La Protección de los Datos Personales, más que una tarea, un reto organizacional

Por: Sandra Rechnitzer

La exigencia de cumplir con la normativa nacional e internacional en materia de protección de datos personales representa un reto innegable para todas las empresas, ya que en el mundo corporativo actual, es muy poco lo que podemos hacer sin utilizar como insumo datos personales.

En más, la tendencia a necesitar de los datos personales para alimentar procesos y relaciones corporativas, lejos de disminuir, va a ir en aumento en el futuro. Veamos por ejemplo el Big Data o la Meta Data, los cuales han pasado de ser información casi de descarte utilizada sólo para propósitos técnicos y de medición de cargas de red, a ser uno de los activos clave en la inteligencia de negocios de las más reconocidas y poderosas empresas tecnológicas. De hecho, su relevancia ha trascendido incluso ya, del mero plano comercial al político, como sucediera en las recién pasadas elecciones presidenciales de los Estados Unidos, donde la empresa Cambridge Analytica, se atribuyó el haber brindado información fundamental a la campaña de Donald Trump, que según ellos aducen, sirvió para influenciar el comportamiento de los electores que aún se encontraban indecisos. La información que dicen haber analizado, compilado, sintetizado y transmitido a dicha campaña, no fue cualquier tipo de información, fue información personal del ámbito más íntimo del ser humano, aquella que perfilaba gustos, preferencias, inclinaciones, y hasta miedos, frustraciones y temores, siendo lo más irónico del caso, el que se tratara de información facilitada y expuesta al público, por intermedio de sus propios titulares.

¿Qué tanto del éxito electoral de Donald Trump, pueda o no deberse a ese perfilamiento y manipulación de los datos personales? No lo sabemos, lo que sí es totalmente cierto y medible según el estado actual de la tecnología, es que los comportamientos de los consumidores muestran en sus relaciones digitales, incluyendo su participación y presencia en redes sociales, proporcionan información cada vez más apetecible y valiosa.

¿A quién corresponde defenderla? Entendiendo que el ámbito “privado” del individuo lo es y será, cada vez menos en los años venideros, la respuesta es: ¡A todos! En primera instancia lógicamente a sus titulares: “No exponga innecesariamente información que no quiera ver publicada en la edición estelar de las noticias”. En segundo plano, a las organizaciones e instituciones de todo tipo que utilicen datos personales en sus procesos organizacionales, después de todo, ya no es una elección deseable de responsabilidad corporativa, si no una obligación legal, cuyo incumplimiento lleva aparejado multas y sanciones, además del consabido daño reputacional.

¿Cómo cumplir con las obligaciones que la normativa establece? No es sólo cuestión de llenar un par de fórmulas, idear una serie de contratos y protocolos, y registrarlos ante la Agencia de Datos correspondiente. En realidad, va mucho más allá de ello. Detrás de este registro, y el ordenamiento jurídico así lo establece, debe existir un sistema de protección real de información personal.

Sabe su organización:

• ¿Qué datos personales requiere en el cumplimiento de sus objetivos de negocio?
• ¿Si la recopilación de los datos se hace de manera correcta?
• ¿Si sus fuentes son legítimas?
• ¿Cuál es el nivel de riesgo que, en su giro empresarial, corren los datos que maneja? ¿Sabe cómo medirlo?
• ¿A quién le corresponde aceptar el nivel de riesgo que necesariamente permanecerá? ¿Cuál es el nivel de riesgo?
• ¿Cuál es el verdadero nivel de exposición a que se enfrenta en el uso de los datos personales?
• ¿Si las medidas de seguridad implementadas se ajustan a sus necesidades particulares?
• ¿Si las herramientas informáticas que utiliza o los procesos que implementa, le proporcionan el nivel de protección requerido para su caso en específico?
• ¿Si el tratamiento que le da a los datos personales de sus clientes, está alienado a las expectativas de seguridad de éstos?
• ¿Si sus mismos clientes están alineados con las políticas de seguridad instauradas por usted o representan más bien un riesgo? ¿Sabría usted cómo mitigar ese posible riesgo?
• ¿Cuál es el modelo de gobierno corporativo que se ajusta no sólo al marco normativo aplicable, sino a las expectativas de seguridad para el sector que representa?
• ¿Cómo detectar, identificar, gestionar y administrar amenazas a la seguridad de la información a la que se enfrenta? ¿Sabe cuáles son dichas amenazas?

Si alguno, o todos los cuestionamientos básicos que arriba se incluyen, no cuentan con una respuesta documentada y fácilmente demostrable en su institución, entonces no está en cumplimiento con lo exigido por la normativa, ni se le está dotando de una verdadera protección a los datos personales que maneja.

“Hecha la ley, hecha la trampa” reza un viejo adagio popular; sin embargo, en lo que respecta al mal manejo de datos personales, llevar dicho adagio a la práctica puede resultar muy arriesgado, sobre todo para empresas cuya supervivencia depende en gran medida, de poder demostrarle a los clientes que sus activos (incluidos los de información) se resguardan con la mayor diligencia y seriedad. Así las cosas, si el plan de cumplimiento con la normativa de protección de datos personales que su empresa está por implementar o que ya implementó, se limita a unos cuantos documentos legales y registros de mero trámite con muy pocas posibilidades de pasar del papel a la vida real, mejor asesórese bien, la protección de los datos personales y de la información en general, no es una tarea, ni siquiera un cúmulo de ellas, si no un proceso institucional integral, cuyo punto de partida es una adecuada gestión del riesgo, basada en un enfoque de procesos, incluyendo los tecnológicos. Así las cosas: ¡Si el éxito de su empresa reside en ser confiable, no peque pues de confiado!.

Para mayor información, contáctenos: info@legaltechfirm.com