Deber de seguridad de los datos ¿Dónde queda la privacidad?

Por: Juan Pablo González Gutiérrez*

Cada 28 de enero se celebra el Día Internacional de la Protección de Datos Personales, que coincide con el avance en la tramitación del Proyecto de Ley de Datos Personales, que se está discutiendo en tercer trámite constitucional.

Chile si bien se encuentra con una legislación desactualizada en la materia, recientemente se han aprobado otras normativas que permiten afirmar que las organizaciones deberán adoptar medidas de índole organizativas, técnicas o contractuales, ya sean preventivas o reactivas, para adecuar sus prácticas asociada al resguardo de los datos de materia personal que usan en sus procesos.

La reciente aprobada Ley que crea la Agencia Nacional de Ciberseguridad y, establece una institucionalidad en la materia, y, además, fija una serie de deberes generales para los servicios esenciales y algunos específicos para los operadores de importancia vital; sin perjuicio de los estándares que dicte la Agencia, que serán aplicables de manera transversal, que buscan una efectiva identificación y gestión de riesgos de ciberseguridad, pudiendo establecer un Sistema de Gestión de Seguridad de la Información (SGSI); que en el caso de los operadores de importancia vital es uno de los deberes específicos y por ende, obligatorio. Entre los elementos que este sistema debiera tener en cuenta, sin lugar a dudas, son los riesgos asociados a los datos personales y sensibles que procesa la organización.

El Proyecto de Ley de Datos Personales, señala en su artículo 3º sobre Principios, letra f) el de Seguridad, que el responsable debe garantizar estándares adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado o ilícito, y contra su pérdida, filtración, daño accidental o destrucción. Además, señala que las medidas de seguridad “deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la naturaleza de los datos”. Especificando este principio y ya estableciendo una obligación concreta al responsable, en el artículo 14º quinquies del proyecto, señala el deber de adoptar medidas de seguridad, en que “debe adoptar las medidas necesarias para resguardar el cumplimiento del principio de seguridad (…), considerando el estado actual de la técnica y los costos de aplicación, junto con la naturaleza, alcance, contexto y fines del tratamiento, así como la probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de datos tratados”.

Estas medidas deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos, como, evitar la alteración, destrucción, pérdida, tratamiento o acceso no autorizado.

El Reglamento de Protección de Datos Europeo (GDPR) en su artículo 32º, que establece la obligación de seguridad, establece algunas medidas que las organizaciones pueden adoptar, pero son de carácter referencial, como por ejemplo, la encriptación; pero además, se pudiesen adoptar otras acciones acorde al nivel de riesgo identificado en los usos de los datos personales, ya no solo de los clientes, sino de colaboradores o terceras partes (proveedores). Este elemento ha sido especialmente complejo, puesto que, para determinar las medidas adecuadas, se debe comprender los tipos de datos personales tratados como los sistemas informáticos que lo procesan, pero además, el nivel de riesgo para los derechos y libertades de los titulares de dichos datos, donde sin lugar a dudas, los riesgos propios de ciberseguridad o seguridad de la información son clave.

Así parece que ambas regulaciones si bien tienen elementos relacionados, además, permiten la reducción de silos de ciertas iniciativas dentro de una organización, particularmente, asociada a la estrategia de Ciberseguridad, por una parte, y a la Política de Privacidad por otra; debiendo adoptar acciones que sean coherentes, y no solo de índole técnicas, sino especialmente asociadas a generar cultura y conciencia dentro de la organización del rol relevante que deben cumplir, no sólo de algunas acciones técnicas (por ej. uso de VPN, cambio de Password, etc.)., reforzando su rol estratégico, sino que también para evitar el incumplimiento de la regulación y eventuales responsabilidades a nivel de Alta Dirección, y con ello responsabilidad de la persona jurídica.

Para concluir, una efectiva gestión de riesgos de ciberseguridad permitirá cumplir en cierta medida con el deber de seguridad del responsable de datos personales, siempre que estén alineadas con estrategias del negocio; pero no deben limitarse a un enfoque meramente técnico, sino que la adopción de estrategias organizativas que permitan lograr el cumplimiento más allá de lo formal. No existe una fórmula única para lograr este proceso, pero conocer los datos personales que existen en la organización, los sistemas en donde se encuentran como las actividades en que se usan, permitirán facilitar enormemente el trabajo multidisciplinario que deberán adoptar.

*Juan Pablo González Gutiérrez. Abogado regulación tecnológica y ciberseguridad