Se trataba de una deuda pendiente con los titulares de los datos. La Ley de Protección de Datos Personales marca un antes y un después en la relación de las personas con el bien más preciado de la economía digital.
En concreto, dota al Estado de una institucionalidad que marcará un punto de inflexión en las empresas. La creación de la agencia que contará con la facultad de fiscalizar y aplicar sanciones, será la cara visible que nos llevará a considerar las consecuencias de no cumplir con los derechos del titular de los datos ni con las obligaciones del responsable de su tratamiento.
Nueva ley, nuevas responsabilidades
Sin duda, será adaptarse a un nuevo paradigma. Las empresas que ya se han visto desafiadas en términos de ciberseguridad, poco a poco tendrán que capacitar a sus colaboradores, crear nuevos puestos de trabajo y, por cierto, propender hacia procesos claros y eficientes al respecto. En definitiva, será un proceso técnico, pero por sobre todo cultural.
Por ejemplo, el Delegado de Protección de Datos (DPO) debe colaborar estrechamente con el Director de Seguridad de la Información (CISO) en la implementación de las mejores herramientas para proteger adecuadamente la información personal o sensible, asegurando su confidencialidad, integridad y disponibilidad.
Este enfoque no solo previene la destrucción, alteración o acceso no autorizado de los datos, sino que también facilita la capacidad de suprimir o rectificar la información de manera rápida y eficiente. La responsabilidad de cumplir con estas medidas, políticas y procesos recae en toda la organización y no únicamente en las áreas de TI.
Una oportunidad y un cambio de mentalidad
Se trata de una era plagada de tecnologías y de enormes oportunidades. Por ende, no hay que temer a los cambios regulatorios. Al contrario, podemos aprovechar nuestras fortalezas y ventaja competitiva para desarrollar herramientas que respalden al DPO y al CISO en su labor de protección de datos.
El principal desafío es más cultural que técnico, ya que es necesario realizar un profundo cambio de mentalidad, comenzando por el usuario o cliente final, quien deberá otorgar su consentimiento de forma consciente y con pleno entendimiento del propósito del uso de sus datos.
Al mismo tiempo, la empresa deberá adoptar el principio de minimización de datos. Por ejemplo, ¿Cuántas veces se solicita el RUT o la fecha de nacimiento para trámites que podrían resolverse simplemente con el nombre completo?
“Consentimiento explícito”
Una de las principales exigencias de la ley es que la empresa responsable del tratamiento de datos tendrá que obtener el consentimiento explícito del titular. Para que la obtención de estos datos sea lícita, el consentimiento debe ser libre, previo, informado y específico para los fines que se indican. Una vez recolectados de esa forma, el responsable debe garantizar la confidencialidad y transparencia en el manejo.
A continuación, otras obligaciones
- El responsable del tratamiento de los datos está obligado a acreditar la obtención lícita del consentimiento, lo cual implica que las empresas deberán mantener actualizado su banco de pruebas o respaldos.
- La empresa responsable del tratamiento de datos tendrá la obligación de reportar, por los medios más expeditos y sin demoras indebidas, cualquier brecha de seguridad que implique una vulneración de las medidas de protección y que represente un riesgo para los derechos del titular de los datos. Esto incluye notificar sobre incidentes que puedan causar destrucción, filtración, pérdida, alteración o accesos no autorizados a los datos. En caso de incumplir con esta obligación, la empresa podría enfrentar multas de hasta 20.000 UTM.
Lo cierto es que hay muchas empresas que ya se están preparando. La vacancia de la ley, de dos años, brinda una oportunidad para ajustar los detalles sobre el manejo de datos y avanzar hacia una cultura interna que los resguarde, además de desarrollar herramientas que permitan automatizar procesos, cumpliendo con la normativa y manteniendo el enfoque en los objetivos del negocio.