Boletín de prensa

4 oct. 2019 Montevideo, UY

La creciente importancia de los datos personales y su impacto en las organizaciones

El compromiso de la Dirección en la adopción de medidas de control sobre las personas, procesos y tecnologías es clave para proteger de forma adecuada los datos personales

Contacto para prensa
José Luis Mauro Vera

Gerente Senior de Consultoría EY Uruguay

José Luis Vera es Ingeniero en Sistemas y Master en Business Administration (MBA). Ingresó a EY en el 2005. Es Gerente Senior de Consultoría para los servicios de Riesgos y Aseguramiento de TI.

Colaboradores
Related topics Consultoría Digital

Diario El Observador I Por el Ing. José Luis Mauro Vera, CISA, Gerente de Consultoría en EY Uruguay

La complejidad para cumplir con las leyes y regulaciones aplicables, así como el temor de las consecuencias que se pueden enfrentar con relación a los incidentes vinculados a los datos personales, son preocupaciones que implican nuevos desafíos para las organizaciones. Incumplimientos al procesar, transferir o almacenar datos de ciudadanos europeos, podrían implicar multas millonarias. En Uruguay la ley de presupuesto (19670) de enero de 2019 incluyó artículos que responden a la vigencia del Nuevo Reglamento General de Protección de Datos (GDPR) de la Comunidad Europea. Estos se pueden resumir en:

  1. Ampliación del ámbito de aplicación de la ley de protección de datos para las entidades que, fuera de fronteras, lleven a cabo actividades de tratamiento de datos personales de uruguayos.
  2. Cuando un responsable o encargado de una base de datos personales tome conocimiento de que se ha vulnerado la seguridad, deberá reportar dicho incidente y las medidas a tomar en forma inmediata tanto para el titular de los datos, como a la Unidad Reguladora y de Control de Datos Personales (URCDP).
  3. La responsabilidad por la violación de las leyes y regulaciones de protección de datos personales recae en el responsable y el encargado de la base de datos personales, debiendo adoptar ambos las medidas técnicas y organizativas que correspondan para protegerlos.
  4. Las entidades públicas y privadas que traten grandes volúmenes de datos o datos sensibles deberán incorporar la figura de un Delegado de Protección de Datos (equivalente al Data Protection Officer), quien asesorará en la formulación, diseño e implementación de políticas y procedimientos de protección de datos personales, supervisar el cumplimiento y proponer medidas para adecuarse a la normativa, y actuando como nexo con la URCDP.

Todo lo anterior requiere la implementación de distintas medidas de control sobre las personas, los procesos y tecnologías vinculados con los datos personales.

Acciones a adoptar por parte de las organizaciones 

Antes que nada, es necesario que los directorios y niveles ejecutivos más altos sean conscientes de los riesgos e importancia del tema, ya que sin dicho apoyo cualquier medida tomada no será sostenible a lo largo del tiempo. En este sentido, las organizaciones podrían implementar las siguientes medidas:

  1. Realización de análisis de riesgos, análisis de ciber riesgos vinculados con la seguridad y protección de los datos personales y análisis de aplicabilidad legal y regulatoria
  2. Identificar las medidas de control adoptadas y[A5]  trabajar sobre aquellas situaciones en las que se identifiquen gaps
  3. Contar con Políticas de Seguridad y Privacidad formales
  4. Analizar el impacto de posibles divulgaciones, manipulaciones o borrado no autorizado de datos personales en la reputación, cumplimiento y sus consecuencias económicas  y en el cumplimiento de los objetivos
  5. Probar regularmente la seguridad de las aplicaciones por intermedio de tests de vulnerabilidades, considerando intrusiones a nivel externo como interno, especialmente sobre las aplicaciones web utilizadas
  6. Contar con procedimientos para el registro, tratamiento y reporte de incidentes vinculados a la divulgación o accesos no autorizados de datos personales
  7. Capacitar y sensibilizar al personal y usuarios de los datos personales en cómo identificar los incidentes y qué acciones deberían tomar. Considerar la realización de pruebas o simulacros de vulneraciones mediante ingeniería social.

Es necesario adoptar un enfoque proactivo, para prevenir y reducir el impacto que las vulnerabilidades puedan tener sobre los datos personales. La ley no castiga ni prohíbe la existencia de vulnerabilidades, porque son inherentes a los sistemas. La falta de medidas tomadas por la organización para proteger y comunicar adecuadamente a las organizaciones son las que pueden traer consecuencias legales y de reputación. Por ello, resulta clave tomar acciones que ayuden a construir transparencia y confianza por parte de las organizaciones hacia sus clientes.