Con la entrada en vigor de la Ley orgánica de Protección de Datos Personales (LOPDP), la seguridad de la información ha vuelto nuevamente a ponerse en escena. Para algunas organizaciones antes no obligadas a implementar medidas, implica una serie de desafíos y movimiento de recursos que no se puede eludir so pena de sanciones. Las organizaciones de sectores más regulados –como por ejemplo el sector financiero- también deben hacer algunos ajustes pues la seguridad de datos personales tiene un enfoque diferente al que están habituados. De eso trataremos en esta entrada.

La presente contribución abordará (A) la distinción y relación entre seguridad de la información y protección de datos personales; (B) Razones por las que debe interesarle la seguridad de los datos personales; (C) las exigencias que establece la LOPDP para la seguridad de datos personales; y (D) Cómo llevar todo esto a la práctica.

 

A) La seguridad de la información no es sinónimo de protección de datos personales

El punto de partida de obligatoria referencia es que la protección de datos personales es un derecho fundamental. Esto le da una categoría privilegiada en el ordenamiento jurídico ecuatoriano. Precisamente la razón de ser (objeto y finalidad) de la LOPDP es “garantizar el ejercicio del derecho a la protección de datos personales” y “para dicho efecto regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela.” (art. 1 LOPDP)

Justamente, dentro de las obligaciones legales para la protección de datos personales existen disposiciones que exigen, para garantizar su seguridad, ir más allá de la implementación de los requisitos básicos de seguridad de la información. Esto se debe a la naturaleza sensible de los datos personales.

La seguridad de la información que está orientada a proporcionar confidencialidad, integridad y disponibilidad de la información mediante la implementación controles de seguridad (salvaguardias o contramedidas) es necesaria y obligatoria para proteger los datos personales pero además, usted debe ir más allá. Entre las obligaciones adicionales en materia de protección de datos personales están, por ejemplo: observar en todo momento los principios recogidos en la LOPDP; garantizar los derechos de los titulares e implementar procesos para atenderlos; tener una base legal de legitimidad para el tratamiento de datos; entre otros.

De lo antes expuesto se puede colegir dos de las principales diferencias entre seguridad de la información y protección de datos personales: (1) la seguridad de la información es impersonal mientras la protección de datos personales es personal; y, (2) las vulnerabilidades, impacto controles y proceso de gestión del riesgo son diferentes en ambos casos. A esto hay que agregarle que la protección de datos personales es transversal a toda la organización y todos los procesos donde haya tratamiento de o acceso a datos personales.

Ahora bien, cuando hablamos de seguridad de datos personales tampoco hablamos de la seguridad de la información simplemente aplicada a los datos personales. Nos referimos a una aproximación que implementa un enfoque aumentado dentro de su metodología de gestión de riesgos (el análisis del impacto en derechos y libertades).

Por último, no todos los incidentes de seguridad son necesariamente brechas de datos personales y no solo estos incidentes pueden ser brechas de datos personales. A su vez, no toda acción que suponga una vulneración de la normativa de protección de datos puede ser considerada una brecha de datos personales.

 

B) ¿Por qué debe interesarle la seguridad de los datos personales?

Esta pregunta clave tiene una respuesta más amplia que meramente la intuitiva alusión a una obligación legal. A continuación una lista no exhaustiva de por qué debe interesarle la seguridad de los datos personales:

  • Es una obligación legal en materia de protección de datos personales (art. 10 literal y art 37 LOPDP) cuya transgresión es considerada una infracción grave (art. LOPDP) y le corresponde una multa administrativa (art. LOPDP) y potenciales medidas correctivas.
  • Puede afectar a personas (no solo al titular de los datos personales) causándoles daño, angustia e incluso poner en peligro su vida. Aun si consecuencias graves no siempre ocurren, las personas tienen derecho a estar protegidas de daños menos graves, por ejemplo, vergüenza o inconvenientes.
  • Puede respaldar una buena gobernanza de datos y potenciar su nivel de madurez digital.
  • Puede ayudarlo a demostrar su cumplimiento con otros aspectos de la LOPDP.
  • La Autoridad de Protección de Datos, a la hora de imponer una multa administrativa, considera las medidas que tenía implementadas (Artículo 72 literal a, LOPDP); y “la naturaleza del perjuicio ocasionado” (Artículo 72 literal c, LOPDP).

 

 C) ¿Qué exige la norma (LOPDP) para resguardar la seguridad de los datos personales?

