28 de Enero - Día internacional de la Protección de Datos Personales | Tecnologías de la Información y Consultoria

28 de Enero - Día internacional de la Protección de Datos Personales

Un día cuyo objetivo es crear conciencia sobre la importancia que tienen nuestros datos personales y porqué deberían ser protegidos, sin duda una descripción con la que la mayoría de personas estaremos de acuerdo pero muchas veces no reconocemos claramente el alcance y relevancia de esta afirmación. En esta oportunidad plantearemos 5 preguntas que deberíamos hacernos en cuanto a protección de datos personales.

Por qué proteger los datos de las personas?

Por el impacto negativo que puede tener en las personas un mal uso de sus datos personales, expliquemos un poco :

La facilidad de transferencia de la información en la actualidad nos impide reconocer la magnitud de espacios en los cuales nuestra información es procesada, transferida o simplemente almacenada, el numero de servicios por los cuales nuestros datos pasan y la multitud de proveedores muchas veces no es conocida por el usuario y esto nos lleva a pensar equivocadamente que nuestra información esta en un solo lugar cuando en realidad ha pasado por múltiples empresas proveedoras de servicios.

La recopilación de datos personales dispersos son tareas que hoy podríamos automatizar, términos como minería de datos, bigdata o data analytics son solo algunos ejemplos de como trabajar con ingentes volúmenes de información y si a esto agregamos los medios de recopilación que podrían ser, apps, webs, videovigilancia, Internet de las Cosas entre otras, nos hacemos una idea de la complejidad de la infraestructura desplegada globalmente y a la que tenemos acceso, tanto voluntaria o involuntariamente.

Finalmente, agregamos un factor de impacto, es decir si por lo antes descrito deducimos que mucha de nuestra información esta fuera de nuestro control, cuanta de esta información puede ser utilizada en nuestra contra y generar un impacto negativo? por ejemplo :

  • discriminación por religión, preferencias políticas o rasgos étnicos.

  • publicación de fotos o videos íntimos.

  • extorsión, robo de identidad, entre otros.

De qué proteger los datos de las personas?

Tomando en consideración la pregunta anterior, podemos decir que a los datos personales debemos protegerlos contra un mal uso de los mismos, expliquemos un poco.

Cada dato que esta fuera de nuestro control ha sido proporcionado para algo, una finalidad o un objetivo específico, por ejemplo :

  • nuestras fotos para mostrar un viaje, un logro o simplemente una reunión de amigos;

  • datos para un sorteo, inscripción a un seminario o curso;

  • afiliación algún programa de recompensas o de fidelidad en algún centro comercial o servicio;

  • apertura de una cuenta bancaria o solicitud de un crédito, entre muchos otros ejemplos.

Lo que pretendemos señalar es que utilizamos nuestros datos personales para muchas cosas, pero comúnmente pensamos que solo serán utilizados para algo específico y muchas veces no leemos las letras pequeñas de las autorizaciones que damos en las cuales nuestros datos podrían utilizarse para cosas que no hemos imaginado.

En este punto debemos señalar que todos tenemos datos personales, es decir puedes ser el cajero de un banco, el operador de un call center, el guardia de un centro comercial o un prominente político, tus datos pueden estar siendo procesados en este preciso momento para cosas que te ocasionen un impacto negativo.

La protección de los datos esta ligada muy estrechamente a que estos sean apropiada y responsablemente utilizados, debemos tomar en consideración el hecho de que el tener acceso a datos de otras personas no significa que puedas utilizarlos, o que si los datos de las personas están en internet, estos sean de dominio público.

La Ley 29733, Ley de Protección de Datos Personales es un tema solo jurídico y de abogados?

Cuando citamos leyes o legislación aplicable, es común pensar que el área de especialidad es el derecho, pero en el caso de la ley 29733, no solo se debe tomar en cuenta el aspecto legal sino el práctico. Así podemos tener que un proceso puede tomar meses en solucionarse y puede ser apelado a diversas instancias lo cual es enteramente viable desde el punto de vista jurídico, pero esto no brinda una respuesta al afectado quién tendría que esperar todo este proceso.

Debemos tener en consideración que el marco legal es uno de los aspectos mas importantes para poder desarrollar la protección de datos personales en un país, pero la gran mayoría del procesamiento de esos datos y el mal uso o uso abusivo se realiza con el concurso de medios tecnológicos, por lo que se ha tornado un tema que tiene mucha relevancia en sistemas de información o diseño de procesos o proyectos desde las fases iniciales, enfoques como el de privacidad por diseño hacen que se aborden estos temas no solo evitando el impacto negativo a las personas, sino también el impacto negativo a la organización y el cumplimiento normativo.

Podemos encontrar que el avance de normas internacionales en cuanto a privacidad se ha centrado mucho en entornos tecnológicos, normas como la ISO/IEC 29100 que presenta un framework sobre privacidad no solo es aplicable a entornos TIC sino también puede aplicar sus principios al diseño de procesos o a la planificación de proyectos.

Un aspecto relevante es el costo, toda vez que modificar procesos e infraestructura es mucho mas costosa cuando ya esta en operaciones que al definirla antes de su puesta en operaciones, de este modo el hacer las cosas como se "debería hacer" resulta una inversión mas acertada que el realizar modificaciones posteriores.

Finalmente, señalar que dependiendo del ámbito en el que estemos evaluando el impacto de la protección de datos personales ( cualquier proceso, sistema, actividad, proyecto, iniciativa, etc que involucre datos personales) necesitaremos el concurso del personal que conozca el negocio y esto hace que todas las profesiones requieran conocer sobre protección de datos personales y su aplicabilidad.

