Según las cifras publicadas por la Superintendencia de Industria y Comercio (SIC), en el país hay más de 24 mil organizaciones públicas y privadas que aún no cuentan con una política de protección para el acceso remoto a la información personal. Esta situación supone grandes retos para estas organizaciones, ya que, en la actualidad, la mayoría de las empresas han avanzado en la implementación y adopción de modelos de transformación digital.
Sobre este asunto, Juan Camilo Medina, Gerente Legal y Oficial de Cumplimiento en Visión, explicó: “Existen mecanismos técnicos y legales que pueden implementar las empresas para proteger los datos personales y minimizar el riesgo de filtraciones de dicha información. Sin embargo, se aclara que es imposible garantizar que no se presentarán filtraciones o fugas. De ahí que se recomiende a las empresas implementar un plan que incluya mecanismos tecnológicos y estrategias legales, a fin de controlar y realizar un seguimiento frente al acceso de datos y establecer parámetros que conduzcan a los intervinientes a respetar y a proteger la información.”
De igual manera, Medina explicó que desde la perspectiva tecnológica es posible salvaguardar los datos controlando los accesos a la información, para que únicamente accedan a esta los trabajadores o personas que cuenten con un permiso otorgado y monitoreado por una empresa. Un ejemplo de ello es la solución de Microsoft: Azure Information Protection (AIP) basada en la nube que permite a las organizaciones descubrir, clasificar y proteger documentos y correos electrónicos mediante la aplicación de etiquetas al contenido”. La solución ofrece la posibilidad de asignar categorías a las etiquetas, tales como: “ de uso interno”, “público”, “confidencial”, entre otras.
Desde la perspectiva legal, es aconsejable implementar un programa para la protección de datos personales que cumpla con la normatividad legal vigente y que aplique de forma clara los principios de acceso y circulación restringida, seguridad, y confidencialidad; los cuales, disponen que el tratamiento de los datos se debe realizar únicamente por las personas autorizadas por el titular o facultadas por la ley. Adicionalmente, impulsan la implementación de medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso, acceso no autorizado o fraudulento e impone la obligación a todas las personas que intervengan en el tratamiento de datos personales de garantizar la reserva de la información.
Organizaciones con buenas prácticas
Pensando en la implementación de criterios básicos en una empresa para asegurar que tanto su información privada como la de sus clientes estén a salvo, es necesario contar con un programa de protección de datos personales. El primer paso es designar un encargado y un responsable del tratamiento de la información al interior de la compañía.
Otro de los puntos requeridos, es crear una política contractual que contemple la suscripción de Acuerdos de Confidencialidad o NDA en donde se establezca una obligación clara de confidencialidad de cara a clientes, proveedores y trabajadores y –a la vez- contratar, en lo posible, con sociedades que cuenten con un programa de Protección de Datos personales.
De acuerdo con el Gerente Legal y Oficial de Cumplimiento en Visión, “uno de los puntos que más consultan las empresas, es conocer sobre la diferencia entre los datos públicos, semiprivados, privados y sensibles”. Existen dos diferencias principales; por un lado, el interesado o interesados sobre los datos y por otro, la protección que el legislador ha otorgado a cada una de las categorías:
De una parte, los Datos públicos conciernen a un interés general; por ejemplo, el estado civil, documentos públicos, ente otros. De ahí que ostenten una menor protección por ser de interés general y de fácil consulta.
De otra parte, a pesar de tener un carácter privado, los Datos semiprivados solo le interesan al titular y a un grupo determinado de personas, las cuales pueden consultar la información siempre que medie una autorización.
En cuanto a los Datos privados, estos pertenecen e interesan única y exclusivamente a la persona sobre la cual recae la información; razón por la cual, podrán ser obtenidos en ciertos casos. La protección se evidencia en que existen casos establecidos por la Ley en donde procederá la solicitud.
Finalmente, los Datos sensibles han sido definido por la : la Superintendencia de Industria y Comercio los como “aquellos que afectan la intimidad del titular y pueden dar lugar a que sea discriminado, como aquellos que revelan su origen racial o étnico, su orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. Este tipo de datos constituyen una categoría especial de datos personales y por ello, requieren una protección reforzada y algunas consideraciones especiales a la hora de solicitar autorización” indicó el Gerente Legal y Oficial de Cumplimiento en Visión.
Los retos que aún persisten para las empresas
Existen varios retos que deben afrontar las empresas en la actualidad, entre los que se destacan: lograr un equilibrio entre la era digital, las nuevas tecnologías y la privacidad, generar confianza a los clientes, trabajadores y proveedores respecto de la recolección y tratamiento de los datos personales y encontrar un balance entre el manejo de riesgos de seguridad de la información y la eficiencia del negocio.
Entre esos desafíos también persiste mitigar el riesgo operacional que, en otras palabras, es el incumplimiento de las obligaciones de confidencialidad y reserva por parte de los trabajadores, generado por desconocimiento
Con el objetivo de acompañar a las empresas en la implementación de mecanismos tecnológicos que aminoren el riesgo de filtración de la información, Visión ha diseñado una solución para implementar controles en la documentación. En el portafolio de servicios se encuentra la implementación de Azure Information Protection (AIP) y Microsoft Intune. AIP clasifica y protege los documentos e Intune es un servicio de administración de movilidad empresarial (EMM) basado en la nube, diseñado para proteger los datos de la organización a nivel de la aplicación[5]. “La era digital avanza de forma acelerada y por esto es clave que las empresas adopten evaluaciones y actualizaciones constantes sobre los mecanismos técnicos y legales que han sido implementados, pues no tiene el mismo grado de efectividad una solución aplicable hoy frente a una solución utilizada hace dos años”, concluyó Medina.
, en el país hay más de 24 mil organizaciones públicas){kind=link}
 Generativa se ha vuelto un tema de debate, especialmente en el aspecto laboral, ya que muchos lo consideran){kind=link}
