legal y tecnológica, y cumplir con el nuevo estándar de datos.
La implementación de la ley tendrá que implicar una revisión de los contratos, de las normas internas y estándares de seguridad, pero, también, de la cultura de ciberseguridad.
La actualización de la normativa en ciberseguridad es un escenario por el que está atravesando el mundo entero, recalcó Pumarino en el Digital Innovation Cybersecurity 2022. Chile y Latinoamérica no son la excepción.
Actualízate con las tendencias e inversión en ciberseguridad empresarial ➦
Un recorrido histórico para la protección de datos
Del valor de los datos se viene hablando hace mucho tiempo. En su charla, Pumarino recordó por ejemplo que en 1983 la revista Der Spiegel publicaba que el Tribunal Constitucional alemán consideraba la protección de los datos como algo relevante y que el Estado debía protegerlo.
“Los datos tienen un valor. Un valor que nos permite identificar prospectos de clientes, tendencias de consumo, qué compramos, cómo compramos, y en el caso chileno, la cédula de identidad, que es un dato, nos permite identificar las tendencias de comportamiento de las personas”.
Andrés Pumarino, abogado experto en seguridad de la información.
Suecia, por su parte, contempló en 1973 el almacenamiento de datos personales por medios automatizados con previa autorización a través de la Data Lag de 1973/289, y Estados Unidos, un año después, abarcó en la Privacy Act el derecho de privacidad de sus habitantes.
En América Latina, la legislación chilena fue quien tomó la delantera a la hora de regular la protección de los datos con la Ley 19628 de 1999, estrategia que fue replicada en Argentina con la Ley 25326 del 2000. La tendencia continuó en el nuevo siglo, cuando Colombia decretó la Ley 1581 en 2012 y Brasil puso en funcionamiento la Ley 13.709, en el año 2020.
Todos estos marcos, ahora mismo en procesos de actualización, tienen un mismo propósito: proteger los derechos fundamentales de las personas en medio de un escenario tecnológico supremamente cambiante.
Actualízate con este y más temas sobre ciberseguridad empresarial con más de 20 expertos y siete charlas del Digital Innovation Cybersecurity 2022, ¡clic para acceder gratis ahora!
Suscribete