Uno de los problemas que se suma a la larga lista de inconvenientes que experimentan las organizaciones hoy en día se refiere a que, muchas de ellas aún no están listas para cumplir con todas las normas de protección de datos personales, es decir, si la Superintendencia de Industria y Comercio (SIC) practicará auditorías al azar, probablemente una gran porción de organizaciones sería sujetas a sanciones ¿Por qué?
Entre las razones más significativas que exponen las entidades encuestadas se destacan dos: 1) No se tiene claridad del alcance de la Ley, pues algunas administraciones aún piensan que ésta sólo aplica para ciertas entidades tales como serían las del sector financiero o las de telecomunicaciones; 2) la mayoría concluye “a priori” que la regulación es un acto netamente legal, por tanto, se piensa que con cumplir con el registro de las bases de datos personales ante la SIC, y con publicar avisos de privacidad en sus sitios web o en las salas de recepción de sus instalaciones se tendrá suficiente evidencia para demostrar un compromiso real con las normas establecidas.
Como consecuencia de lo anterior aparece entonces una necesidad de clarificar los pasos que toda organización debe dar para asegurar que su gestión en protección de datos personales sea confiable, eficiente y esté ajustada a las normas vigentes.
En primera instancia se debe entender que la Ley de Protección de Datos Personales o Ley PDP establece como obligatorio que: toda empresa privada, pública o de economía mixta, realice una serie de ajustes internos con la finalidad de proteger todos los datos personales que están bajo su administración sin importar que éstos hayan sido o no recopilados por su propios funcionarios; lo anterior se hace con dos propósitos fundamentales, reducir los riesgos de explotamiento ilegal de la información personal a la que se tiene acceso y garantizar los derechos constitucionales a la libertad, al buen nombre, a la igualdad, al habeas data y a la privacidad de los titulares de datos personales.
Una vez que la organización ha entendido el propósito de la Ley podrá dimensionar el trabajo técnico y administrativo que tiene por delante, estableciendo así el alcance de la transición que experimentará cada uno de los procesos internos que se desarrollan dentro de su actividad, los cuales deberán cumplir a cabalidad con todos los requisitos reglamentarios. En el inicio será necesario inculcar en cada funcionario la cultura de la seguridad, de la protección de datos y del cumplimiento de las normas, garantizando con ello que todos los empleados y/o contratistas comprendan sus obligaciones y responsabilidades.
Ahora bien, las empresas siempre deberán demostrar que han implementado medidas que garanticen que los datos estén adecuadamente protegidos, esto se podrá probar con protocolos y procedimientos bien diseñados y correctamente documentados, con procesos de formación y sensibilización comprobables, con listas de chequeo estructuradas que detallan el seguimiento a los procesos y a los sistemas de información y, con una estructura organizacional que muestre que cada uno de los aspectos involucrados con el tratamiento de datos personales es supervisado y controlado tanto permanente como adecuadamente.
Surtida la etapa de planeación y documentación de los procesos y la de alistamiento y enseñanza de los protocolos y procedimientos, se podrá desarrollar la gestión administrativa la cual incluirá entre otros un registro diario de actividades usado para el seguimiento y la retroalimentación sobre lo realizado, un estudio completo con análisis de riesgos y un conjunto de procesos adicionales orientados a optimizar la seguridad y el tratamiento de datos en la organización; con ello se promoverá la constante mejora, la detección oportuna de brechas y la ejecución de acciones preventivas que impidan la ocurrencia de incidentes. Al estar en este paso es indispensable que el staff administrativo entienda que el cometer un error u omitir alguna tarea dará acceso a riesgos visibles que podrán conducir a afectaciones tanto para la organización como para los titulares de la información.
Algo que siempre se debe tener en mente es que los esfuerzos en protección de datos no son una carga sino activos que se enfocan en los clientes y en el público general y que, generan confianza, lealtad y buena imagen; ello a raíz del valor que todo individuo le da al hecho que se muestre compromiso con la protección de sus propios intereses, conduciéndolo a premiar en forma inconsciente a las marcas y a aquellas imágenes corporativas que se destacan con sus acciones.
Se puede entonces concluir que es necesario que se realicen todos los pasos anteriores para que así la organización alcance una confianza en sus procesos y pueda mostrar total transparencia en sus acciones, de ello derivará que se pueda o no dar garantías a los titulares de la información personal sobre el buen manejo y tratamiento de sus datos, se posibilite o no asegurar que en todo momento la información personal se encuentra correctamente resguardada y que se maneja con absoluta confidencialidad.
Al estar aquí se puede observar que las etapas mencionadas son parte de un proceso evolutivo en donde una entidad pasa de ser propietaria de cierta información a ser vigilante de la misma, y en donde se cambian procedimientos laxos con la protección de datos por unos que son más rigurosos; por tanto, la Ley PDP tiene que ser vista como una oportunidad de cambio en donde las exigencias permiten mejorar procesos para alcanzar la excelencia; y en donde la organización se hace partícipe de las responsabilidades de la nación al ser garante de los derechos individuales de los habitantes de este país.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
