Durante los últimos 4 años las regulaciones de privacidad y protección de datos, además de los requisitos de cumplimiento, se han disparado en todo el mundo, y estamos viendo a las organizaciones luchando por diseñar, construir y sostener programas de privacidad que cumplan con las expectativas de las legislaciones aplicables, el regulador, los empleados y clientes.
En el contexto local no ha pasado desapercibido el tema; desde que un grupo de senadores iniciara la tramitación de un proyecto de ley en 2017, con el objetivo de modificar lo establecido por la Ley 19.628 sobre Protección de la Vida Privada, obteniendo como resultado el boletín N° 11144-07 que incorpora una serie de novedades alineadas al Reglamento General de Protección de Datos (GDPR), entre las que destacan:
• La consagración de una nueva fuente de legitimidad para el tratamiento de datos personales (interés legítimo).
• El aumento de los estándares de información a ser entregada al titular de datos, sobre todo respecto de las finalidades para las cuales se están recolectando sus datos.
• El establecimiento de multas a los responsables de datos que no cumplan sus obligaciones.
• La incorporación de un nuevo derecho de los titulares de datos, el derecho de portabilidad.
• La designación de una autoridad encargada de velar por el cumplimiento de la ley, que será el Consejo para la Transparencia.
Este pasará a denominarse Consejo para la Transparencia y Protección de Datos Personales.
Cabe destacar que, en el año 2018 a través de una reforma constitucional, se consagró como garantía constitucional autónoma el derecho a la protección de datos personales en Chile.
Bajo este contexto, estamos viendo desde mediados de 2018 un creciente interés en los clientes en Chile (especialmente en el sector financiero, asegurador y retail) por avanzar en definiciones concretas para anticiparse a la aprobación del proyecto de ley y posterior promulgación de la ley definitiva.
¿Cuáles son los desafíos claves?
Ya en terreno, hemos identificado que los principales retos están dados por:
• Entendimiento de la alta dirección, en referencia a la envergadura de las transformaciones que supondrá la ley de privacidad en la cadena de valor de las organizaciones y su modelo operativo (procesos, personas, tecnología, datos, seguridad, cumplimiento). En este punto consideramos que, el Capítulo RAN 20 – 10 para la Gestión de Seguridad de la Información y Ciberseguridad, en su sección “Elementos generales de gestión”, favorecerá al sector financiero; a un mejor involucramiento y compromiso del Directorio con la privacidad y protección de datos en el contexto de un Sistema de Gestión de Seguridad de la Información y Ciberseguridad.
• Conformación del esquema de gobierno de la Oficina de Privacidad y el rol de CISO. En esta línea vemos que se está dando más preponderancia a quienes ejercen funciones en la definición del gobierno de datos, dejando a un lado al CISO.
• Se deberán ampliar las definiciones del gobierno de seguridad de la información y ciberseguridad para garantizar el resguardo de la privacidad de los datos y el cumplimiento de los siete principios de privacidad por diseño. Por ejemplo, en la identificación del perfil de amenazas de la compañía se deberán considerar amenazas que puedan poner en riesgo la privacidad de datos, por ende, surgirán nuevos riesgos y controles tendientes a mitigarlos.
• El inventario de datos personales pondrá a prueba a aquellas organizaciones que transitaron una clasificación de activos de información de la que desconocen sus principales fuentes de datos personales (uso, flujo y almacenamiento). Del mismo modo, sucede con la gestión de riesgos aplicada al inventario de datos personales. En la práctica ayudamos a los clientes a considerar el aprendizaje y metodologías utilizados en la clasificación de activos y gestión de riesgos (basados en ISO 27001, ISO 27701, ISO 27005, Magerit, etc.), para extrapolar las demandas del proyecto de ley.
• La gestión de incidentes es una capacidad que deberá “aceitarse”, pues el proyecto de ley define tiempos de respuesta específicos ante un incidente que ponga en riesgo la privacidad de los datos. En este punto, vemos una ventaja importante en el sector financiero y asegurador local en referencia a otros sectores, pues esta capacidad es mandatoria por los reguladores CMF, Superintendencia de Pensiones, y Superintendencia de Valores y Seguros.
¿Pero qué significa “aceitar” la capacidad de la gestión de incidentes en el plano de la ciberseguridad?
– Mejorar la protección contra fuga de información de nuestras organizaciones.
– Mejorar la seguridad frente amenazas avanzadas.
– Mejorar la seguridad en los flujos de datos personales.
– Mejorar la seguridad en los canales de interacción con clientes.
– Concientizar a empleados y clientes constantemente, entre otros.
– En dos palabras: inversión y profundización.
En el plano laboral hay una apuesta por que el proyecto de ley se sancione y entre en vigor durante 2020, pero los acontecimientos locales y globales parecen atentar con la agenda. Pese a lo anterior, hace un par de semanas las noticias daban cuenta de un incremento de un 300% en los ataques de phishing a entidades financieras y AFPs, poniendo en riesgo la privacidad de nuestros datos como nunca antes.
