Por Ing. José Luis Mauro Vera, MBA, CISA. – Gerente del departamento de Consultoría en EY Uruguay.
La complejidad para cumplir con las leyes y regulaciones aplicables, así como el temor de las consecuencias que se pueden enfrentar con relación a los incidentes vinculados a los datos personales, son preocupaciones que implican nuevos desafíos para las organizaciones. Incumplimientos al procesar, transferir o almacenar datos de ciudadanos europeos, podrían implicar multas millonarias. En Uruguay la ley de presupuesto (19670) de enero de 2019 incluyó artículos que responden a la vigencia del Nuevo Reglamento General de Protección de Datos (GDPR) de la Comunidad Europea. Estos se pueden resumir en:
A. Ampliación del ámbito de aplicación de la ley de protección de datos para las entidades que, fuera de fronteras, lleven a cabo actividades de tratamiento de datos personales de uruguayos.
B. Cuando un responsable o encargado de una base de datos personales tome conocimiento de que se ha vulnerado la seguridad, deberá reportar dicho incidente y las medidas a
tomar en forma inmediata tanto para el titular de los datos, como a la Unidad Reguladora y de Control de Datos Personales (URCDP).
C. La responsabilidad por la violación de las leyes y regulaciones de protección de datos personales recae en el responsable y el encargado de la base de datos personales, debiendo adoptar ambos las medidas técnicas y organizativas que correspondan para protegerlos.
D. Las entidades públicas y privadas que traten grandes volúmenes de datos o datos sensibles deberán incorporar la figura de un Delegado de Protección de Datos (equivalente al Data Protection Officer), quien asesorará en la formulación, diseño e implementación de políticas y procedimientos de protección de datos personales, supervisar el cumplimiento y proponer medidas para adecuarse a la normativa, y actuando como nexo con la URCDP.
Todo lo anterior requiere la implementación de distintas medidas de control sobre las personas, los procesos y tecnologías vinculados con los datos personales.
Antes que nada, es necesario que los directorios y niveles ejecutivos más altos sean conscientes de los riesgos e importancia del tema, ya que sin dicho apoyo cualquier medida tomada no será sostenible a lo largo del tiempo. En este sentido, las organizaciones podrían implementar las siguientes medidas:
A. Realización de análisis de riesgos, análisis de ciber riesgos vinculados con la seguridad y protección de los datos personales y análisis de aplicabilidad legal y regulatoria.
B. Identificar las medidas de control adoptadas y trabajar sobre aquellas situaciones en las que se identifiquen gaps.
C. Contar con Políticas de Seguridad y Privacidad formales.
D. Analizar el impacto de posibles divulgaciones, manipulaciones o borrado no autorizado de datos personales en la reputación, cumplimiento y sus consecuencias económicas, y en el cumplimiento de los objetivos.
E. Probar regularmente la seguridad de las aplicaciones por intermedio de tests de vulnerabilidades, considerando intrusiones a nivel externo como interno, especialmente sobre
las aplicaciones web utilizadas.
F. Contar con procedimientos para el registro, tratamiento y reporte de incidentes vinculados a la divulgación o accesos no autorizados de datos personales.
G. Capacitar y sensibilizar al personal y usuarios de los datos personales en cómo identificar los incidentes y qué acciones deberían tomar. Considerar la realización de pruebas o simulacros de vulneraciones mediante ingeniería social.
Es necesario adoptar un enfoque proactivo, para prevenir y reducir el impacto que las vulnerabilidades puedan tener sobre los datos personales. La ley no castiga ni prohíbe la existencia de vulnerabilidades, porque son inherentes a los sistemas. La falta de medidas tomadas por la organización para proteger y comunicar adecuadamente a las organizaciones son las que pueden traer consecuencias legales y de reputación. Por ello, resulta clave tomar acciones que ayuden a construir transparencia y confianza por parte de las organizaciones hacia sus clientes.
Inicio de sesión
¿Todavía no tenés cuenta? Registrate ahora.
Para continuar con tu compra,
es necesario loguearse.
o iniciá sesión con tu cuenta de:
Disfrutá El Observador. Accedé a noticias desde cualquier dispositivo y recibí titulares por e-mail según los intereses que elijas.
Crear Cuenta
¿Ya tenés una cuenta? Iniciá sesión.
Gracias por registrarte.
Nombre
Contenido exclusivo de
Sé parte, pasá de informarte a formar tu opinión.
Si ya sos suscriptor Member, iniciá sesión acá