La protección de datos personales es una prioridad estratégica para las empresas

¿Por qué un programa robusto debe ser una prioridad estratégica de la organización?

Un programa de protección de datos robusto tiene varios propósitos. Por un lado responde a los requerimientos establecidos en la Ley Orgánica de Protección de Datos Personales, pero también permite tener una herramienta para crear confianza en consumidores, empleados y otros grupos de interés, e inclusive permite aprovechar los datos para generar valor dentro de un marco ético y legal.

Dentro del plan de inversiones de una organización, qué lugar debería ocupar la inversión del programa de protección de datos personales para el objetivo de una empresa.

 ¿En qué parte del proceso se debe poner más énfasis? 

Un programa de protección de datos debe tener sus cimientos en la definición estratégica que debe responder a tres preguntas: ¿qué buscamos de un sistema de protección de datos?, ¿quiénes serán las personas con la responsabilidad de estructurar el sistema? Y ¿cuáles son las áreas de mayor riesgo donde se deben enfocar los mayores esfuerzos? Todas estas preguntas se deben responder en la primera fase de planificación. La hoja de ruta que se defina debe estar alineada a estas definiciones estratégicas.

¿Cuál es el proceso para que una organización implemente la protección de datos personales?

En primera instancia asignar una persona o equipo responsable que con el auspicio de la alta gerencia puedan estructurar el programa e implementarlo. Luego deben trabajar en identificar cuáles son los datos personales que se tratan en la organización para entender el nivel de riesgo y complejidad de la adecuación de los requerimientos normativos y buenas prácticas. Como siguiente fase se debe estructurar una hoja de ruta estratégica que considere acciones a nivel de organización, procesos, tecnología y aspectos legales para de forma integral estructurar un sistema de gestión robusto. Finalmente se debe operar el sistema y monitorearlo a través de auditorías internas y externas y controles a nivel de gerencia que permitan confirmar que los controles son efectivos en el tiempo, se cumplen los requerimientos normativos y cualquier desviación es remediada de forma oportuna.

¿Cuáles son los roles claves para la evaluación de riesgo de la protección de datos?, ¿Quién debe realizar esta evaluación y quiénes deberían estar involucrados?

Como aspecto clave es altamente recomendable tener un sponsor de alta gerencia ya que implementar un sistema de protección implica transformar procesos, sistemas, contratos, entre otros temas incluyendo un cambio cultural cambiando la percepción de que los datos son de la entidad a un esquema que los datos son de los titulares y los tratamos bajo un consentimiento, es decir no tenemos libertad para hacer cualquier cosa con los datos sin tener previamente la autorización de los dueños de los datos. 

Luego se debe asignar un delegado de protección de datos personales que cumplirá un rol de oficial de protección de datos para dar vida al sistema de gestión; si bien la Ley no obliga en todos los casos designar este delegado es altamente recomendable evaluar su nombramiento. Luego se recomienda estructurar un equipo multidisciplinario con responsables de las áreas críticas en cuanto al tratamiento de datos personales, ya que deben participar en las definiciones que se tomen y apoyar la implementación del plan de acción; es mejor que en el mismo equipo se evalúen las acciones desde diferentes ópticas para evitar conflictos posteriores.

Según el sector o industria de la empresa, ¿existen diferencias para la aplicación de un programa de datos personales?

Si existen diferencias, inclusive entre empresas de un mismo sector debido a que cada organización ha definido un modelo de operación en el cual tienen diferentes formas de capturar datos, usar los datos personales para diferentes propósitos, dependen en mayor o menor medida de proveedores de servicio que acceden a datos personales de clientes, inclusive la transferencia de datos al exterior. Todos estos elementos, mas otros, definen un nivel de complejidad único de cada organización por tanto la evaluación de riesgos es una herramienta clave para establecer un plan de acción a la medida y que permita a las organizaciones enfocarse en lo más crítico.

¿Cuáles son los factores clave para tener un sistema de protección de datos personales exitoso? ¿Es necesario realizar una evaluación de riesgos?

Es fundamental trabajar en una evaluación de riesgos que de la visibilidad de la exposición que tiene una organización ante posibles vulneraciones de datos personales. El no tener esta herramienta puede conllevar a un esquema tipo “checklist” donde se toman acciones de forma genérica lo que impide generar valor.

De cara a los stakeholders, ¿cuáles son los principales beneficios de contar con protección de datos personales?

El principal beneficio es la construcción de confianza. La confianza es un activo intangible pero que genera gran valor a una organización fortaleciendo su marca y permitiendo crear nuevas oportunidades de negocios. Lo siguiente es minimizar la posibilidad de sanciones por incumplimientos normativos o contractuales y potenciales demandas. Siendo un proveedor de servicios puede ser una herramienta para diferenciarse de otros proveedores permitiendo demostrar que los servicios provistos tienen un alto nivel de protección y cumplimiento normativo; se convierte en una herramienta comercial.