Cuatro pasos para implementar la Ley de Protección de Datos Personales
Share
Por Alejandro Subía, Consultor de DATIA S.A.
En mayo de 2022 se cumple la mitad del plazo de dos años que contempla la Ley de Protección de Datos Personales para su implementación, es una alerta para las organizaciones que no han iniciado el proceso. La experiencia en Europa y en California que tienen leyes similares a la de Ecuador, evidenció que dos años fueron apenas suficientes para hacerlo. Al final de los dos años, según The Bloor Research Group, el 25% de las empresas en Europa y el 38% en California no estaban listas para pasar una auditoria e identificaron la complejidad de la ley como la causa principal para no implementarla en el plazo señalado.
Es importante notar que la ley no discrimina por tamaño de empresa u organización aplica a todas aquellas que por la finalidad de su actividad económica utilizan y guardan datos personales de los ciudadanos en cualquier medio.
Es mandatorio por tanto desarrollar un programa de protección de datos personales, y recalco: es un programa no un proyecto, pues el cumplimiento de la ley es una obligación permanente mientras está vigente.
Hay cuatro pasos que debe considerar el programa para llegar a la implementación exitosa de la ley.
1.- Designar los actores de la ley, el Delegado de Protección de Datos si aplica, y la contraparte de la autoridad de control. Educar al personal pues todos los funcionarios deben conocer el alcance de sus responsabilidades y los riesgos que tiene para la organización el incumplimiento de la ley.
2.– Análisis de la situación actual de la organización frente a la ley para identificar qué datos personales usa en su gestión, como los está protegiendo y su grado de alineamiento con la ley para evaluar de acuerdo con el análisis de riesgo las áreas de negocio que deben ser priorizadas.
3.- Desarrollo de todos los procedimientos operativos que satisfagan los requerimientos de la ley. A partir de la experiencia se han identificado más de 30 procedimientos que dependiendo del tipo de negocio deben estar documentados e implementados para demostrar cumplimiento frente a una auditoria.
4.- El paso más complicado es el control del cumplimiento de los procedimientos pues en caso de un evento que implique la pérdida, uso o exposición no autorizada de los datos personales la organización debe demostrar que los procedimientos se están cumpliendo para que la sanción sea menor. Para enfrentar esta etapa es recomendable contar con un programa de Gobierno de Datos que puede ser simple o complejo dependiendo de cómo sea el uso de los datos personales por parte de la organización.
Conceptualmente, el Gobierno de Datos permite el control del cumplimiento de las normas internas y externas que aplican a la organización, incluye un consejo de gobierno, un conjunto de procedimientos definidos, y un plan para ejecutar dichos procedimientos y la Ley Orgánica de Protección de Datos Personales como toda ley es un compendio de normas que se deben cumplir.