Hablar de protección de datos personales es un tema complejo. La razón: las organizaciones no han cumplido a cabalidad los lineamientos correspondientes, ya sea por desconocimiento o porque piensan: “ese tema no es necesario implementarlo todavía”.
La protección de datos personales hay que cumplirla sí o sí. De hecho, hay puntos fundamentales que no estamos teniendo en cuenta y que en realidad debemos analizar.
Tomemos como ejemplo México. En su Constitución se protege la información relacionada a los datos personales y la vida privada de las personas.
La “Ley Federal de Protección de Datos Personales en Posesión de los Particulares” establece definiciones, sujetos obligados, derechos, sanciones y procedimiento para garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
De igual forma, la “Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados” establece que la protección de datos personales está en el ámbito federal, estatal y municipal, además de los órganos de los Poderes Ejecutivo, Legislativo y Judicial.
Respecto al “Código Penal Federal”, éste tipifica los delitos que se pueden cometer en perjuicio de los datos personales.
Poca orientación sobre el tema
Al igual que las leyes de privacidad que hay en el mundo, hay muy poca orientación de cómo efectuar de forma eficiente los procesos que se establecen para cumplir con el “Reglamento General de Protección de Datos-RGPD”.
Actualmente, toman fuerzas las Normas Internacionales ISO 27701:2019, que son una extensión de privacidad de la Norma Internacional de Gestión de Seguridad de la Información, ISO 27001 (ISO 27701 Técnicas de seguridad-Extensión de ISO 27001 e ISO 27002, para la Gestión de Privacidad de la Información-Requisitos y Directrices).
Le invitamos a leer: La brecha salarial, un freno para las mujeres en la tecnología
La ISO 27701 especifica de forma rigurosa los requerimientos y brinda una orientación para el diseño, implementación, mantenimiento y mejora de un sistema de gestión de la información personal.
Este estándar se basa en los requisitos, objetivos de control y controles del estándar ISO 27001, e incluye un conjunto de exigencias de privacidad, controles y objetivos de control.
Mejores prácticas
Teniendo en cuenta esta información, ¿realmente se está implementado o realizando buenas prácticas en las organizaciones en cuanto a la protección de los datos personales?
Este tema le concierne tanto al sector gobierno como a las organizaciones privadas, pasando por organizaciones críticas, como son los sectores judicial, médico y ni hablar del financiero, que ha sido el más afectado por fraudes, ya que los ataques son más sofisticados y directos, generando que las personas sean presa fácil.
Es muy importante tener en cuenta que la ciberdelincuencia no escatima el tamaño de las organizaciones, que pueden atacar, robar y filtrar información sensible, que muchas empresas no están contemplando.
Sin protocolos actualizados
Ahora bien, se ha evidenciado que muchas de estas organizaciones ya han implementado Políticas de Tratamiento de Datos Personales, pero que son una copia de otras organizaciones, por lo que son implementadas sin un estudio real del tipo de organización que se tiene,
En otros casos, son muchas las organizaciones que cuentan con políticas de seguridad de 2010 que no han sido debidamente actualizadas.
Es importante recordar que la Protección de los Datos Personales representa una gran responsabilidad, en la que se debe invertir.
Si quieres un análisis de cómo está tu organización en el cumplimiento de políticas, ubica a un consultor con experiencia para que puedas cumplir con esta normatividad tan importante y relevante para la sobrevivencia de los negocios.