Diario El Observador I Por el Ing. José Luis Mauro Vera, CISA, Gerente de Consultoría en EY Uruguay
La complejidad para cumplir con las leyes y regulaciones aplicables, así como el temor de las consecuencias que se pueden enfrentar con relación a los incidentes vinculados a los datos personales, son preocupaciones que implican nuevos desafíos para las organizaciones. Incumplimientos al procesar, transferir o almacenar datos de ciudadanos europeos, podrían implicar multas millonarias. En Uruguay la ley de presupuesto (19670) de enero de 2019 incluyó artículos que responden a la vigencia del Nuevo Reglamento General de Protección de Datos (GDPR) de la Comunidad Europea. Estos se pueden resumir en:
- Ampliación del ámbito de aplicación de la ley de protección de datos para las entidades que, fuera de fronteras, lleven a cabo actividades de tratamiento de datos personales de uruguayos.
- Cuando un responsable o encargado de una base de datos personales tome conocimiento de que se ha vulnerado la seguridad, deberá reportar dicho incidente y las medidas a tomar en forma inmediata tanto para el titular de los datos, como a la Unidad Reguladora y de Control de Datos Personales (URCDP).
- La responsabilidad por la violación de las leyes y regulaciones de protección de datos personales recae en el responsable y el encargado de la base de datos personales, debiendo adoptar ambos las medidas técnicas y organizativas que correspondan para protegerlos.
- Las entidades públicas y privadas que traten grandes volúmenes de datos o datos sensibles deberán incorporar la figura de un Delegado de Protección de Datos (equivalente al Data Protection Officer), quien asesorará en la formulación, diseño e implementación de políticas y procedimientos de protección de datos personales, supervisar el cumplimiento y proponer medidas para adecuarse a la normativa, y actuando como nexo con la URCDP.
Todo lo anterior requiere la implementación de distintas medidas de control sobre las personas, los procesos y tecnologías vinculados con los datos personales.
Acciones a adoptar por parte de las organizaciones
Antes que nada, es necesario que los directorios y niveles ejecutivos más altos sean conscientes de los riesgos e importancia del tema, ya que sin dicho apoyo cualquier medida tomada no será sostenible a lo largo del tiempo. En este sentido, las organizaciones podrían implementar las siguientes medidas:
- Realización de análisis de riesgos, análisis de ciber riesgos vinculados con la seguridad y protección de los datos personales y análisis de aplicabilidad legal y regulatoria
- Identificar las medidas de control adoptadas y[A5] trabajar sobre aquellas situaciones en las que se identifiquen gaps
- Contar con Políticas de Seguridad y Privacidad formales
- Analizar el impacto de posibles divulgaciones, manipulaciones o borrado no autorizado de datos personales en la reputación, cumplimiento y sus consecuencias económicas y en el cumplimiento de los objetivos
- Probar regularmente la seguridad de las aplicaciones por intermedio de tests de vulnerabilidades, considerando intrusiones a nivel externo como interno, especialmente sobre las aplicaciones web utilizadas
- Contar con procedimientos para el registro, tratamiento y reporte de incidentes vinculados a la divulgación o accesos no autorizados de datos personales
- Capacitar y sensibilizar al personal y usuarios de los datos personales en cómo identificar los incidentes y qué acciones deberían tomar. Considerar la realización de pruebas o simulacros de vulneraciones mediante ingeniería social.
Es necesario adoptar un enfoque proactivo, para prevenir y reducir el impacto que las vulnerabilidades puedan tener sobre los datos personales. La ley no castiga ni prohíbe la existencia de vulnerabilidades, porque son inherentes a los sistemas. La falta de medidas tomadas por la organización para proteger y comunicar adecuadamente a las organizaciones son las que pueden traer consecuencias legales y de reputación. Por ello, resulta clave tomar acciones que ayuden a construir transparencia y confianza por parte de las organizaciones hacia sus clientes.
