Si bien es cierto que la ley 1581 hace referencia a la necesidad de establecer niveles de seguridad dentro de la organización para que se produzca una real protección de los datos personales, en realidad en el mismo texto no se mencionan medidas específicas que se deben tomar para hacer efectiva dicha protección; por lo tanto, en la administración aparece un interrogante:
Si la protección de datos personales exige que se tomen medidas técnicas y organizativas apropiadas de manera que se cumpla con el nivel requerido de seguridad de los datos, ¿cómo hago para determinar dichas medidas y el nivel de seguridad?
Al observar que existen innumerables organizaciones que recopilan datos y que cada una tiene diversidad de actividades, se podrá concluir que establecer un estándar de seguridad basado en actividades se pude convertir en una labor inmensamente compleja, y es entonces cuando aparece el concepto de riesgo, el cual se convierte en la variable fundamental para determinar qué es lo que se considera una medida de seguridad apropiada y qué tanta seguridad se debe implementar en torno a la información manejada.
Ponderar esta
variable se convierte en una tarea más bien simple dado que involucra calcular dos tipos de riesgos: el riesgo que representa para los derechos y libertades del titular el procesamiento de los datos, y el riesgo que representa para la empresa el borrado, la alteración no autorizada, o la sustracción de dicha información, así entonces un riesgo alto indicará que debe asegurarse la información con un estándar de seguridad mayor.
Un ejemplo podría ser cualquier organización que común mente maneja información de sus visitantes, clientes, empleados, contratistas y proveedores, los que a su vez pueden tener o no una relación vigente con el responsable; y aunque toda la información tratada debe ser resguardada en un entorno seguro, no serán los mismos riesgos de afectación para las partes si la pérdida o alteración de los datos ocurre dentro de los registros de visita del titular o sucede con los registros de un proceso de recursos humanos; así entonces se puede entender por qué este último proceso conlleva una cadena de custodia de documentos, un cifrado de los datos digitales, un almacenamiento en un servidor de alta seguridad y un sistema de respaldo redundante, mientras que el primero en la mayoría de los casos solo dispone de un almacenamiento seguro en un servidor local.
Por supuesto que las afectaciones al titular y a la organización no son las únicas variables a tener en cuenta dentro de un sistema de seguridad y privacidad de la información, ello en virtud a que existe otra gran diversidad de aspectos que influyen en el dimensionamiento de tal sistema y que contribuyen a establecer su nivel técnico, tales aspectos involucran:
- los controles de seguridad
- la infraestructura informática
- la madurez tanto de los procesos como de la seguridad de la información
- las vulnerabilidades en los procedimientos
- las amenazas directas a los sistemas de información (fallas técnicas, virus, hackers, etc.),
Sin embargo, a nivel administración siempre se partirá por la evaluación de la afectación al titular y a la organización frente al desafío de proteger los datos personales, buscando con ello que como mínimo la infraestructura de TI se defienda de ataques a un grado razonable, la gestión documental sea organizada, se respete la confidencialidad de los datos, el entorno de la información esté protegido contra sucesos y accidentes imprevisibles, las incidencias no causen tiempos de inactividad o pérdida de datos, y que todos los procesos de tratamiento de la información personal estén trazados y debidamente documentados con el propósito de satisfacer a las autoridades que supervisan el cumplimiento de la ley.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
