Por José Antonio Lagos, Socio
de ERS, CiberRisk de Deloitte.
Como toda nueva regulación, es necesario entender y conocer el impacto que la ley tendrá, sobre todo en un tema tan sensible últimamente como la privacidad de todos los ciudadanos. Esta acción de entendimiento permitirá desplegar en las organizaciones las actividades necesarias para dar cumplimiento a las distintas disposiciones de la ley. A modo de ejemplo, en España, la aplicación de la Ley de Protección de Datos de Carácter Personal (LOPD) generó multas por más de 15.000 millones de euros a diversas empresas del mercado español en sus primeros años de aplicación. Además, actualmente las multas superan los 22.000 millones de euros, por no cumplimiento de la normativa, siendo principalmente sancionadas las industrias de telecomunicaciones, energía, entidades financieras y servicios de Internet.
Si damos una mirada a nuestra Región, en lo que respecta a las regulaciones de protección de datos, claramente necesitamos lograr un mayor nivel de madurez. Países como Argentina, Colombia, Perú y México poseen regulaciones más robustas en estas materias.
Desde este punto de vista, es necesario mejorar nuestra normativa local, tanto sobre los derechos de las personas y deberes de las organizaciones en materias asociadas a la protección de sus datos, como también la institucionalidad para vigilar y monitorear el cumplimiento de esta nueva normativa. El anteproyecto de ley actualmente existente va en esa dirección.
¿Qué implica el nuevo proyecto?
El nuevo proyecto de Ley sobre Privacidad de Datos Personales, aún en estudio, impactará fuertemente a diversas industrias y empresas, no tan solo desde un punto de vista de seguridad o mecanismos de control, sino que tendrá impactos a nivel legal, tecnológico e incluso podría ser disruptivo dependiendo de la industria. La nueva regulación manifiesta aspectos de una nueva institucionalidad, como la creación de una agencia reguladora para la protección de datos, la notificación de bases de datos de privados y personas naturales a esta agencia, la figura de un oficial de protección de datos e infracciones al incumplimiento de la normativa con montos que podrían llegar hasta las 10.000 UTM.
Al analizar el anteproyecto de ley, podemos apreciar que el modelo de privacidad que probablemente nos regulará se parece más al modelo comprensivo o exhaustivo existente actualmente en la comunidad europea, más que el modelo sectorial de Estados Unidos o Japón. El modelo exhaustivo pretende tener claridad con respecto a las bases de datos que administran las empresas con información personal (PII, por su sigla en inglés), y en especial conocer el ciclo de vida de esta información, cómo se recolecta el dato, cómo se usa, cuál es la forma de retención y el tiempo, y cómo se elimina o destruye. Claramente la recopilación y documentación de lo mencionado anteriormente será laborioso para cualquier empresa.
Por otra parte y como las diversas leyes de protección de datos existentes alrededor del mundo, la regulación define ciertos principios básicos, como el principio de legitimidad y/o consentimiento, calidad del dato, finalidad, confidencialidad, derecho de acceso, rectificación, cancelación, posición, acceso a terceros y transferencia de datos a terceros.
La realidad local
En un estudio realizado por Deloitte a más de 60 empresas del mercado local, en relación a las políticas de seguridad y privacidad mencionadas en las páginas www, se observó la ausencia de aspectos de importancia al compararnos con nuestros vecinos, principalmente relacionados con la transferencia de datos hacia el extranjero, responsabilidad, calidad y acceso a terceros.
Solo 4 empresas del universo total comunica que realiza transferencia de datos hacia el extranjero, por otra parte solo 6 empresas (menos del 10%) refleja su responsabilidad y medidas necesarias para cumplir con los principios y obligaciones que la ley impone, como también los procedimientos de notificación a cualquier violación de los datos personales almacenados.
En relación al aspecto de calidad de los datos almacenados, solo 13 empresas, cerca del 19%, declara que el tratamiento de estos es exacto, actual y completo, incluyendo que estos se eliminarán cuando ya no sean utilizados para la finalidad original.
Un aspecto a destacar se relaciona con el principio de derecho de acceso y el de rectificación y/o cancelación, en donde cerca del 60% del universo declara estos principios, pero este porcentaje se reduce a la mitad en los principios de derecho de oposición y acceso a terceros (casi el 30%).
Nuestro estudio también evidenció cifras positivas para aspectos relacionados al consentimiento, finalidad y confidencialidad. De este modo más del 96% de las empresas, tratan los datos cuando el titular de los mismos da su autorización, un porcentaje muy similar expresa la causa de utilización de los datos, siendo estos para fines estadísticos, envío de información para novedades, promociones, etc., y un total de un 92% menciona que la información de los datos personales es accesada solo por personal autorizado y que además los responsables y encargados del tratamiento de los datos guardan secreto sobre estos.
Mejorando las políticas
Con la aprobación de la nueva ley, las organizaciones deberán mejorar considerablemente sus políticas de privacidad y protección de datos, como también definir planes de acción que deben estar encaminados hacia:
• Establecer un gobierno de privacidad de la información.
• Definir e implementar un proceso de clasificación de la información.
• Entender y documentar claramente el cómo, por qué y para qué se recolecta información sensible.
• Implementar los mecanismos de control necesarios para evitar la fuga de información, ya sea de carácter físico, procedimental o tecnológico.
• Definir políticas y procedimientos de incidentes ante fugas de información.
• Realizar una revisión de los aspectos legales y modificar los contratos que sean necesarios.
• Monitorear a tiempo el cumplimiento de la ley.
