Los desafíos empresariales frente a la nueva regulación de protección de datos.
Share
Comienza la cuenta regresiva. La inminente puesta en práctica de la ley de protección de datos ecuatoriana supone un hito importantísimo en el ámbito de la privacidad y tratamiento de los datos personales que todas las organizaciones públicas y privadas deberán cumplir.
Lo ocurrido en las últimas semanas es la materialización de todos los síntomas que se identificaron hace bastante tiempo y este es el momento ideal para tomar acciones y desarrollar iniciativas diferenciadoras para garantizar lo que más aprecia un cliente o un proveedor: su privacidad.
La regulación de protección de datos afecta a todas las organizaciones y presenta desafíos nuevos relacionados con la privacidad y su proceso de cumplimiento que requiere actividades relacionadas con la gestión del riesgo de privacidad de la organización, las mismas que hay que considerar desde tres aristas:
Cumplimiento
La regulación viene con sanciones por no cumplir con los principios básicos de procesamiento de la información. Esto puede someter a la organización a multas que la afecten significativamente.
Reputación
La reputación de la organización está cada vez más vinculada a su capacidad para proteger la privacidad de sus clientes. Por lo tanto, las infracciones de privacidad causan daños significativos a la reputación de las organizaciones.
Desafíos organizacionales
Para cumplir con las normas de protección de datos, las organizaciones deben ser responsables. Lo que requiere de una mejor documentación y mantenimiento de registros. Los cambios podrían implicar una transformación organizacional fundamental.
Enfrentar los desafíos que trae la protección de datos
Las organizaciones deben cambiar su enfoque de sólo evaluar e implementar regulaciones de protección a la operatividad de sus procesos de privacidad. La organización debe implementar un marco de control para la puesta en práctica de medidas de privacidad y protección de datos. Por ejemplo, el marco de implementación de EY:
- Identificación y clasificación de los procesos o tratamientos de datos, que comprende:
- Identificación de procesos.
- Identificación preliminar de riesgos asociados.
- Clasificación de los procesos.
- Para completar esta evaluación se realizan entrevistas con todos los responsables de las áreas y grupos cuyo trabajo tenga exposición a riesgos de datos personales.
- Derivado de los resultados de la evaluación de cumplimiento y adecuación de la regulación y teniendo en cuenta la clasificación de procesos, se elabora un plan de acción donde se identifican todas las actividades que son necesarias ejecutar para cumplir con la regulación.
- Se realiza un análisis de impacto en la privacidad de todos aquellos procesos o tratamientos susceptibles de disponer información de clientes, proveedores o sujetos de datos (p.e. tratamientos de datos masivos, uso de nuevas tecnologías, datos especialmente sensibles).
- • Se elaboran todos los procedimientos, protocolos, cláusulas que son necesarias y derivadas del análisis de impacto.
Beneficios con la implementación de las medidas de protección de datos
Una correcta adaptación a la regulación que implique una adecuada gestión del riesgo permitirá a la organización:
- Alinear exigencias regulatorias, estrategia digital y oportunidades de negocio
- Liderar el ciclo de vida de gestión de datos personales desde su captura hasta su destrucción
- Evaluar los riesgos del negocio y proteger el valor de la compañía para los accionistas.
Aspectos legales del proyecto
En relación con el aspecto legal, si bien Ecuador reconoce y garantiza la protección de datos desde el año 2008, no cuenta con una legislación específica y especializada vigente sobre el tema; situación que está por cambiar ya que el 19 de septiembre de este año se ha presentado ante la Asamblea Nacional un “Proyecto de Ley Orgánica de Protección de datos Personales”.
Se destacan en este proyecto los siguientes elementos:
- Sigue el modelo europeo de tinte garantista, es decir con un enfoque de protección del derecho de cada ciudadano a sus datos personales.
- Se crea la Autoridad de Protección de Datos Personales, que dependería de la Función Ejecutiva con autonomía administrativa y financiera.
- Incluye el principio de aplicación favorable al titular, es decir que en caso de duda sobre el alcance de la legislación en la materia o de cláusulas contractuales, los órganos competentes deberán interpretar y aplicar el sentido más favorable para el titular de los datos.
- Se introduce la figura del Derecho al Olvido Digital, permitiendo que el titular de los datos acceda a los jueces para obtener de forma inmediata del responsable del tratamiento de datos y bajo ciertas condiciones, la supresión de sus datos personales en casos tales como datos de carácter obsoleto o cuando dichos datos no tengan valor histórico o científico.
- Los datos proporcionados por los usuarios a los prestadores de servicios de telecomunicaciones no podrían ser usados para la promoción comercial de servicios o productos, incluso de la propia operadora, sin el consentimiento del usuario, el cual debe constar en un instrumento jurídico separado.
- Un elemento interesante del proyecto, que atañe a los grupos empresariales son las normas corporativas vinculantes, las cuales pueden ser presentadas a la Autoridad de Protección de datos personales por los responsables o encargados del tratamiento de dichos datos para su aprobación; esta propuesta debe incluir condiciones como ser de obligatorio cumplimiento para la totalidad del grupo empresarial y la implementación de la protección desde el diseño y por defecto.
- Incluye normativa destinada a mitigar riesgos, así como un régimen sancionatorio para el sector privado que conlleva en caso de infracciones leves multas del 3% al 9% sobre el volumen del negocio y en caso de infracciones graves del 10 al 17% sobre el volumen del negocio.
Sectores Privado y Público deben ir preparando el camino de la implementación de la norma que, si bien ahora está todavía en discusión, incluye varias obligaciones que deberán ser acatadas y aplicadas; a nivel jurídico será necesario una instrumentación de varios tipos de contratos como por ejemplo los contratos de confidencialidad y manejo de datos adecuados de datos personales con encargado y personal a cargo del tratamiento de los datos.
Como corolario y de ser aceptado el texto de la normativa propuesta, debemos destacar que una de las disposiciones transitorias del proyecto dispone que todo tratamiento realizado previo a la entrada en vigencia de la Ley deberá adecuarse a lo previsto en aquella dentro del plazo de dos años contados a partir de su publicación.