La LOPDP implementa la seguridad de datos personales como un principio (art. 10 literal j) que debe observarse en todo momento cuando se tratan datos personales. La referida norma desarrolla además en 10 artículos (arts. 37 al 46), dentro de su “Capítulo VI SEGURIDAD DE DATOS PERSONALES”, una serie de obligaciones que se describen brevemente a continuación:

  1. Usted debe garantizar la “confidencialidad, integridad, disponibilidad” y “resiliencia” de los datos personales. Para ello requiere proceder conforme los siguientes numerales
  2. Adoptar, para poder garantizar lo señalado en el numeral 1, “todas las medidas de seguridad adecuadas y necesarias, entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole” (art. 10 literal j LOPDP).
  3. Las medidas referidas en el numeral 2 deben determinarse caso a caso y a la medida de su organización a fin de gestionar adecuadamente el riesgo. Para elegir dichas medidas debe “tomar en cuenta las categorías y volumen de datos personales, el estado de la técnica, mejores prácticas de seguridad integral y los costos de aplicación de acuerdo a la naturaleza, alcance, contexto y los fines del tratamiento, así como identificar la probabilidad de riesgos” (art. 37 LOPDP).
  4. Requiere, además, implementar procesos de monitoreo (“de verificación, evaluación y valoración continua y permanente de la eficiencia, eficacia y efectividad”) y mejora continua de las medidas adoptadas (art. 37 LOPDP).
  5. La metodología de gestión del riesgo que requiere emplear para determinar sus medidas (numeral 2) y como parte de los procesos de monitoreo y mejora continua (numeral 4), debe ser adecuada y considerar: “el impacto en los derechos y libertades de los titulares de los datos” (art. 41 LOPDP).
  6. Es necesario que sea capaz de “evidenciar que las medidas adoptadas e implementadas mitiguen de forma adecuada los riesgos identificados” (art. 37 LOPDP).
  7. La vulneración de la seguridad de datos personales debe notificarse a la Autoridad de Protección y al titular de los datos personales, en los casos y forma previstos en los artículos 43 y 46 de la LOPDP.

Como se ve, las obligaciones recogidas no son realmente concretas sino sumamente amplias y no le indican específicamente un manual de instrucciones de medidas a implementar. Esto es sumamente importante porque inobservar u observar inadecuadamente esta obligación es una infracción grave que puede sancionarse con multas de entre el 0.7% y el 1% de su volumen de negocios (art. 72 LOPDP).

Ahora bien, esta forma de establecer las obligaciones es deliberada pues nuestra normativa adopta el paradigma Europeo de una aproximación centrada en el riesgo, es decir, no establece un checklist de medidas obligatorias sino que deja que cada organización escoja las “adecuadas y necesarias” conforme a su realidad y en base a un proceso de gestión del riesgo.

En la próxima sección abordamos brevemente una herramienta para poder llevar esta obligación a la práctica.

 

D) ¿Qué debo hacer –en la práctica- para cumplir la obligación de seguridad de datos personales?

Como quedó anotado, usted está obligado a implementar (1) medidas adecuadas y necesarias; (2) procesos de monitoreo y mejora continua de las medidas; y, (3) recolectar evidencia que le permita demostrar el cumplimiento. Ahora, esto puede volverse mucho más concreto con el uso de un marco de referencia como la familia de 27 mil de las normas estandarizadas ISO. Aún si no desea obtener una certificación (ISO 27001 o ISO 27701) apoyarse en estas mejores prácticas le será de gran ayuda. De hecho, la misma LOPDP en su artículo 37 numeral 4, recomienda como medida: “acogerse a estándares internacionales para una adecuada gestión de riesgos enfocada a la protección de derechos y libertades”.

La familia de normas estandarizadas antes referida abarca la seguridad de la información de forma sumamente amplia y además cuenta con una norma especializada en materia de protección de datos personales: ISO/IEC 27701. Dicha norma además ya tiene una edición oficial ecuatoriana: NTE INEN-ISO/IEC 27701. Es por tanto ideal para la adecuada gestión y gobierno de la protección de datos personales

Esta norma internacional estandarizada (ISO/IEC 27701) es el referente global para la gestión y gobernanza de la protección de datos personales. Ella especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de la Información sobre Privacidad (SGIP) en forma de una extensión de ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la privacidad dentro del contexto de su organización.

Como todo sistema de gestión, implica adoptar medidas en base a una (1) gestión del riesgo bajo un (2) modelo de mejora continua en el que se (3) documenta ampliamente evidencias. Por lo mismo con ello estará usted en una mejor condición para cumplir y demostrar el cumplimiento de sus obligaciones en materia de protección de datos personales, evitando de esta manera potenciales multas.

 

Conclusión

La complejidad de las obligaciones en materia de protección de datos personales es una fuente de grandes desafíos para todas las organizaciones. La garantía de la seguridad de datos personales es imprescindible para la protección de los mismos y es un asunto nuevo, incluso para las organizaciones a las que tradicionalmente se les ha requerido tener altos estándares de seguridad de la información.

Navegar toda esta complejidad de la protección de datos personales requiere asesoría experta. En M. Bodero & Asociados contamos con personal experto y con conocimiento certificado en la implementación de la norma ISO 27701 y en la gestión y gobierno de la protección de datos personales.

¡Somos su mejor aliado en asesoría jurídica especializada!

Para más información comuníquese a: parteaga@boderoyasociados.com