¿Qué viene si se aprueba el proyecto de datos personales? Expertos analizan los impactos más relevantes

La aprobación de esta normativa supone un cambio en la forma en que las empresas manejan y protegen la información sensible, alentándolas a adoptar prácticas más transparentes, seguras y responsables en el manejo de los datos personales de sus clientes y empleados.
Seguir leyendo

Hace casi siete años que en el Congreso se inició la discusión en torno al proyecto que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales, el cual se encuentra actualmente en Comisión Mixta tras el rechazo de 24 indicaciones vinculadas con definiciones de conceptos y precisiones de términos.

Se trata de una normativa que busca actualizar las obligaciones vigentes en esta materia, mediante modificaciones que pretenden asegurar estándares de calidad, información, transparencia y seguridad en el tratamiento de datos. “Se debe considerar que la ley anterior no aterrizaba con detalle las obligaciones de las entidades que tratan datos, por lo que hoy, de aprobarse el proyecto, se elevaría el estándar a uno de nivel internacional”, señala Ruby Soteras, socia de Deloitte Legal, quien destaca el establecimiento de obligaciones o deberes específicos de las entidades que tratan los datos, especialmente asociados a la gestión de la licitud del tratamiento de datos, el cuidado y seguridad de ellos, y el deber de reportar incidentes, entre otras modificaciones.

Estos cambios suponen “un impacto significativo en la forma en que las empresas se resguardan actualmente y cómo deben -a partir de ahora- mejorar estas metodologías para dar cumplimiento a los conceptos de ley que están por trazarse”, asegura Belkys Cabrera, líder Auditor en Seguridad de la Información y Ciberseguridad de ITQ Latam.

De esta manera, las empresas estarán obligadas a ser más transparentes sobre cómo recopilan, procesan y almacenan los datos personales, además de informar a los individuos sobre qué datos recopilan, con qué fines y obtener su consentimiento explícito para su procesamiento.

Soteras complementa que las nuevas obligaciones incentivan el cumplimiento mediante el establecimiento de cuantiosas multas, que llegan hasta el 4% de los ingresos anuales que tengan los eventuales sancionados, por ventas y servicios y otras actividades en el último año, con un máximo de 20.000 UTM.

señala María Luisa Acuña, socia de Cyber Risk en Deloitte, detallando que el impacto será mayor en aquellas industrias que procesan grandes cantidades de datos como empresas de salud, de seguros, instituciones financieras y bancarias, así como también empresas de e-commerce, o plataformas en línea.

Un cambio que implica que los sectores empresariales “tendrán que destinar mayores recursos y tiempo a la implementación de una gobernanza de datos y los procesos, procedimientos, y controles asociados a ella”, explica César Pallavicini, socio de la Alianza Chilena de Ciberseguridad y representante de Pallavicini Consultores. Asimismo, el ejecutivo señala que las empresas con un mayor grado de madurez en el ámbito de seguridad de la información -que incluye la gestión de ciberseguridad- necesitarán menos tiempo para adecuarse a los nuevos requerimientos y, sin embargo, la mayoría deberá iniciar proyectos de desarrollo de procesos, políticas y procedimientos basados en  estándares internacionales como las normas ISO 27001:2022, ISO 27002:2022, ISO 27032, CIS Control e incluso planificar el framework NIST, puntualiza.

Más allá de los cambios regulatorios

No solo se requerirán cambios en los estándares de seguridad. Vendría también un período de capacitación y educación, en todos los niveles de las compañías, sobre los efectos negativos que podría tener la filtración de datos personales y cómo prevenirlos. En ese sentido, Cabrera complementa que es esencial “preservar la privacidad, prevenir el abuso y la discriminación; evitar el robo de identidad y el fraude, preservar la confianza del cliente, cumplir con las leyes y regulaciones, y proteger la integridad personal y emocional de las personas”.

Acuña, por su parte, destaca la importancia de que las empresas tomen este cambio como una oportunidad para impulsar la confianza en sus clientes, conocer en mayor profundidad dónde están almacenados los datos y bajo qué estructura e identificar dónde hay posibilidad de apalancarse en estrategias de transformación digital para inspirar un impulso cross-empresa para avanzar en estas materias.

Nuevas estrategias

A pesar de que aún no se aprueba el proyecto, las grandes empresas ya comenzaron su camino hacia un trato de información “responsable y consciente”, sostiene Hugo Galilea, socio director de la Alianza Chilena de Ciberseguridad, representante del Colegio de Ingenieros.

En ese sentido, Soteras explica que las empresas deberán mapear el costo en tiempo y recursos necesarios para elevar el cumplimiento en materia de protección de datos, estableciendo las medidas técnicas y organizativas para cumplir con la normativa, definiendo nuevos roles como el de oficial protector de datos, conocido como DPO, por su sigla en inglés. Un cargo que, en el caso local, la reforma denomina como “Delegado de Protección de Datos”.

Asimismo, la adopción de tecnologías que permitan identificar y mapear la información personal disponible, implementar controles que salvaguarden la integridad y aplicar controles específicos para proteger la información sensible “fortalecerán el manejo de datos de las empresas chilenas, permitiéndoles adecuarse a las exigencias legales y proteger la privacidad de los datos personales de sus usuarios y clientes”, concluye Claudia Santa Ana, socia directora de la Alianza Chilena de Ciberseguridad, representante de Microsoft.

Share This