Etiqueta: Proteccion de Datos

Santiago, Chile. 26 julio, 2018. Existe una estrecha relación entre la legislación y las normas aplicables a los riesgos tecnológicos y operacionales. Un claro ejemplo de ello es el proyecto de Ley de Datos Personales que actualmente se está debatiendo en el Congreso. Esta iniciativa se suma a un anterior proyecto legislativo que pretende, como derecho constitucional, incluir al actual Artículo 19 de la Constitución el derecho fundamental de la protección de datos personales.

Las normativas tienen por objetivo garantizar la protección de la información que poseen las organizaciones y entidades sobre las personas, buscando una protección efectiva en sus derechos. Resulta de especial importancia, entonces, que las empresas tomen conciencia de este cambio normativo y establezcan de manera oportuna los protocolos, las políticas y controles idóneos para mitigar los riesgos legales asociados a su mal uso, pérdida o posibles filtraciones. Es clave también asumir la responsabilidad de imponer las medidas para reportar, informar y mantener debidamente resguardados esos datos, asegurando que se cumpla con los principios que establece la ley.

El 25 de mayo pasado entró en vigencia el Reglamento Europeo de Protección de Datos (RGDP). Se trata de un hecho que claramente afectará a las empresas y organizaciones de Chile, porque su aplicación es extraterritorial. Si una empresa que opera en Chile pertenece a un holding europeo o si una empresa chilena tiene en sus filas a un trabajador con ciudadanía europea, el reglamento se aplica inmediatamente.

Entre las novedades que contempla la normativa europea, se ubica la de la obligación que tienen las empresas de designar a un encargado u oficial de protección de datos, conocido como Data Protection Officer, y la de reportar las brechas de seguridad que puedan sufrir las bases de datos que guardan la información. Otra innovación son las sanciones. Entre las que fija el reglamento aparecen las multas por hasta 20 millones de Euros o el 4% de sus ventas anuales mundiales en caso de negligencia en la protección de los datos personales. A eso se suma la posible prohibición del tratamiento de datos o la suspensión de las transferencias internacionales de datos, lo que, para determinados negocios, puede significar el cese de sus actividades. En definitiva, el impacto puede ser sobre la operación de la organización, debiendo ser considerado bajo el ámbito del riesgo operacional.

Con todo, las organizaciones deben estar preparadas y comenzar a tomar las medidas necesarias para acogerse a estos cambios normativos que impactarán, en gran medida, la manera como actualmente se está haciendo uso y tratamiento de los datos personales en razón de sus actividades. Lo anterior está muy relacionado a la mitigación de riesgos que se debe adoptar en la gestión de riesgo operacional y que en Chile falta mucho para lograr un estado de madurez. No obstante se avanza y el Reglamento Europeo de Protección de Datos empuja a que estos temas se analicen y dejen de ser reflexiones de unos pocos entendidos para transformarlos en un asunto de discusión nacional.

• A partir del 25 de mayo, este reglamento entrará en vigencia en la Unión Europea, mientras que, en Chile, se espera que la Ley que ya fue aprobada en el Congreso, sea promulgada por el Presidente Sebastián Piñera.

Santiago, Chile. 24 mayo, 2018. El caso de Cambrige Analytica, empresa que ocupó información personal de los usuarios de Facebook para hacer anuncios políticos en las elecciones presidenciales norteamericanas del 2016, puso en evidencia la vulnerabilidad del sistema actual. Sin embargo, situaciones como esta pronto podrían evitarse gracias al cambio de reglamentación de la Unión Europea, que entra en vigor este 25 de mayo, y que regula la forma en que las organizaciones usan y almacenan la información personal. La regulación se centra en la privacidad y los derechos de los ciudadanos de la UE para proteger su privacidad.

Esta acción se está replicando en Chile, donde ya fue aprobada tras una serie de modificaciones realizadas por la Cámara de Diputados a la Ley de Protección de Datos Personales. Ahora solo resta la comunicación al Ejecutivo del gobierno del Presidente Piñera para que la norma sea promulgada.

Cristián Cabezas, solutions director en Dimension Data Chile, explica que “en el caso europeo las regulaciones se centran en los derechos de los ciudadanos, pero dado la naturaleza global de los negocios, estas normas pueden tener un impacto en las empresas de todo el mundo. Independientemente de que tengan o no operaciones europeas importantes, cualquier organización que realice o haya hecho negocios con ciudadanos europeos estará sujeta a la aplicación del nuevo reglamento”.

Las organizaciones que no cumplan estarán sujetas a sanciones que irán de forma escalonada. La nueva ley comprende 99 artículos, cada uno con subcomponentes, en donde los ciudadanos de la UE tienen derechos específicos enumerados en relación con su privacidad y su información de identificación personal. Las organizaciones ahora tienen la responsabilidad de demostrar consistentemente que están protegiendo esos derechos, lo que puede ser muy similar a lo que suceda en el resto del mundo en un futuro cercano, según el experto de Dimension Data Chile.

En específico, Cabezas detalla que las organizaciones europeas deben respetar las siguientes cinco disposiciones de consentimiento personal:

1. Derecho a ser olvidado. Conocida formalmente como el “derecho a borrar”, esta disposición otorga a las personas el derecho de solicitar que su información de identificación personal sea eliminada o eliminada “sin demora indebida”.

2. Derecho a optar por no participar. Quizás se considere más acertadamente una cuestión de opción, la regulación requiere que los individuos den su consentimiento de forma activa para compartir su información personal con una organización. Este mandato va más allá de lo que muchas empresas están acostumbradas a considerar como consentimiento, ya que señala específicamente que “el silencio, las opciones pre-marcadas o la inactividad” no constituyen consentimiento.

3. Derecho de acceso. En cualquier momento, las personas pueden solicitar y recibir información que detalle qué datos personales se procesan y con qué fines. Este derecho ayuda a las personas a garantizar la recopilación y el procesamiento legal de su información personal.

4. Derecho a la portabilidad de datos. Las personas no solo tienen derecho a acceder a sus datos, sino que también tienen derecho a usar sus propios datos personales en múltiples servicios. Por ejemplo, el usuario de un servicio de transporte tiene derecho a solicitar que sus datos se transmitan directamente a un servicio competidor, y un cliente bancario puede solicitar que su información se comparta con una empresa de planificación financiera.

5. Derecho a oponerse. En cualquier punto, los ciudadanos de la UE pueden objetar que la organización maneje sus datos personales. La regulación menciona específicamente el marketing directo y el perfil como usos de datos personales a los que los individuos pueden oponerse. Al recibir una objeción, las organizaciones deben proporcionar documentación sobre cómo se procesa y utiliza la información personal, lo que requiere una evaluación oportuna de qué datos se recopilan, dónde se encuentran y cómo se usan en cualquier momento. Si el individuo solicita que se eliminen sus datos, las organizaciones no solo deben hacerlo, sino también demostrar que los datos solicitados ya no se utilizan.