Ángela Cubillos
Cyber Risk Senior Consultant en Marsh Latinoamérica
-
Colombia
Desde hace algunos años, los gobiernos en Latinoamérica se están ocupando en actualizar o crear regulaciones para la protección de datos personales, por ejemplo: En Brasil con la promulgación de la Ley General de Protección de Datos (LGPD) en el 2020; o Ecuador, que hace unos meses promulgó la Ley Orgánica de Protección de Datos. ¿Se trata de un asunto de moda o es algo que los gobiernos están tomando muy en serio debido a los sonados casos de fuga de información que se están viendo en los últimos años?
Los datos son considerados actualmente el nuevo “combustible negro”, y así lo reafirman grandes compañías que se han visto beneficiadas por el procesamiento y explotación de los datos, haciendo uso de técnicas como la inteligencia artificial.
La disposición de aplicaciones para capturar los datos y el uso de estas plataformas por los usuarios finales, que brindan sus datos personales a cambio de algo, son elementos claves que han hecho que los datos hayan cobrado tal relevancia. Esta transacción no ha significado un mayor riesgo para los usuarios en las últimas décadas, sin embargo, en los últimos años han salido a la luz varios casos en los que se ha evidenciado el uso inadecuado de los datos personales sin el consentimiento de los usuarios. A partir de ello, han saltado a la palestra algunos conceptos como privacidad y protección de datos.
El concepto de privacidad como derecho protegido bajo la ley ha cobrado mayor relevancia desde que la Unión Europea aprobara en 2016 el Reglamento General de Protección de Datos (GDPR). Sin embargo, a la fecha, solo alrededor de la mitad de los países del mundo tienen algún tipo de ley de protección de datos.
En Latinoamérica la mayoría de los países han promulgado leyes para la protección de datos, pero no se ha visto una disminución de casos de fuga de información. Por el contrario, en los últimos años se han hecho públicos varios casos que involucran a grandes empresas en México, Perú, Brasil y Argentina.
Muchos de estos casos se han dado principalmente por el bajo cumplimiento de los requisitos mínimos exigido por estas leyes, como son: (1) ausencia de controles técnicos para la protección de los datos y (2) la falta de conciencia sobre la importancia del manejo adecuado de la información personal cuya ausencia pudiera causar pérdidas financieras y reputacionales a la organización.
Es por esto que es fundamental que las empresas desarrollaren o mejoren sus capacidades de protección y cumplimiento de estándares para la protección adecuada de los datos que gestionan. Los frameworks de privacidad ISO 29100 y el NIST Privacy Framework o el Sistema de Gestión de la Información Confidencial ISO27701, brindan un conjunto de buenas prácticas y pueden ser utilizados como punto de partida para hacer un diagnóstico inicial, y conocer cómo se encuentran las organizaciones frente a las buenas prácticas de privacidad y protección de datos.
Asimismo, es importante que las empresas realicen una cuantificación del posible impacto financiero de los principales riesgos de privacidad a los cuales se encuentran expuestos, y así conocer el impacto económico que esto puede representar a la organización. Esta cuantificación permitirá conocer cuáles son las formas de pérdida a las cuales se encuentran expuestas las organizaciones y que están relacionadas con los valores de las multas o sanciones impuestas por los reguladores, los costos asociados a la reparación de la imagen institucional, monitoreo crediticio, notificaciones, pérdida de ventaja competitiva, entre otros.
Cyber Risk Senior Consultant en Marsh Latinoamérica
Colombia
Cyber Risk Senior Consultant en Marsh Latinoamérica