Economía y Empresas > Análisis EY

Los datos personales y el impacto regulatorio y tecnológico

El compromiso de la Dirección en la adopción de medidas de control sobre las personas, procesos y tecnologías son clave para proteger en forma adecuada los datos personales

Tiempo de lectura: -'

04 de octubre de 2019 a las 05:00

Por Ing. José Luis Mauro Vera, MBA, CISA. – Gerente del departamento de Consultoría en EY Uruguay.

La complejidad para cumplir con las leyes y regulaciones aplicables, así como el temor de las consecuencias que se pueden enfrentar con relación a los incidentes vinculados a los datos personales, son preocupaciones que implican nuevos desafíos para las organizaciones. Incumplimientos al procesar, transferir o almacenar datos de ciudadanos europeos, podrían implicar multas millonarias. En Uruguay la ley de presupuesto (19670) de enero de 2019 incluyó artículos que responden a la vigencia del Nuevo Reglamento General de Protección de Datos (GDPR) de la Comunidad Europea. Estos se pueden resumir en:

A. Ampliación del ámbito de aplicación de la ley de protección de datos para las entidades que, fuera de fronteras, lleven a cabo actividades de tratamiento de datos personales de uruguayos.

B. Cuando un responsable o encargado de una base de datos personales tome conocimiento de que se ha vulnerado la seguridad, deberá reportar dicho incidente y las medidas a
tomar en forma inmediata tanto para el titular de los datos, como a la Unidad Reguladora y de Control de Datos Personales (URCDP).

C. La responsabilidad por la violación de las leyes y regulaciones de protección de datos personales recae en el responsable y el encargado de la base de datos personales, debiendo adoptar ambos las medidas técnicas y organizativas que correspondan para protegerlos.

D. Las entidades públicas y privadas que traten grandes volúmenes de datos o datos sensibles deberán incorporar la figura de un Delegado de Protección de Datos (equivalente al Data Protection Officer), quien asesorará en la formulación, diseño e implementación de políticas y procedimientos de protección de datos personales, supervisar el cumplimiento y proponer medidas para adecuarse a la normativa, y actuando como nexo con la URCDP.

Todo lo anterior requiere la implementación de distintas medidas de control sobre las personas, los procesos y tecnologías vinculados con los datos personales.

Acciones a tomar por parte de las organizaciones.

Antes que nada, es necesario que los directorios y niveles ejecutivos más altos sean conscientes de los riesgos e importancia del tema, ya que sin dicho apoyo cualquier medida tomada no será sostenible a lo largo del tiempo. En este sentido, las organizaciones podrían implementar las siguientes medidas:

A. Realización de análisis de riesgos, análisis de ciber riesgos vinculados con la seguridad y protección de los datos personales y análisis de aplicabilidad legal y regulatoria.

B. Identificar las medidas de control adoptadas y trabajar sobre aquellas situaciones en las que se identifiquen gaps.

C. Contar con Políticas de Seguridad y Privacidad formales.

D. Analizar el impacto de posibles divulgaciones, manipulaciones o borrado no autorizado de datos personales en la reputación, cumplimiento y sus consecuencias económicas, y en el cumplimiento de los objetivos.

E. Probar regularmente la seguridad de las aplicaciones por intermedio de tests de vulnerabilidades, considerando intrusiones a nivel externo como interno, especialmente sobre
las aplicaciones web utilizadas.

F. Contar con procedimientos para el registro, tratamiento y reporte de incidentes vinculados a la divulgación o accesos no autorizados de datos personales.

G. Capacitar y sensibilizar al personal y usuarios de los datos personales en cómo identificar los incidentes y qué acciones deberían tomar. Considerar la realización de pruebas o simulacros de vulneraciones mediante ingeniería social.

Es necesario adoptar un enfoque proactivo, para prevenir y reducir el impacto que las vulnerabilidades puedan tener sobre los datos personales. La ley no castiga ni prohíbe la existencia de vulnerabilidades, porque son inherentes a los sistemas. La falta de medidas tomadas por la organización para proteger y comunicar adecuadamente a las organizaciones son las que pueden traer consecuencias legales y de reputación. Por ello, resulta clave tomar acciones que ayuden a construir transparencia y confianza por parte de las organizaciones hacia sus clientes.

REPORTAR ERROR

Registrate gratis y seguí navegando.

¿Ya estás registrado? iniciá sesión aquí.

Pasá de informarte a formar tu opinión.

Suscribite desde US$ 245 / mes

Elegí tu plan

Estás por alcanzar el límite de notas.

Suscribite ahora a

Te quedan 3 notas gratuitas.

Accedé ilimitado desde US$ 245 / mes

Esta es tu última nota gratuita.

Se parte de desde US$ 245 / mes

Alcanzaste el límite de notas gratuitas.

Elegí tu plan y accedé sin límites.

Ver planes

Contenido exclusivo de

Sé parte, pasá de informarte a formar tu opinión.

Si ya sos suscriptor Member, iniciá sesión acá

Cargando...