.pressReleaseHeader .description-heading { display: none; }

Boletín de prensa

4 oct 2019 Montevideo, UY

La creciente importancia de los datos personales y su impacto en las organizaciones

El compromiso de la Dirección en la adopción de medidas de control sobre las personas, procesos y tecnologías es clave para proteger de forma adecuada los datos personales

Contacto para prensa

José Luis Mauro Vera

Gerente de Consultoría EY Uruguay

José Luis Vera es Ingeniero en Sistemas y Master en Business Administration (MBA). Ingresó a EY en el 2005 y es actualmente Gerente de Consultoría para los servicios de Riesgos y Aseguramiento de TI.

Colaboradores
Related topics Consultoría Digital

Diario El Observador I Por el Ing. José Luis Mauro Vera, CISA, Gerente de Consultoría en EY Uruguay

La complejidad para cumplir con las leyes y regulaciones aplicables, así como el temor de las consecuencias que se pueden enfrentar con relación a los incidentes vinculados a los datos personales, son preocupaciones que implican nuevos desafíos para las organizaciones. Incumplimientos al procesar, transferir o almacenar datos de ciudadanos europeos, podrían implicar multas millonarias. En Uruguay la ley de presupuesto (19670) de enero de 2019 incluyó artículos que responden a la vigencia del Nuevo Reglamento General de Protección de Datos (GDPR) de la Comunidad Europea. Estos se pueden resumir en:

  1. Ampliación del ámbito de aplicación de la ley de protección de datos para las entidades que, fuera de fronteras, lleven a cabo actividades de tratamiento de datos personales de uruguayos.
  2. Cuando un responsable o encargado de una base de datos personales tome conocimiento de que se ha vulnerado la seguridad, deberá reportar dicho incidente y las medidas a tomar en forma inmediata tanto para el titular de los datos, como a la Unidad Reguladora y de Control de Datos Personales (URCDP).
  3. La responsabilidad por la violación de las leyes y regulaciones de protección de datos personales recae en el responsable y el encargado de la base de datos personales, debiendo adoptar ambos las medidas técnicas y organizativas que correspondan para protegerlos.
  4. Las entidades públicas y privadas que traten grandes volúmenes de datos o datos sensibles deberán incorporar la figura de un Delegado de Protección de Datos (equivalente al Data Protection Officer), quien asesorará en la formulación, diseño e implementación de políticas y procedimientos de protección de datos personales, supervisar el cumplimiento y proponer medidas para adecuarse a la normativa, y actuando como nexo con la URCDP.

Todo lo anterior requiere la implementación de distintas medidas de control sobre las personas, los procesos y tecnologías vinculados con los datos personales.

Acciones a adoptar por parte de las organizaciones 

Antes que nada, es necesario que los directorios y niveles ejecutivos más altos sean conscientes de los riesgos e importancia del tema, ya que sin dicho apoyo cualquier medida tomada no será sostenible a lo largo del tiempo. En este sentido, las organizaciones podrían implementar las siguientes medidas:

  1. Realización de análisis de riesgos, análisis de ciber riesgos vinculados con la seguridad y protección de los datos personales y análisis de aplicabilidad legal y regulatoria
  2. Identificar las medidas de control adoptadas y[A5]  trabajar sobre aquellas situaciones en las que se identifiquen gaps
  3. Contar con Políticas de Seguridad y Privacidad formales
  4. Analizar el impacto de posibles divulgaciones, manipulaciones o borrado no autorizado de datos personales en la reputación, cumplimiento y sus consecuencias económicas  y en el cumplimiento de los objetivos
  5. Probar regularmente la seguridad de las aplicaciones por intermedio de tests de vulnerabilidades, considerando intrusiones a nivel externo como interno, especialmente sobre las aplicaciones web utilizadas
  6. Contar con procedimientos para el registro, tratamiento y reporte de incidentes vinculados a la divulgación o accesos no autorizados de datos personales
  7. Capacitar y sensibilizar al personal y usuarios de los datos personales en cómo identificar los incidentes y qué acciones deberían tomar. Considerar la realización de pruebas o simulacros de vulneraciones mediante ingeniería social.

Es necesario adoptar un enfoque proactivo, para prevenir y reducir el impacto que las vulnerabilidades puedan tener sobre los datos personales. La ley no castiga ni prohíbe la existencia de vulnerabilidades, porque son inherentes a los sistemas. La falta de medidas tomadas por la organización para proteger y comunicar adecuadamente a las organizaciones son las que pueden traer consecuencias legales y de reputación. Por ello, resulta clave tomar acciones que ayuden a construir transparencia y confianza por parte de las organizaciones hacia sus clientes.