AD 49/2022
LA PROTECCIÓN DE DATOS PERSONALES Y LA SEGURIDAD DE LA INFORMACIÓN COMO OBJETIVOS ESTRATÉGICOS DE NEGOCIO
RESUMEN: El cumplimiento de la normatividad relativa al tratamiento de los datos personales debe responder a las líneas estratégicas y de negocio de las organizaciones, a un modelo de excelencia e innovación empresarial en el que prevalece un estilo de gerencia orientado a las personas, a la información y a la acción, un estilo de gerencia con un pensamiento SISTÉMICO, en donde se es capaz de ver a ese flujo de información de datos personales como un todo y en donde se establecen las medidas de seguridad necesarias para salvaguardar su Confidencialidad, Integridad y Disponibilidad. Si las empresas tienen esto en cuenta, impactará positivamente entre otras cosas, su reputación e imagen, generando confianza en sus grupos de interés, y desde el punto de vista legal, evitando sanciones administrativas y posibles gastos inesperados que afecten visiblemente sus finanzas.
PALABRAS CLAVE: Protección de datos, Seguridad de la Información, cumplimiento, Alta Dirección, Visión Sistémica, Estratégico, Disponibilidad, Confidencialidad, Integridad.
El cumplimiento de la normatividad relativa al tratamiento de los datos personales debe responder a las líneas estratégicas y de negocio de las organizaciones, a un modelo de excelencia e innovación empresarial, y no al temor de un castigo o al “tengo que cumplir la Ley”. Hay una alta probabilidad que, al cambiar esta errada percepción del cumplir por obligación, se fije un propósito claro para la implementación de un Programa Integral de Protección de Datos y Seguridad de la Información, asociados a los objetivos estratégicos que se definen desde la Alta Dirección.
Esta premisa está significativamente vinculada con el rol de quienes toman las decisiones en las empresas, con su estilo de gerencia. No hablo del estilo coercitivo, que transmite un mensaje a la organización de “mando y control”, estilo que es el que más predomina en las empresas, que es anacrónico y que está exclusivamente enfocado en generar ganancias y evitar pérdidas. Con esto no quiero decir que ese fin último esté errado, por el contrario, esa es una de las principales razones del porqué existen las empresas., sin embargo, si todos los elementos de una organización se orientan a cumplir ese fin último de manera lineal, sin entender el medio, se pueden llegar a cometer muchos errores dentro del proceso.
Me refiero entonces a un estilo de gerencia orientado a las personas, a la información y a la acción, un estilo de gerencia con un pensamiento SISTÉMICO, en donde se es capaz de ver un todo y cada una de sus partes y donde se tienen claras las relaciones entre las partes, sus comportamientos, las causas y los efectos.
Ese pensamiento sistémico permite a la Alta Dirección en gran medida comprender el funcionamiento de toda la organización en lo que tiene que ver con el manejo de los datos de las personas que conforman todos sus grupos de interés. Todo, absolutamente todo está relacionado entre sí, pues el ciclo de vida del dato pasa por toda la organización, su captura, uso, cesión, transferencia, almacenamiento, eliminación… todo el tiempo hay un constante flujo de información.
Las áreas de las organizaciones muchas veces trabajan como islas, entes solitarios que no tienen sincronía con la organización, y que pareciera no tienen nada que ver los unos con los otros. Precisamente, la clave está en ver a toda la organización como un sistema y accionar frente a ello mancomunadamente. Esto, seguro que envía varios mensajes importantes a los grupos de interés: A los colaboradores de la compañía les transmite la importancia de comprender desde su función, desde su cargo, cómo contribuyen al cumplimiento del todo, y da luces de cómo resolver o a quien acudir para dar trámite a los problemas o situaciones que se presenten. A otros grupos de interés como stakeholders y proveedores, se les trasmite que pueden tener plena confianza en cualquiera que sea su participación o relación con la compañía, y por supuesto, a los consumidores, clientes o usuarios, personas cada vez más informadas y más preocupadas por el respeto de su privacidad, que pueden encontrar más opciones para proteger sus datos personales en las relaciones comerciales.
Otro de los actores clave y estratégicos para lograr fijar ese modelo de excelencia e innovación empresarial de protección de datos personales es el área de tecnología o TI de la compañía, en tanto que es precisamente en el procesamiento de los datos que emergen varios riesgos que pueden afectar la confidencialidad, integridad y disponibilidad de la información. Esta área se menciona hasta este punto, puesto que la protección de datos es un tema transversal, encabezado por la Alta Dirección, y es necesario quitar el estigma de que la protección de datos es única y exclusiva responsabilidad de las áreas de tecnología. (pareciera una discusión ya superada, en la práctica no tanto).
