Como adapto mi organización a la próxima Ley de Protección de Datos Personales en Panama

Cuando se habla de protección de datos usualmente pensamos en la tecnología, pues finalmente nuestra empresa almacena sus datos en computadoras y data centers, sin embargo, hay un factor predominante que ningún experto en seguridad tecnológica conoce mejor que nosotros: las personas de nuestra organización. En este artículo le ayudaremos a identificar a que prestar atención y realizar una evaluación sencilla (de solo 3 preguntas) para cumplir lo establecido en la Ley de Protección de Datos Personales que será promulgada próximamente.

El actual proyecto de ley fue analizado legalmente en diversos medios, más allá del mismo y como ejecutivo me preguntaba: ¿cómo esta ley cambiara la operación de mi empresa?, los que nos encargamos de operar y aplicar lo que las normas exigen siempre pensamos en el cómo y en el cuánto ($).

Los usuarios de la tecnología son una variable impredecible, para mitigar riesgos implementamos procesos de negocio que ordenan y controlan lo que se hace y como se hacen las cosas en nuestra empresa. Cuando subestimamos el factor humano en la seguridad informática, como sucedió con Target (una de las mayores cadenas americanas de supermercados), se pueden generar afectaciones mayores como el robo de información financiera de los clientes que obligaron a gastar más $60 millones de dólares en costos de respuesta a los afectados, sin considerar los gastos adicionales por más de $100 millones de dólares.

Hasta aquí pareciera ser que los sistemas de seguridad de Target no detectaron la intrusión, sorprendentemente no fue así, la tecnología funciono bien: se emitieron alertas notificando la intrusión e instalación de un malware que no fueron atendidas por la empresa. Demostrando nuevamente que la detección de brechas de seguridad no solo depende de la tecnología, sino de los que hacen uso de ella. Aquí es donde toma importancia el análisis que hagamos sobre donde tomar atención y acción para reducir los riesgos de pérdidas económicas exorbitantes. Posteriores estudios del caso mostraron que la brecha de seguridad se originó cuando Target dio acceso a un pequeño proveedor que no contaba con prácticas de seguridad adecuadas.

Más allá de hablar sobre el uso de sofisticada tecnología y complejas definiciones, ayudamos a nuestros clientes a revisar las implicancias que tendrá el cumplimiento de Ley de Datos Personales (ahora en versión final del proyecto) planteándoles tres preguntas sencillas:

1. ¿Tenemos conocimiento de donde se ubican la(s) base(s) de datos de carácter personal que utiliza nuestra empresa?
2.  ¿Sabemos quiénes tienen acceso a las base de datos personales de la empresa?
3. Finalmente, si nuestra organización ya cuenta con Políticas de Privacidad y/o Condiciones de Servicio, verifiquemos si estas incluyen el consentimiento de los titulares de los datos para todas las finalidades de uso que le daremos a sus datos según el Art. 4. 

Hasta aquí algunos pensaran que la solución es simplemente implementar algún estándar de seguridad (ISO/IEC 27001:2013), lo cierto es que aún no tenemos el reglamento de la ley que indicará las certificaciones, protocolos, estándares y otras medidas que sean válidas para la autoridad según menciona el Art. 23. Hasta entonces solo queda esperar la promulgación de la ley y adaptar nuestra organización dentro del plazo de 12 meses para que esta entre en vigencia. 

Borrador de la Ley de protección de datos de carácter personal.

Articulo publicado originalmente en El Financiero Panamá - 24 Octubre de 2016.