IMPORTANCIA DE EVALUAR LOS RIESGOS DE TRATAMIENTO Y EL IMPACTO DE LA PROTECCIÓN DE DATOS PERSONALES EN LAS PERSONAS
Desafortunadamente aún hoy en día, casi once años después de haber sido promulgada la Ley 1581 para la Protección de Datos Personales, la dirección de las organizaciones sigue preguntando ¿Qué es eso de proteger los datos personales?, ¿Acaso no tenemos antivirus para estar protegidos?, y ¿Qué hay de nuestros procedimientos internos, acaso no son suficientes? Tales cuestionamientos, que siguen siendo tan comunes entre muchas entidades, nos hace reflexionar y entender que la protección de datos personales ha sido interpretada netamente como un acto obligatorio producto de la burocracia de un gobierno y no como una necesidad que debe establecerse como meta.
Por lo anterior es que, parece oportuno considerar más bien el impacto de la protección de datos en las personas, alejándonos un poco de lo reglamentario, y orientándonos más a entender los altos riesgos que implica el tratamiento de datos personales y el efecto adverso que suele tener tanto en los procesos internos de la organización como en el bienestar de los Titulares.
Generalmente el término riesgo lo asociamos a la probabilidad de que se produzca un daño potencial a las personas, producto de la gravedad de un determinado incidente, tal probabilidad va asociada con la capacidad de mantener o no la integridad, disponibilidad y confidencialidad de los datos, y de asegurar que, a pesar que se produzca un incidente, el Titular siempre tendrá la garantía para acceder a sus derechos y libertades.
Con base en lo anterior, consideremos como ejemplo la relación que tiene el DANE con los personas durante el proceso del Censo. El DANE le informa a cada ciudadano que sus datos serán tratados con total privacidad, que ninguna persona u organización ya sea pública o privada,(así cuente con orden Judicial), podrá acceder a ella y que el uso que se le dará a los datos será netamente estadístico. Ahora bien, si observamos los procesos internos del DANE concluiremos que estos son rigurosos, contando con políticas, protocolos y procedimientos completos que aseguran su continuidad, manteniendo esquemas de seguridad robustos tanto para el área física como para los sistemas de información, y ello sumado a que es la misma Ley la que respalda lo que dicen.
Así las cosas, cualquiera podría decir que con ello cumplen con la protección de datos personales, sin embargo, eso no puede ser aseverado sin antes analizar los riesgos en el tratamiento, sin evaluar el impacto de la protección de datos en los Titulares, y sin observar con lupa cuál es la forma en que ellos pretenden mitigar y/o minimizar tales riesgos y sus efectos.
Al analizar los datos capturados se observa que: su finalidad es netamente estadística; por tanto, el hecho que en algún momento los datos no sean “íntegros” o que no estén “disponibles” sea por borrado o destrucción, no afecta de ninguna manera los derechos y libertades del Titular; no obstante, cuando la variable “confidencialidad” se ve comprometida aparece un verdadero problema. El hecho que los formularios diligenciados durante el censo puedan ser copiados, en el origen por el encuestador, en el proceso de traslado a los puntos de acopio por el transportador, o en los centros de almacenamiento temporal a través de los encargados de manejo y vigilancia, o que puedan ser desviados de su destino durante el proceso de disposición y/o destrucción, es un verdadero dolor de cabeza; sumado a ello se debe considerar el riesgo que los datos capturados eventualmente puedan ser replicados durante las actividades de digitalización y/o tratamiento previo al proceso de anonimización.
Así entonces aparecen una y otra vez factores de riesgo que hacen que se incremente la probabilidad de afectación al Titular; pues, si la totalidad de sus datos incluyendo los íntimos están consignados en los formularios mencionados, y si existen manos inescrupulosas que quieren acceder a ellos, entonces él podría ver comprometido el bienestar y la seguridad tanto propia como de su familia.
Es en este momento cuando se deben observar las acciones que ejecuta el DANE para evitar que lo anterior suceda: El uso de dispositivos GPS de supervisión de campo que alertan a los coordinadores ,cuando los encuestadores o transportadores se desvían de su ruta, la coordinación humana que verifica y registra la ejecución de las tareas del encuestador y/o del transportador, el uso de precintos de seguridad que impiden abrir los sobres o paquetes con formularios, o sellan los mismos justo después de la recopilación de datos, los dispositivos digitales de captura que ocultan los campos de datos una vez estos se consignan, los digitalizadores autónomos que procesan la información sin intervención humana y luego la anonimizan automáticamente, los procedimientos a seguir cuando aparecen inconsistencias en las cifras de la labor ejecutada, sumado a acciones técnicas y administrativas de control son los elementos que hacen parte del análisis.
Es entonces que se puede concluir que, la protección de datos personales va más allá de disponer de una política, un manual, y de establecer ciertas directrices de seguridad informática. Su finalidad es que haya compromiso hacia los Titulares para que:
- Se implemente juiciosamente las normas de la Ley
- Se acaten las diferentes directrices de la SIC
- Se enfoque la gestión en garantizar y asegurar los derechos de los titulares de la información
- Se vincule a los procesos internos los análisis de riesgos, los estudios del impacto del tratamiento y las medidas de mitigación de los mismos
- Se forme y capacite al personal, todo ello sin descuidar la seguridad física e informática; desechando permanentemente la tendencia a mostrar lo que se ha hecho, y más bien tomando como meta principal el no fallarle ni al Titular ni a la Sociedad.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
