El artículo 8° de la Ley de Protección de Datos Personales (LDP) presenta deberes específicos para los Operadores de Importancia Vital (OIV), como implementar programas de capacitación, formación y educación continua para sus trabajadores y colaboradores, incluyendo campañas de ciberhigiene, con el propósito de potenciar las prácticas de seguridad en las empresas y mitigar los riesgos relacionados con la protección de datos y la ciberseguridad.
“La capacitación es parte clave de una cultura de protección de datos. La cultura en protección de datos representa los comportamientos, actitudes y prácticas adoptadas en las personas para protegerse de amenazas digitales y resguardar información sensible. Por lo tanto, el sensibilizar y fomentar el uso de las TICS para el desarrollo social y económico sin el respaldo de un plan de cultura en transformación de datos, implica un aumento en las posibilidades de ciber riesgo. La nueva normativa representa un importante avance para nuestro país en ese sentido”, explica José Antonio Lagos, CEO de Cybertrust Latam.
Los directores de empresas, entre las áreas que la normativa indica, deben prepararse en introducción a la Ley de Protección de Datos Personales y su impacto en la empresa; gobernanza de datos personales; gestión de brechas de datos y responsabilidad directiva; riesgos reputacionales y sanciones; integración de la privacidad en la estrategia de negocio y privacidad de datos como estrategia competitiva.
Asimismo, los gerentes de primera línea deben estar preparados con conocimientos básicos de LDP; derechos del propietario y responsabilidades de gestión; gestión del consentimiento y los datos sensibles; monitoreo y evaluación del cumplimiento; y gestión de incidencias desde una perspectiva administrativa.
Los empleados, en tanto, deben recibir formación general sobre cómo proteger los datos personales; derechos de los propietarios y rol de los colaboradores; buenas prácticas en la gestión de datos personales; buen uso de las herramientas tecnológicas; e impacto de la protección de datos en la experiencia del cliente.
La preparación en aspectos de ciberseguridad va más allá del interior de las empresas, pues la normativa también plantea la capacitación de proveedores y clientes. “Este es un aspecto muy importante de la nueva normativa, al tomar en cuenta que 84% de los errores de riesgo de terceros provocaron interrupciones de servicios en las operaciones, afectando la continuidad operacional de las empresas, según un estudio de Gartner del año 2022. En este escenario, las empresas deben crear una estrategia robusta de gestión de riesgos de terceros (TPRM)”.
En cuanto a los proveedores, la Ley de Protección de Datos Personales indica que deben prepararse en responsabilidad del encargado del tratamiento de datos; obligaciones contractuales y confidencialidad; reporte de vulneraciones y buenas prácticas en la protección de datos; cumplimiento normativo internacional; y trazabilidad y registro de actividades de tratamiento.
Por último, los clientes deben estar informados sobre sus derechos como titular de datos personales; consentimiento y tratamiento de sus datos personales; medidas de seguridad y protección de sus datos; cómo realizar solicitudes de ejercicio de derechos; y conocer los riesgos de no proteger sus datos.
