La seguridad de la información en el foco de las empresas

Seguridad de la Información: una prioridad

En el pasado reciente, en Argentina y en el mundo se han dado ciertos hitos que han puesto a la temática de la Protección de Datos Personales en debate. Enfoque estuvo con Nicolás Panichelli, CEO de MindTheData, que nos adentra sobre los datos y su protección.

El discurso de Panichelli se centra en cinco ejes:

1) Una introducción temática e histórica sobre qué son los datos personales y su protección desde sus comienzos a finales de los 70’s y principios de los 80’s, sus conceptos y principios fundamentales;

2) El escenario global actual sobre el uso de los datos personales como negocio y su contracara, el mal uso de los datos personales, explicando como caso emblemático el escándalo de Cambridge Analytica que en marzo de 2018 puso la protección de datos personales en la agenda mundial;

3) El cambio de paradigma que significó el nuevo Reglamento Europeo de Protección de Datos Personales (RGPD) y sus novedades más relevantes;

4) Qué significa la Decisión de la Unión Europea en 2003 de calificar a la República Argentina como “puerto seguro” y como podría impactar en la actividad del software si no se armoniza el proyecto de Ley con el RGPD y

5) Una comparativa entre la Ley Argentina sobre Protección de Datos Personales, el Proyecto de Ley que ingresó en el parlamento argentino en septiembre de 2018 y el R.G.P.D.

¿Que aspectos hay que tener en cuenta?.

Dentro de los puntos más relevantes podemos destacar que, para aquellos que quieran ofrecer productos y servicios en Europa, el cumplimiento de la normativa de Protección de Datos Personales es tanto una obligación (por el principio de aplicación extra territorial) como un diferenciador con la competencia, es decir que, para los potenciales clientes europeos, será un punto a favor el que los proveedores argentinos tengan un programa de cumplimiento de la normativa sobre protección de datos personales, ajustada a los requerimientos del Reglamento europeo.

Ahora bien, tanto en el Reglamento Europeo como del proyecto de Ley en Argentina, el aspecto principal -según mi opinión- es el cambio de paradigma que significó en Europa y significará en el país, la evolución hacia el concepto de Responsabilidad Proactiva o “accountability”, por medio del cual, a priori, ya no se establecen qué medidas de seguridad técnicas y operativas se deben aplicar a cada categoría de datos, sino que se deberá documentar y demostrar en todo momento que se ha dado acabado cumplimiento a las obligaciones impuestas en la norma.

– ¿Existe alguna reglamentación al respecto?.

En Argentina la Protección de Datos Personales se encuentra protegida por normas de diferente rango. La Constitución Argentina, en su artículo 43, establece el derecho constitucional a la protección de los datos con un recurso judicial especial de “habeas data”. La Ley 25.326 de octubre del 2000, amplía este derecho constitucional fijando, entre otros, principios generales, derechos y obligaciones.

– Consejos a seguir.

En primer lugar, para cualquier empresa que desee ofrecer productos y servicios a Europa que contemplen el tratamiento de datos personales, es aconsejable que se desarrolle un plan de adecuación a la normativa de protección de datos personales centrada en analizar y reconocer los potenciales riesgos que supone cada tipo de tratamiento para cada categoría de datos, para luego implementar las medidas técnicas y organizativas que permitan brindar al cliente europeo las garantías suficientes -y debidamente documentadas- de seguridad de la información, tanto de la propia empresa como de terceros sub contratados (por ejemplo un proveedor de servicios en la nube).

Por otro lado, es deseable que se ofrezcan garantías a través de procesos de certificación como, por ejemplo, la norma ISO 27001 o contratar proveedores de servicios en nube que cumplan con la norma ISO 27018 (la mayoría lo hace).

Asimismo, respecto del proyecto de Ley en Argentina y tomando en cuenta el proceso de adecuación al RGPD vivido en Europa, es recomendable que aquellas empresas que traten datos personales comiencen a prepararse para el cambio que supondrá la nueva reglamentación, principalmente en lo que concierne a la confección de políticas de privacidad, registros del tratamiento, documentación de procesos, auditorías y planes de mejora continua.

Finalmente es bueno recordar que este tipo de garantías no sólo ofrece al cliente seguridad y robustez, sino que también añade valor a la empresa y un elemento diferenciador respecto de los competidores.