La Ley de protección de datos personales 1581 o Ley PDP coloca al titular de la información en una posición que le permite recibir máxima atención y óptimo servicio de parte de las organizaciones que capturan sus datos, organizaciones que en adelante tendrán la tarea de cumplir con una serie de reglas y exigencias encaminadas tanto a proteger el derecho constitucional a la intimidad y al buen nombre del titular, como a garantizar el correcto uso de esa información la cual es registrada en bases de datos.
Como la Ley PDP es aplicable a todas las empresas y organizaciones establecidas en Colombia independientemente de su actividad o de la procedencia de su capital, entonces, estas organizaciones se enfrentan a la necesidad de optimizar sus procesos ajustándolos a los requerimientos de la Ley, sin embargo, para realizar dicha optimización es necesario conocer fortalezas, debilidades, un punto de partida y una meta hacia la cual se deben dirigir los esfuerzos técnicos y administrativos.
Es ahí entonces donde aparece una razón para calificar o medir cada proceso que involucra tratamiento de datos personales, razón que se enfoca en: calcular el punto de equilibrio donde los requerimientos se equiparan con las acciones de la empresa en términos de capacidades, políticas, normas y procedimientos, estimando el grado de transformación que requieren los procesos internos para cumplir a cabalidad con la ley PDP.
¿Pero qué se debe evaluar?
Las diferentes normativas convergen en una misma idea: se requiere evaluar gestión, control, protocolos y confiabilidad en los procesos, de esa manera el conjunto de actividades podrá demostrar o no que la organización es responsable con la información entregada a su manejo y que se comporta conforme a los lineamientos de la Ley.
Así entonces, la evaluación de gestión examinará:
- Si existen políticas claras para el tratamiento de la información.
- Si los titulares son notificados acerca del uso que se les dará a sus datos personales.
- Si se les solicita la debida autorización antes de hacer uso de estos, además si dicha información personal se clasifica y resguarda apropiadamente.
- Si el personal responsable de ella se encuentra entrenado y tiene suficiente capacidad para actuar ante incidentes.
- Si se realizan auditorías entre otros.
Por otra parte, se encuentra la evaluación de los controles que busca garantizar que el tratamiento de la información sea adecuado, por ejemplo, se evalúa la disponibilidad y el tiempo de permanencia de copias de seguridad, se analizan los procedimientos de acceso a la información por parte de los funcionarios, el protocolo de autenticación de estos últimos, o si hay procedimientos para evitar la fuga de información.
Así como existen mediciones administrativas también las hay de tipo técnico, en estas se evalúa entre otros el protocolo que previene el acceso indebido a la información, el proceso que enfrenta a los códigos maliciosos, la detección de uso no autorizado de la infraestructura informática, las reacciones frente a sobresaturación de peticiones de datos, además de los niveles de calidad de los registros frente a fallos de dispositivos, ataques de malware, conexionado fraudulento, etc. Son entonces estos tipos de evaluación los que se deben practicar con rigurosidad para identificar debilidades y planear las mejoras de las diferentes áreas de la empresa.
En conclusión, la Ley 1581 crea cimientos sobre los que se construye diversidad de acciones orientadas a producir cambios; cambios que van desde la forma en que los equipos de ventas prospectan o promocionan a sus clientes, pasando por la manera en que se finaliza la contratación de personal, hasta llegar a los sistemas de comunicación incluyendo video, audio, aplicaciones Web, programas de suscripción, o incluso sistemas tan simples como el que involucra el envío de un correo electrónico.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
