Fanny Evans, Asociada Senior, Morgan & Morgan
En el año 2013, Virginia Ginni Rometty, CEO de IBM, dijo: “Me gustaría que piensen en los grandes datos como el próximo recurso natural que es para nuestra era lo que el vapor, la electricidad y el petróleo fueron para la Era Industrial“.
Es probable que hayan leído o escuchado: ¡Los datos son el nuevo petróleo! ¡Los datos son el nuevo tocino! ¡Los datos son la nueva moneda! Estas analogías se han vuelto muy populares porque hoy día los datos son considerados uno de los productos más importantes.
Existen muchas Redes Sociales exitosas porque aunque no son plataformas de pago han convertido los datos en una fuente de valor.
La necesidad de un programa de cumplimiento de protección de datos en los negocios es cada vez más importante después de varias filtraciones de alto perfil de los datos de las empresas. Algunas de las mayores violaciones de datos en los últimos dos años incluyen a T-Mobile, Marriot, British Airways, Quora, Google, Orbitz y Capital One Bank en los Estados Unidos. Una violación de datos exitosa puede ocurrir en menos de un minuto, sin embargo, las empresas pueden tardar semanas para darse cuenta que se ha producido una violación.
Al dar los primeros pasos en aguas complejas como lo es la protección de datos, es común que las empresas se pierdan en la avalancha de requisitos legales o en el desarrollo de ese producto o servicio que podría resultar atractivo para sus clientes. Sin embargo, para una empresa, cambiar el enfoque a temas que puedan considerar más interesantes, nunca debe ser una opción porque los resultados de las violaciones de datos múltiples tipos de daños: desde reputación hasta financiero. A veces, puede incluso afectar a todo un país como sucedió en mi opinión, de manera errónea e injustificada, con los llamados “Papeles de Panamá”.
En la Unión Europea, la protección de datos es un derecho fundamental y el Reglamento General de Protección de Datos (GDPR), que entró en vigor en el 2018, es el marco para la protección de ese derecho. Otros países europeos se enfocan en el GDPR a medida que desarrollan o implementan sus propias leyes para proteger los datos. En Latinoamérica, la situación es diferente. Al no existir una regulación común, cada país ha abordado este reto de una manera distinta. Uno de ellos es Panamá que une esfuerzos para alinearse con los países de la región al promulgar la Ley 81 de 2019 que empezará a regir en dos años. La nueva ley impedirá que los datos personales suministrados en diferentes plataformas sean transferidos a terceros sin la autorización del propietario.
Observando los pasos firmes que han dado muchos países, queda claro que, incluso si las empresas tienen un enfoque de “no me va a pasar a mí” en cuanto a las violaciones de datos, en muchos países, la legislación les está obligando a repensar su razonamiento.
A continuación, cinco pasos que pueden servir como guía al redactar o revisar su programa de cumplimiento de protección de datos:
- Comprenda sus riesgos y obligaciones legales y éticas.
Uno de los elementos más importantes al crear un programa de cumplimiento de protección de datos es considerar sus riesgos y lo que es más importante y obligatorio para el negocio, en lugar de saltar a los requisitos de una legislación sin comprender completamente sus necesidades porque no todos los riesgos u obligaciones son gestionados de la misma forma o en la misma medida.
- Documente y revise sus políticas.
Su programa de cumplimiento de protección de datos debe estar debidamente documentado. No es suficiente saber que usted cumple con la privacidad de datos. Debe ser claramente verificable y fácilmente accesible a través de documentación precisa para exámenes internos o externos.
- Asigne la propiedad.
Las responsabilidades y tareas relacionadas con la confidencialidad y la protección de datos pueden solaparse con otras políticas empresariales, como la seguridad de la tecnología de la información, el mantenimiento de registros, los riesgos y la auditoría, recursos humanos, gestión de la información confidencial y otros, ya que requiere diversas habilidades para tener éxito.
- Proporcione capacitación y los recursos necesarios.
Siempre entrene a su personal. Si tiene un equipo informado, reducirá su riesgo.
La formación del personal no solo reduce el riesgo de infracciones, sino que también demuestra el cumplimiento ante investigaciones internas y externas. Por ejemplo, si una organización experimentara una violación de datos y hubiera documentado la capacitación de su personal sobre protección de datos, esto se usaría como evidencia para demostrar que habían tomado las medidas adecuadas para evitar una violación de datos y que se estaban tomando la legislación en serio, si hubiere.
- Revise las directrices del Grupo de Acción Financiera (GAFI) sobre el enfoque basado en el riesgo.
Para ayudar tanto a las autoridades del sector público como del privado a aplicar un enfoque basado en el riesgo, la GAFI ha adoptado una serie de orientaciones en cooperación con los sectores pertinentes. Las empresas deberán revisar las directrices aplicables a su industria para asegurarse que se adoptan las medidas.
Los datos son uno de los activos más importantes que tiene una empresa. Solo por esa razón, el programa de cumplimiento de protección de datos debe ser una prioridad para cualquier negocio.