El régimen de sanciones por el uso de datos personales está vigente desde mayo, ¿Cómo estar preparado?
La Ley Orgánica de Protección de Datos Personales (LOPDP) fue publicada y entró en vigor en mayo del 2021, excepto el régimen de sanciones que entró en vigencia el 26 de mayo de 2023. Durante estos dos años las organizaciones debían desarrollar modelos de protección de datos personales considerando lo establecido en la LOPDP y promover proactivamente el uso de buenas prácticas a fin de implementar un sistema de gestión que establezca controles robustos para minimizar riesgos de privacidad.
Muchas empresas todavía no inician los procesos de adecuación de la ley o están en sus fases iniciales. Esto, ¿A qué se debe? Los principales argumentos se refieren a la ausencia de un reglamento de la ley; no obstante, la complejidad de esta implementación es significativa y la duración puede ser extensa.
A continuación, algunos aspectos mínimos que deben tener en cuenta las empresas con relación a la protección de datos personales:
1. Definir un responsable, que puede ser el delegado de protección de datos personales, quien se haga cargo del proceso de implementación y posterior administración.
2. Estructurar un esquema documental que incluya la elaboración de avisos de privacidad a ser publicados en los diferentes canales, gestionar la adecuación de contratos, elaborar políticas y procedimientos a nivel interno.
3. Establecer procesos de gobierno de datos, que regularice los procesos de captura a través de consentimientos y otros mecanismos, implemente las medidas técnicas requeridas que respondan a los principios establecidos en la ley. Es fundamental partir de un inventario de tratamientos de datos personales que sea el eje de gestión.
4. Implementar un proceso para atención a las solicitudes de procesamiento efectivo de los derechos del titular
“MUCHAS EMPRESAS TODAVÍA NO INICIAN LOS PROCESOS DE ADECUACIÓN DE LA LEY. LA COMPLEJIDAD DE LA IMPLEMENTACIÓN ES SIGNIFICATIVA”.
como acceso, rectificación, oposición, portabilidad, entre otros. Este es un componente fundamental que debe estar vigente.
5. Fortalecer la seguridad de los datos personales a través de mecanismos de seguridad en aplicaciones, registros físicos y cualquier repositorio que contenga datos personales. Se pueden usar modelos de reconocimiento internacional para implementar controles de seguridad.
6. Gestión de incidentes de privacidad. La ley establece que se debe notificar al ente de control la vulneración de datos, para ello hay que implementar un proceso que identifique, analice, responda y notifique los incidentes sobre los datos.
7. Trabajar con proveedores y otros terceros en la adecuación de contratos y esquemas de monitoreo posterior. Así mismo, fortalecer el proceso de compras para que la adquisición de servicios filtre a proveedores que cumplan la normativa vigente.
8. Concientización y entrenamiento a todos los empleados, proveedores de servicios y actores claves en el tratamiento de datos personales.
Existen diversos puntos de vista para abordar la aplicación de la Ley, por un lado, un enfoque legal que se orienta a aspectos contractuales y obligaciones concretas establecidas; en otros casos un enfoque mucho más orientado a tecnología, donde el foco es implementar soluciones como sistemas de prevención de fuga de datos.
Lo correcto y estratégico es implementar un plan integral, que responda a las necesidades de la empresa y así generar un balance entre las diferentes iniciativas. De esta manera, contar con un modelo de protección de datos que responda a la normativa, que minimice el riesgo de sanciones, que genere valor a la operación y permita construir confianza.