​Cómo implementar la ley de protección de datos personales y evitar costosos errores

Archivado en: Economía & Finanzas
| miércoles, 9 de octubre de 2024, 07:56

Celulares2

Mirar la experiencia internacional puede ser una positiva forma de enfrentar los 24 meses con los que contarán las organizaciones para adaptarse a la nueva ley de protección de datos personales. ¿Lo principal? Abordar el período con una mezcla de tranquilidad y actividad, ocupando primero los recursos que muchas empresas ya tienen, sin quizás saberlo.


La ley de protección de datos sin duda que ha causado gran expectación en las organizaciones. La normativa fue aprobada en julio de este año, y se espera que próximamente sea promulgada y luego publicada en el Diario Oficial. A partir de este último hito, las compañías tendrán dos años para prepararse hasta la entrada en vigencia.


La buena noticia es que Chile no está solo en este camino. De hecho, la nueva legislación mira a la General Data Protection Regulation (GDPR), que aplica a todos los Estados miembros de la Unión Europea. De ahí que tomar en consideración la experiencia de los países de dicho territorio es un ejercicio que puede orientar los pasos que las compañías en Chile deberán seguir.


Desde su experiencia como CISO global de Inside Security en España, Óscar Orellana señala que es importante tomarse este período con “calma y buena letra”, de modo de aproximarse a este proceso desde la racionalidad, y así evitar costosas equivocaciones.


Dos errores frecuentes

Óscar indica que son dos los errores que más frecuentemente se cometen al momento de enfrentar normativas ligadas a la protección de datos personales:



  • Fiebre por adquirir nueva tecnología: “Muchas veces viene como la fiebre del comprar; en cambio, debería darse la fiebre de asesorarte por la persona correcta. Esa es la clave para una buena implementación”, comenta Óscar. Esto, debido a que muchas empresas buscan enfrentar cambios de escenario legales por medio de la adquisición de tecnología que ayude en la puesta en marcha, sin considerar, primero, que es posible que la compañía ya cuente con herramientas para ese objetivo, y segundo, sin sopesar que cualquier tecnología debe ser puesta en funcionamiento por alguien. “En definitiva, cuando llega una persona a fiscalizar, dice ‘muéstreme usted este control’ y se dan cuenta de que no se han llevado a la práctica, lo que equivale a no tener nada”, afirma Óscar. Esta forma de actuar causa importantes perjuicios económicos, ya que implica comprar tecnología cara sin tener real necesidad de ello, y también exponerse a sanciones si es que esta no se ha operacionalizado de forma correcta.
  • Las sanciones no son solo legales: si bien la nueva ley incluye multas de envergadura, lo cierto es que las sanciones no solo provendrán del Estado, sino también de los clientes. “En estricto rigor, no solamente uno debe considerar el valor económico de la multa, sino cuán dañada mi reputación puede terminar a raíz de ella. No cumplir la ley implica un castigo reputacional”, dice Óscar. De ahí que es importante incluir esta perspectiva al momento de diseñar el camino hacia la entrada en vigencia de la ley.

    • Cómo avanzar

    La nueva ley de protección de datos personales aplica a absolutamente todas las empresas, lo que sin duda puede causar preocupación en aquellas que, por diversas razones, no tenían suficientes sistemas aplicados en su gestión. Por ello, Óscar vuelve a recomendar un acercamiento racional a la situación. En ese sentido, un paso clave es realizar un análisis GAP, herramienta que permite visualizar dónde se está en relación con la ley. Luego, es clave elaborar un Informe de Modelamiento, que señala el camino para ir cerrando de manera armónica cada una de las brechas que fueron encontradas. “En definitiva, lo primero es comprender dónde se está y para dónde queremos llegar”, dice Óscar. Luego, la recomendación es analizar la tecnología que se tiene y ocuparla de forma efectiva. “Y no nos olvidemos de un principio muy importante: a lo imposible nadie está obligado. Pensar que la normativa va a obligar algo imposible no es tal. La norma va a implementarse también en función de la proporcionalidad de la entidad. Yo no le puedo exigir a un empresario que trabaja con dos personas a que tenga un responsable de protección de datos, por ejemplo, pero sí le puedo exigir a una donde trabajan 350, 300 personas que tengan uno”, asegura Óscar.


    La gestión de personas también es crítica. “Las áreas de recursos humanos, los gestores de talento, son los partners estratégicos de la ciberseguridad. Todos estos cambios organizacionales vienen con un cambio cultural a nivel del talento. Las personas que estaban acostumbradas a hacer ciertas cosas en el trabajo ya no las pueden hacer. ¿Cómo tú gestionas esa resistencia al cambio? Yo creo que lo más importante es poder entender que las empresas se componen de tecnología y personas. Hoy día cada vez más las áreas de recursos humanos necesitan aprender el lenguaje de la ciberseguridad y cada vez más la ciberseguridad necesita aprender el lenguaje blando”, concluye Óscar. 

    europapress