Lo que si es cierto, es que el principio de seguridad en Protección de Datos Personales puede ser uno de los principios más importantes consagrados en las legislaciones de todo el mundo. Por supuesto que no es lo mismo implementar medidas de seguridad en una organización de salud o en un banco o aseguradora, a implementar un programa de seguridad de datos personales en MiPymes o micro empresas, pues no todas manejan los mismos datos., sin embargo, siempre va hacer importante que las organizaciones evalúen las medidas de seguridad de la información desde la posible afectación a la confidencialidad, integridad y disponibilidad.
La confidencialidad hace referencia a la protección de la información contra el acceso no autorizado o la divulgación indebida de acuerdo con su sensibilidad y requisitos legales aplicables. Si hay pérdida de disponibilidad de la información, puede haber afectación reputacional para la compañía, posibles sanciones por parte de los entes reguladores o divulgación de información protegida por la legislación de datos personales.
La integridad trata sobre la protección de la información contra su modificación no autorizada. La información se debe mantener inalterada ante accidentes o intentos maliciosos, puesto que este puede ser el primer paso de un ataque contra la disponibilidad o confidencialidad de un sistema. Si hay pérdida de integridad, pueden materializarse posibles fraudes difíciles de identificar, pueden existir posibles fallos en las plataformas tecnológicas y pueden tomarse decisiones erróneas por la utilización de información parcial o alterada.
La disponibilidad alude a que la información debe ser accesible cuando se requiera, incluye salvaguardas para asegurar que los datos no se eliminen de forma accidental o malintencionada. La no disponibilidad puede resultar en pérdida de productividad e ingresos, puede afectar las decisiones que se deban tomar en determinado momento, se puede generar una afectación reputacional de la compañía, el no cumplimiento de los objetivos organizacionales, una afectación financiera por pérdida de tiempo productivo de la compañía y por supuesto posibles sanciones por parte de los entes reguladores.
La organización debe saber y entender qué información tiene que proteger, cuáles son esos activos de información que contienen datos personales y que maneja en el día a día y en dónde se encuentran ubicados dentro de la compañía. Es como hacer el símil con el inventario de los productos que tiene un negocio, si hay un control riguroso, se puede garantizar que un cliente tenga a su disposición el producto que desea adquirir, se puede atender sus necesidades rápidamente, se evitan costos adicionales para la compañía.
Teniendo claro lo anterior, se debe asegurar que esos medios empleados por la organización para el flujo de información tengan los controles necesarios para trabajar sobre la confidencialidad, integridad y disponibilidad de la información personal que maneje, volviendo a la analogía preliminar, así como se asegura el bodegaje físico de ese inventario de productos, por ejemplo, contra robo.
En definitiva, entender la Protección de Datos y la Seguridad de la Información como parte de la organización (entendida como un SISTEMA), considerándolo siempre como un objetivo o proceso estratégico, impactará positivamente entre otras cosas en:
- La reputación e imagen de la compañía, puesto que genera confianza en sus grupos de interés, saber cómo están siendo tratados sus datos personales.
- La confianza de tener un flujo constante y confiable de información, así como transparencia dentro de las relaciones que tenga.
- La confianza de contar con un equipo humano altamente calificado para la ejecución de sus procesos y la prestación de sus servicios, garantizando el cumplimiento del derecho fundamental de habeas data.
- Evitar sanciones administrativas y posibles gastos inesperados con el pago de multas.
LINA FERNANDA ÁNGEL VÁSQUEZ
3 de mayo de 2022
Referencias:
- Véliz, C. (2021). Privacidad es Poder. Penguin Random House Grupo Editorial España.
- M, J. J. (2021). Ciberseguridad Empresarial, Reflexiones y retos para ejecutivos del siglo XXI. Bogotá: Leimone Editores.
- Mulder, P. (2018). Las 5 P de la Estrategia por Mintzberg. Recuperado abril 2022 de toolshero: https://www.toolshero.es/estrategia/5-p-de-estrategia-por-mintzberg/
- Echeverría, R. (2012). La empresa emergente: La Confianza Y Los Desafíos De La Transformación. Ediciones Granica; 1er edición
- Durance, M. G. (2011). La Prospectiva Estratégica para las empresas y los territorios. DUNOD y UNESCO.
- Organización Internacional de Normalización ISO. Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). Norma Técnica Colombiana NTC-IETC/ISO27001
LINA FERNANDA ÁNGEL VÁSQUEZ
Abogada, Especialista en Gerencia, Especialista en Economía, con formación continuada en Ciberseguridad, Legal Design Thinking, Aspectos Jurídicos del Comercio Electrónico y Auditoría interna en Seguridad de la Información (ISO 27001), Continuidad de Negocio (ISO 22301) y Sistemas Integrados de Gestión.
CONTACTO:
Email: Linalangel24@gmail.com
LinkedIn: www.linkedin.com/in/lina-angelv
