sábado, 8 de febrero de 2014

Como cumplir la Ley de Protección de Datos Personales


Como ya sabrán, la ley de protección de datos personales en el Perú entro en vigencia en Mayo del 2013  y surge de la necesidad de legislar para fomentar y promover buenas prácticas en materia de privacidad para protección de las personas y nuestros clientes, en caso de qué se esté manejando información de carácter personal. El objetivo de la ley es proteger los datos personales en posesión de las empresas y se encarga de regular que dichos datos sean utilizados únicamente con la finalidad que fueron entregados, se tenga un control de quién y para qué los tiene y que el titular o dueño de los datos siempre esté informado del tratamiento que se realice sobre dichos datos.

Actualmente, las empresas ya deben de contar con el Responsable del Departamento de Datos Personales y el Aviso de Privacidad, éste último es un documento físico, electrónico o en cualquier otro formato (visual o sonoro) que es presentado al titular previo al tratamiento de sus datos personales, y básicamente debe contener la siguiente información:
·         Quién recaba (Nombre del responsable)
·         Qué es lo que se recaba (Los datos que van a ser solicitados)
·         Para qué se recaban
·         Cómo limitar su uso o divulgación
·         Cómo revocar el consentimiento
·         Indicar los medios por los cuáles el titular puede ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
·         Si se acepta o no que los datos se comuniquen a terceros
·         Cómo se van a comunicar cambios en el aviso de privacidad
·         Indicar si se están recabando datos sensibles (datos que en caso de ser divulgados pueden afectar a la esfera más íntima del titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste, ejemplos: creencias religiosas, afiliación sindical, información genética, etc.)
Podemos mirar a países como España, Argentina y México que ya cuentan con experiencia en esta ley, sin embargo en el Perú hay poca información de qué pasos seguir para cumplir con la misma, y no sólo en el aspecto de contar con el aviso de privacidad y un responsable del Departamento de Protección de Datos, si no qué hacer para proteger la confidencialidad e integridad de dichos datos.
A continuación, se presenta un esquema cíclico por fases de que hacer para la protección de los datos personales, incluso se puede aplicar para protección de cualquier tipo de información (propiedad intelectual, patentes u otra información sensible de las organizaciones):
Descubrir y clasificar
1.     Conocer a la organización, identificar todos los perfiles de los colaboradores, cuáles son los alcances y funciones de cada tipo de colaborador. Tener claramente identificado si la información o los datos personales los va a tratar un tercero (ejemplo: callcenter, outsourcing de servicios, etc.) y que obligaciones debe de cumplir para el cuidado de los datos. Ejem. Firmar un contrato de confidencialidad.
2.     Clasificación de los datos personales por criticidad en Baja, Media o Alta, dicho nivel de prioridad se mueve en función de la publicidad del dato hacia la intimidad del mismo. Por ejemplo, en el nivel bajo podemos considerar los datos generales como nombre, apellido, fecha de nacimiento, en un nivel medio pudiera se el perfil profesional de un empleado o candidato, antecedentes legales y finalmente en el nivel alto se encuentran todos los datos que ya invaden la privacidad, es decir los datos sensibles. Se recomienda la intervención de un experto en el tema para que apoye identificar y clasificar los datos a la organización.
3.     Realizar un inventario de los activos  y sistemas de tratamiento de los datos de la organización. Contar con la lista de dispositivos móviles tales cómo laptops, smartphones, tablets, equipos de almacenamiento, discos duros externos, USB’s, servidores, workstations, impresoras, etc. Y no sólo ello si identificar quienes tienen o deberían tener acceso a dichos activos y sistemas, preguntarse ¿qué tipo de información se almacena y procesa por equipo, dispositivo o sistema? ¿cómo está controlando el acceso a los mismos? ¿Quiénes manejan esos datos?

Evaluar y asegurar
1.     El análisis de vulnerabilidades es un componente crítico de cualquier infraestructura de seguridad,  ya que representa un diagnóstico de las debilidades que puedan tener o tienen las organizaciones en sus sistemas de información y en sus equipos, permitiendo la detección proactiva y remediación de vulnerabilidades de seguridad.
2.     Análisis de comportamiento del flujo de los datos ¿quién accede o qué tipo de usuarios acceden a ellos y cómo?, con la finalidad de identificar una intrusión o mal uso de la información.
3.     La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación estimar las consecuencias que supondría tanto cuantitativamente como cualitativamente. ¿Qué puede ir mal?, ¿Con qué frecuencia puede ocurrir? ¿Cuáles serían sus consecuencias? ¿Qué se intenta proteger? ¿Cuál es su valor para la organización? ¿Frente a qué se intenta proteger (amenazas internas y externas)? ¿Cuál es la probabilidad de un ataque?

Monitorear y fortalecer
1.     Visualizar en tiempo real qué es lo que está pasando con la información, que nos ayude a determinar si es usuario privilegiado, cómo se está teniendo acceso a la información. Para ello, nos tendríamos que contar soluciones que nos ofrezcan dicha visibilidad y que nos permita tomar medidas preventivas con base en la información que nos está mostrando.
2.     El cumplimiento de gran parte de los nuevos procedimientos estará basado fundamentalmente en la concientización y la participación de los colaboradores sobre el trato que dan a la información de sus clientes, proveedores y a su mismo personal, y la cultura que en materia de seguridad tenga la organización.
3.     Bloquear el acceso a los datos con base en alertas en tiempo real, y a la par contengan información que apoye en la educación de los usuarios del uso apropiado de la información confidencial.
4.     Contar con una solución que permita el monitoreo de flujo de datos.

Auditar y Generar reportes
1.     Revisión constante y periódica de las políticas o reglas implementadas para la protección de la información y prevención de  su fuga.
2.     Verificaciones o auditorías externas para verificar las políticas de privacidad.
3.     Generar reportes de cumplimiento para el fortalecimiento de la seguridad en los datos.
4.     Identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Utilización de ciertas técnicas para la obtención de la evidencia.

A partir de la identificación, análisis, monitoreo y generación de reportes se debe realizar un análisis de las diferencias del estado actual versus el estado de cumplimiento y desarrollar un plan de trabajo para subsanar dichas deficiencias  en materia de seguridad. Así como crear políticas, procesos, procedimientos, implementar tecnologías que mantengan al día la protección de datos personales. El proyecto debe abarcar a toda la organización, lo que sólo puede lograrse con un fuerte respaldo de los directivos para su seguimiento y por lo tanto cumplimiento.
Finalmente, considero muy importante el ver a la ley desde una perspectiva positiva para nuestras organizaciones y no sólo por imposición, en el sentido de que le está transmitiendo a sus clientes la experiencia de que están trabajando o haciendo negocios con una empresa seria y confiable, y que puede ser un diferencial frente a su competencia y mejorar su imagen como organización.

Fuente: Jazmín Ortíz