La Ley de Protección de Datos Personales traslada el cumplimiento desde lo documental hacia la gestión del riesgo. En este escenario, la gestión de roles, privilegios y accesos se convierte en el mecanismo que define cómo se protege la información, se controla su uso y se demuestra su trazabilidad dentro de la organización.
Ejes de análisis
- Gestión de identidades y accesos en el cumplimiento de la normativa
- Cumplimiento de la normativa desde la gestión y seguridad
- Prácticas para fortalecer el control de accesos y la protección de datos personales
La Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento han sido estratégicamente desarrollados en la normativa secundaria de la Superintendencia de Protección de Datos Personales. Para evaluar su impacto es necesario no centrarse únicamente en el ¿qué hacer?, sino en el ¿cómo hacerlo? Desde esta perspectiva, la guía de gestión de riesgos y evaluación de impacto del tratamiento de datos personales se ha convertido en el núcleo de la gestión de riesgos relacionados con el tratamiento de datos personales.
Los siete principios obligatorios plantean una visión de conformidad basada en riesgos y no cumplimiento en papel, lo que implica la obligación de auditar desde una perspectiva del “ser” y no únicamente del “deber ser”, así como justificar los valores y criterios de entrada en los análisis de riesgo. Probablemente, sea una las guías más adelantadas en el área de protección de datos personales debido a que se centra en la calibración a partir de métricas y modelos adecuados de riesgo.
Los controles de acceso son un área fundamental de la seguridad de datos personales, en especial en la dimensión de la protección de la confidencialidad de datos personales. Los responsables y encargados del tratamiento tienen en las guías material para implementar medidas de seguridad organizacionales y técnicas en cuanto a la prevención, la detección, y la respuesta a incidentes de seguridad de datos personales.
La gestión de accesos debe ser entendida en tres niveles: estratégico, operativo y táctico. A nivel estratégico, implica alinear la protección de datos personales con los objetivos esenciales de la organización y establecer mecanismos que permitan identificar decisiones que no estén alineadas con estos controles de riesgo. En el nivel operativo, se requiere la adopción de estándares de mejores prácticas como ISO/IEC 27001, 27701 o 42001, así como OWASP ASVS, cuyas taxonomías permiten seleccionar e implementar controles adecuados al riesgo. De igual forma, es necesario incorporar modelos como FAIR y FAIR-CAM para estructurar el análisis de riesgo. A nivel táctico, resulta necesario considerar el retorno de inversión en seguridad como un principio de gestión que permita monitorear la efectividad, eficiencia y rentabilidad de los controles implementados desde la lógica de valor al riesgo de datos personales.
Gestión de identidades y accesos en el cumplimiento de la normativa
Para comprender el rol de la gestión de identidades y accesos dentro del cumplimiento normativo, es necesario diferenciar dos conceptos. La identidad es la combinación de diferentes atributos fisiológicos, psicológicos, culturales, financieros, entre otros, que permiten identificar a una persona natural. En el entorno digital, cuando hablamos de identidad digital, estos atributos corresponden a datos personales almacenados en servidores, que deben coincidir con otros datos generados por el titular, a través de algo que se es, algo que se tiene o algo que se sabe, para inferir que la persona es quien dice ser.
Además, la protección de datos personales resguarda estos atributos de la identidad desde una visión centrada en el riesgo, con el objetivo de garantizar que la persona natural sea identificada únicamente por quienes cuentan con la debida autorización para acceder a esa información.
Desde la perspectiva de la protección de datos personales, estos atributos forman parte de la información que debe ser protegida. La normativa busca que la identificación de una persona se realice únicamente bajo condiciones controladas y con autorización. La gestión de roles, privilegios y accesos define quién puede acceder a estos datos, en qué condiciones y con qué nivel de privilegio.
En cuanto al control, los responsables del tratamiento deben aplicar el principio de mínimo privilegio, asignando permisos de acceso, lectura, escritura o ejecución únicamente a quienes estén autorizados. En el ecosistema ecuatoriano, aún persiste un desafío: las instituciones no terminan de entender que los atributos de la identidad son, en primer lugar, datos personales antes que públicos.
En términos de trazabilidad, el principio de responsabilidad proactiva y demostrada exige registrar los procesos que involucren el tratamiento de datos personales. Bajo un esquema de gobierno del dato, estos registros no solo permiten la gestión interna, sino que también funcionan como evidencia ante futuros litigios o controles de la SPDP.
Las organizaciones que no cuentan con controles adecuados de acceso enfrentan diversos escenarios de riesgo, como accesos no consentidos, fuga de información confidencial, ataques internos, ingeniería social, explotación de vulnerabilidades en aplicaciones web o envenenamiento de datos, entre otras.
Cumplimiento de la normativa desde la gestión y seguridad
Desde una perspectiva de gestión, es importante comprender que la LOPDP se fundamenta en la gestión de riesgos y no en el cumplimiento en papel. Se trata de una metaregulación en la que la autoridad supervisa la autorregulación de los responsables del tratamiento. Esto implica que no establece cómo lograr la conformidad, como ocurría en el derecho administrativo del siglo pasado, sino que obliga a reducir la incertidumbre en la toma de decisiones informadas para la protección de los derechos y libertades de los titulares de los datos.
En este sentido, es necesario adoptar una postura proactiva que permita evaluar el impacto material sobre las personas, considerando escenarios como discriminación, pérdida de empleo, limitaciones en el acceso a servicios o afectaciones en su bienestar. A su vez, la gestión del riesgo debe abordarse de forma multidimensional. No se trata únicamente de mitigar sanciones administrativas, sino de considerar también impactos financieros asociados a la productividad, la respuesta a incidentes, el reemplazo de activos, la pérdida de ventaja competitiva o la reputación.
Para las organizaciones, resulta útil cuantificar el riesgo, ya que, en muchos casos, la multa administrativa es menor frente a las pérdidas financieras que un incidente puede generar en otras dimensiones, como la productividad o la reputación.
Prácticas para fortalecer el control de accesos y la protección de datos personales
Los controles de acceso son una pequeña parte de los controles de riesgo necesarios para estar en conformidad con la LOPDP. No obstante, la seguridad organizacional en este ámbito requiere de una política de control de accesos que defina la gobernanza, los objetivos y los controles de riesgo a implementar.
Esta política debe ser socializada y puesta en práctica. El principal problema en la gran mayoría de instituciones sigue siendo contar con políticas de seguridad de la información bien estructuradas en el papel, pero sin implementación real.
En el ámbito técnico, es necesario considerar el principio de la escalabilidad, ya que todo depende del presupuesto. No es lo mismo hablar de BigTechs que de PYMES. Aunque existen múltiples soluciones de software de código abierto, libre y gratuito que pueden resultar útiles cuando se implementan correctamente, reduciendo los costos.
No hay que olvidar que los riesgos de seguridad de datos personales son, al mismo tiempo, riesgos operacionales, riesgos jurídicos (de cumplimiento normativo) y riesgos financieros. Por ello, se debe adoptar una gestión multidimensional del riesgo, aspecto desarrollado en la guía de gestión de riesgos y evaluación de impacto del tratamiento de datos personales.