Un problema u oportunidad para las empresas?

Una de las maneras mas comunes que se ha utilizado para acercarse a las empresas u organizaciones en materia de protección de datos personales es el tema de las sanciones administrativas, es decir vendiendo la idea de que si no se cumple la ley se exponen a multas, lo cual es cierto pero no es exactamente un argumento completo, explicamos esto.

El cumplir con una Ley es lo que se busca, pero ese no es el enfoque que deberían priorizar las empresas u organizaciones toda vez que lo que debe primar es evita que las personas se vean impactadas negativamente, especialmente por un uso inadecuado de los datos personales que estas personas naturales brindaron a la organización. Tomando las medidas de protección apropiadas que ayuden a cumplir este objetivo, hace que el cumplimiento de la Ley sea una consecuencia regida por la responsabilidad, el sentido común y la debida diligencia.

Muchas veces al optar por un enfoque muy ligado al cumplimiento normativo de la Ley y su reglamento, podemos caer en:

  • costos excesivos e innecesarios (por carecer de una evaluación apropiada);

  • resultados momentáneos (porque se realizo en un determinado momento y la organización sigue avanzando pero no se a incluido la protección de datos dentro de la cultura organizacional).

  • Clientes descontentos

  • Colaboradores descontentos

  • Multas (porque no se cubrió apropiadamente las medidas necesarias para demostrar que se cumple con la ley), entre otros.

Las empresas y organizaciones podrían abordara otros enfoques que les proporcionen mayores beneficios como :

  • Respeto por los clientes (fortalece la confianza);

  • Respeto por los colaboradores;

  • Es parte de la responsabilidad social corporativa en una sociedad de la información;

  • Es parte de las iniciativas dentro del campo de la Cyberseguridad;

  • Una adopción centralizada en las personas y con base en normas internacionales y las mejores prácticas permiten el cumplimiento de múltiples marcos legales en diversos países para empresas u organizaciones que tienen o pretenden tener operaciones internacionales, entre otros

Finalmente señalar que la protección de datos personales debería ser parte integral en la toma de decisiones en especial en cuanto a al diseños o ejecución de productos o servicios, a pesar de que no es muy conocida actualmente. las empresas deberían tomar esto en consideración pero no pensando en si la autoridad competente los va visitar para fiscalizar o no, sino si sus clientes, usuarios o colaboradores se ven impactados negativamente, toda vez que si la organización no responde apropiadamente ante por ejemplo el ejercicio de derechos ARCO, esto puede ocasionar una o múltiples sanciones por parte de la autoridad competente.

Muchas empresas piensan que no habrá mayor impacto, pero no contemplan el hecho de que cada vez mas son las personas que conocen sobre sus derechos y conocen sobre protección de datos, esto ocasionará sanciones por incumplimiento o infracciones pero no por iniciativa de las autoridades sino por el ejercicio de derechos de cada persona que ha comprendido y conoce sus derechos.

La protección de datos personales no colisiona contra los objetivos empresariales, solo hace mas transparente y responsable el uso de los datos de las personas (que nunca fueron un activo de la empresa), de modo que toda empresa puede continuar haciendo lo mismo pero ahora debe informar a las personas y respetar si las personas están de acuerdo o no que utilicen sus datos. Debería aprovecharse como oprtunidad de mejorar la confianza y la optimización de procesos responsable, apropiada y oprtunamente.

Cual es nuestro rol en todo esto?

La protección de datos personales no es un tema de una profesión específica o de un sector, es un aspecto ligado a cada persona y esto lo convierte en un tema social, todos debemos comprender cual es nuestro rol en el desarrollo de nuestros derechos, así pro ejemplo :

  • Las personas deben saber que sus datos solo se pueden utilizar para aquello que fueron autorizados, que pueden pedir información sobre que datos y para que se utilizan;

  • Las empresas deben ser consientes de que los datos de las personas no son material para hacer cualquier cosa, sino que siguen siendo datos de las personas y que ellos solo pueden utilizarlos para los fines que han sido autorizados;

  • Las entidades de formación académica deberían incluir temas de protección de datos en sus agendas de formación;

  • Las personas deberíamos compartir información, especialmente en referencia a riesgos, con otras personas (especialmente menores de edad o personas en situación vulnerable), entre otros

Finalmente, hagamos una reflexión :

La protección de datos personales es en Perú un derecho y como tal podemos exigir que se respete, los avances tecnológicos hacen que nuestros datos se vean cada mes mas fácilmente explotables (técnicamente) , por ello es necesario como mecanismo de equilibrio un marco legal nos ayude a protegernos.

Un ejemplo es quizás un martillo, se puede utilizar para colgar un cuadro, para armar un mueble o para matar a una persona, el marco legal nos permite hacer cualquier cosa con un martillo, pero lo que no podemos hacer es matar a alguien, esto independientemente de si se hace con un martillo o con un arma de fuego, esto es una infracción, del mismo modo en protección de datos personales no es relevante lo que hagas o como lo hagas, sino si afectas o no a la persona (y esto incluye los aspectos relacionados con protección de datos personales como el consentimiento o las medidas de seguridad).

 

=======================================================

Esperamos que esta información pueda ser de utilidad para los interesados.

Si usted esta interesado en estos temas puede contactarnos a info@gtdi.pe

 
 

 

Norma relacionada: 

Protección de datos personales Gobernanza TI  SGSI - 27001