En noviembre próximo se conmemora el Día Internacional de la Seguridad de la Información, coincidiendo con la próxima publicación de la Ley de Protección de Datos Personales. Estas sanciones pueden llegar a ser significativas, con multas de hasta 20.000 UTM (US$1.418.000) por infracciones, que se triplican en caso de reincidencia. Las grandes empresas están expuestas a sanciones del 2% a 4% de sus ingresos anuales según la gravedad de las infracciones.

"Importancia de la Seguridad de la Información y la Ley de Protección"

Primer Factor: Definición del Rol del Directorio y Líneas de Defensa

José Antonio Lagos, CEO de Cybertrust Latam, destaca que el liderazgo es fundamental para impulsar el monitoreo de la implementación de la ley. La supervisión continua del avance de la estrategia de protección de datos es crucial. Esto garantiza que las empresas estén en línea con las exigencias legales y puedan evitar las sanciones.En la actualidad, la definición precisa del rol del directorio y las líneas de defensa es esencial. Debe existir una clara dirección y un plan de acción para garantizar la seguridad de la información. Sin una definición clara, las empresas corren el riesgo de no cumplir con las leyes y enfrentar sanciones severas.

Segundo Factor: Estrategia de Privacidad para la Protección de Datos

La estrategia de privacidad debe considerar la línea de base actual de la organización y el objetivo a alcanzar en un horizonte de tiempo no superior a dos años, según lo establecido en la ley. Esto implica una planificación estratégica para proteger los datos personales y garantizar la privacidad de los usuarios.Por ejemplo, las empresas deben identificar los puntos débiles en su sistema de protección de datos y tomar medidas para mitigarlos. También deben implementar protocolos de privacidad estrictos y proporcionar capacitación a los empleados sobre la importancia de la privacidad. De esta manera, pueden evitar incidentes con compromiso de datos personales y evitar las sanciones.

Tercer Factor: Cultura Organizacional y Protección de Datos

La importancia de la cultura organizacional en la protección de datos es indiscutible. De acuerdo con Verizon, el 75% de los incidentes registrados en la industria financiera en 2023 tuvieron compromiso de datos personales. Y en el 78% de estos casos, se utilizó la ingeniería social como patrón de ataque.Por lo tanto, contar con una cultura en protección de datos adecuada es esencial. Las empresas deben fomentar un ambiente en el que todos los empleados sepan la importancia de la privacidad y tengan la responsabilidad de proteger los datos. Esto incluye la implementación de políticas y procedimientos claros y la capacitación continua de los empleados.

Cuarto Factor: Modelos de Ética

La utilización de datos personales en la economía digital implica desafíos éticos enormes. Deben implementarse marcos de ética basados en el principialismo, considerando principios como la beneficencia, la no maleficencia, la autonomía, la justicia y la explicabilidad.Estos principios deben guiar las decisiones de las empresas al utilizar datos personales. Por ejemplo, las empresas deben garantizar que los datos sean utilizados solo con el consentimiento de los usuarios y que no se utilicen de manera que pueda causar daño a los usuarios. También deben ser transparentes en su uso de datos y proporcionar explicaciones a los usuarios sobre cómo se utilizan sus datos.

Quinto Factor: Políticas y Procedimientos de Protección de Datos

La organización debe reunir documentación detallada para obtener evidencia y demostrar el funcionamiento de un adecuado programa de privacidad y protección de datos. Esto incluye la implementación de políticas y procedimientos claros y la supervisión constante de su cumplimiento.Las políticas y procedimientos deben ser actualizadas periódicamente para adaptarse a las nuevas amenazas y requisitos legales. Además, las empresas deben proporcionar capacitación a los empleados sobre cómo seguir las políticas y procedimientos y cómo detectar y reportar incidentes.En resumen, la seguridad de la información y la implementación de la Ley de Protección de Datos Personales son temas de gran importancia para las empresas. A través de la definición del rol del directorio, la estrategia de privacidad, la cultura organizacional, los modelos de ética y las políticas y procedimientos de protección de datos, las empresas pueden evitar las sanciones y garantizar la privacidad de los usuarios.