¿Piensas que la protección de datos consiste tan solo en contar con una política u obtener las autorizaciones para el tratamiento de la información?

Que no te lleves una sorpresa. Existen múltiples aspectos involucrados en esa actividad. 

Diferentes tipos de fallas humanas, técnicas y administrativas pueden presentarse en el ejercicio diario de las actividades en tu organización. Estar preparado para enfrentarlas es vital para tu empresa, entonces no subestimes la necesidad de implementar un sistema integral de tratamiento de datos personales. Veamos algunas obligaciones que toda organización requiere considerar dentro de su gestión.

1. Se deben prevenir las brechas de seguridad por falta de cifrado; ello se logra a través de  políticas y medidas para la codificación de la información almacenada; así se evitará dejar vulnerable o expuesta la información de la organización ante amenazas externas.
2. Se debe minimizar al máximo la posibilidad de acceso no autorizado a datos privados, en especial aquellos que son sensibles; por lo tanto, se necesitarán controles de acceso adecuados para impedir que empleados no autorizados consulten, alteren o copien datos reservados manejados por ciertas áreas de la  empresa. 
3. En necesario controlar todos los dispositivos que se usan en la organización, en especial los asignados a tareas de campo, como serían laptops o dispositivos móviles. Si ellos se extravían, si son robados, o si no cuentan con una administración de seguridad adecuada la organización podría verse involucrada en negligencia corporativa en seguridad de la información, lo cual acarrea onerosas sanciones.
4. Es indispensable prevenir el “Phishing” y los ataques de ingeniería social. Esto se logra a través de la capacitación permanente de los empleados, de esta manera se evitará que tales funcionarios caigan en trampas o sean engañados para que faciliten el acceso a los sistemas informáticos de la organización.
5. También se debe considerar disponer de protección contra el Malware y el “Ransomware”, así se prevendrán infecciones fatales de los sistemas informáticos, las que generalmente involucran borrado de datos, corrupción o secuestro de la información.
6. Contar con un programa de gestión de “Passwords” minimizará los riesgos de hacking por uso de contraseñas débiles o que son compartidas entre tus empleados. Aquí se requerirá no solo una política de cambio de contraseñas sino las evidencias que demuestran que efectivamente tal cambio se realiza en forma periódica, y que existe un control sobre él.
7. Los empleados pueden cometer errores tales como enviar correos electrónicos a destinatarios incorrectos o dejar documentos impresos en lugares accesibles, permitiéndose con esto que se divulguen datos personales de Titulares de una manera no autorizada. Aquí es donde se hace necesario contar con un análisis de riesgos que contemple estas situaciones, con  procedimientos operativos y con un programa de capacitación del personal.
8. También se deben establecer políticas claras de retención y eliminación de datos personales, sumado a un proceso efectivo, seguro y comprobable destinado a la destrucción de información impresa o digital que ya no se necesite. 
9. En indispensable contar con sistemas de monitoreo de las actividades de los usuarios cuando usan los sistemas de información; de esta manera se podrá detectar en forma temprana actividades sospechosas o inusuales que pueden indicar un acceso no autorizado a datos personales.
10. Cuando exista subcontratación de servicios a terceros que involucre la entrega de bases de datos, se deben implementar medidas adecuadas de seguridad y confidencialidad que garanticen que durante la transferencia, el resguardo y uso de los datos no se producirán filtraciones de los mismos. Así se minimizará el riesgo de acceso no autorizado que siempre se asocia a esta operación.
11. Otro de los deberes es establecer un programa de actualizaciones de software seguridad en forma aplicada; de no hacerlo, podrían quedar los sistemas vulnerables a ataques por parte de “cyber-delincuentes”, se comprometerían los datos personales que estén almacenados, y la organización se vería envuelta en investigaciones y sanciones por parte de los entes de control.
12. Es sumamente importante que se restrinja el uso de dispositivos personales en la operación de tu empresa, sea que éstos se usen para acceder o almacenar los datos personales, o para recopilarlos. En caso que sea inevitable tal uso de dispositivos se requerirán protocolos y mecanismos de control y auditoría.
13. Nunca  olvidar que un sistema integral de protección de datos personales solo funciona con concientización, y capacitación en seguridad; es decir, los empleados deben conocer a cabalidad las  medidas de seguridad de la información y la responsabilidad que tienen frente a ellas.
14. La gestión de incidentes es otro factor a considerar; por lo tanto, se deberá contar con un funcionario encargado de esta labor. Con se podrá elaborar un plan claro y efectivo que responda ante cualquier vulneración de la seguridad de la información.
15. Como último, es aconsejable que se conozcan todas las consecuencias legales y reputacionales que surgen como resultado de los errores generados en la actividad diaria de la empresa,  ya que al producirse se concluye que la seguridad de los sistemas de información es vulnerable o no se cuida con la suficiente rigurosidad.

Por supuesto que hay otras cosas que se deben tener en cuenta; sin embargo, lo primordial es que no se subestime la importancia de un sistema integral de tratamiento de datos personales dentro de la organización; al hacer esto se evitará la exposición de la empresa a infinidad de riesgos y a consecuencias negativas; por lo tanto, asesórese bien y haga un esfuerzo inicial para que su organización cumpla con todo lo anterior.