Columnas
Ley de Protección de Datos (21.719): Pasos para su Implementación en las Organizaciones
Con la reciente promulgación y publicación de la Ley de Protección de Datos (21.719) el 13 de diciembre del 2024, las organizaciones enfrentan el desafío de comprender la importancia de proteger los datos personales de clientes, proveedores, subcontratistas y prospectos. Este reto implica respetar derechos fundamentales relacionados con la privacidad y priorizar la estrategia organizacional para asegurar una implementación oportuna, evitando retrasos que puedan comprometer el cumplimiento.
*Por Andrés Pumarino
Con la reciente promulgación y publicación de la Ley de Protección de Datos (21.719) el 13 de diciembre del 2024, las organizaciones enfrentan el desafío de comprender la importancia de proteger los datos personales de clientes, proveedores, subcontratistas y prospectos. Este reto implica respetar derechos fundamentales relacionados con la privacidad y priorizar la estrategia organizacional para asegurar una implementación oportuna, evitando retrasos que puedan comprometer el cumplimiento.
El primer desafío radicará en entender la relevancia de este cambio normativo y su impacto en la gestión organizacional. El segundo gran reto es establecer cómo iniciar este proceso, considerando que el plazo para la implementación es de 24 meses desde la publicación en el Diario Oficial.
Para abordar este proceso, se recomienda dividir la implementación en fases que permitan un avance estructurado. En la primera fase, denominada Diagnóstico y Planificación, las organizaciones deben realizar un análisis diagnóstico para evaluar sus capacidades actuales de protección de datos, considerando estándares internacionales como el Reglamento General de Protección de Datos (GDPR) y normas como la ISO/IEC 27.701. También es crucial identificar brechas de cumplimiento, evaluar controles de seguridad existentes y diseñar medidas estratégicas iniciales, como un Modelo de Gestión de Protección de Datos, políticas de privacidad para la web y un plan de capacitación para el personal. Por último, se debe establecer una hoja de ruta que guíe las mejoras necesarias hasta 2025.
En la segunda fase, Implementación y Evaluación de Riesgos, se consolidan las acciones iniciales y se abordan pasos críticos. Esto incluye la creación de un Registro de Actividades de Tratamiento (RAT) conforme a la Ley de Protección de Datos, el desarrollo de un Mapa de Riesgos en protección de datos para identificar riesgos críticos, y la elaboración de un Plan de Tratamiento de Riesgos que contemple medidas correctivas. Además, se deben realizar Evaluaciones de Impacto en Protección de Datos (DPIA) para tratamientos de alto riesgo, así como revisar y perfeccionar las políticas y procedimientos existentes, incorporando mecanismos de mejora continua.
La implementación de estos pasos no está exenta de dificultades. Muchas empresas operan con un conocimiento limitado sobre el tratamiento de datos personales, lo que requiere un cambio cultural significativo. También es fundamental realizar ajustes internos, como la modificación de reglamentos y políticas internas, la revisión y actualización de cláusulas contractuales, y la promoción de la concientización y formación en protección de datos para generar una cultura organizacional alineada con la normativa.
El liderazgo será un factor determinante para garantizar una implementación efectiva. Las organizaciones, tanto públicas como privadas, deben centrarse en construir confianza digital con sus clientes, proveedores y trabajadores, asegurando la gestión responsable de los datos personales. Este enfoque no solo facilitará el cumplimiento normativo, sino que también fortalecerá la reputación corporativa en un entorno digital cada vez más exigente.
*Andrés Pumarino . Abogado. Socio de Contraloría Privada
