Uno de los grandes desafíos que tiene la implementación de la normativa de datospersonales en Chile, es avanzar desde un mero cumplimiento teórico a uncumplimiento conectado a las operaciones del negocio.
Sí, así como se lee. Sé que suena complejo y probablemente, lo es. Es muy difícil que una organización cuente con un sistema de cumplimiento formal y aprobado (como un Modelo de Prevención de Infracciones) y que esto implique que, a nivel práctico, exista efectivamente un cumplimiento que haya permeado en la cultura de la organización. Este es el gran desafío el día de hoy para todos los profesionales que participamos en el proceso de acompañar en la implementación de esta normativa en cuestión y lograr llegar en la última milla.
La brecha práctica, importancia de identificar los procesos donde hay datos personales
Entrando más en detalle, probablemente muchos profesionales de privacidad nos hemos percatado que una Política de Protección de Datos Personales (o Privacy Policy) puede contener una serie de enunciados que ante terceros y especialmente, ante titulares de los datos, pueden dar tranquilidad que sus datos son obtenidos de manera leal y lícita; y utilizados acordes a la normativa. No obstante, cuando uno ingresa profundamente a una organización, se percata que los problemas no se generan a nivel de cumplimiento teórico de la normativa, sino de los procesos internos - que algunas veces no están definidos-. En ellos muchas veces hay falta de claridad de los dueños de datos (personales) y aquellos procesos en que son usados los datos, es decir, cuáles son las actividades de tratamiento involucradas.
Este punto me parece central, porque un buen gobierno de privacidad por sí solo no te ayudará a reducir el riesgo de no gobernar la data, pero si puede ser un buen inicio; ahora bien, niveles maduros de gobernanza de datos, tampoco asegura la reducción del riesgo del incumplimiento normativo, pero si te permitirá ir avanzando para tener una visión sistémica de la organización, y, sobre todo, a identificar que áreas son críticas (y riesgosas en esta materia).
La importancia comprender el negocio para el cumplimiento de la Ley
Lo importante, será la diferencia entre organizaciones que comprendiendo sus operaciones y relacionándolas con su negocio, puedan ajustarlas en pro del cumplimiento de esta ley, en vez, de aquellas que desde un “check list” de la Ley, intenten sólo imponer políticas rígidas que no tengan relación con sus procesos, lo que, sin duda, podrá generar un enorme riesgo ante futuras fiscalizaciones, por la desconexión entre la teoría y la realidad que podría visualizar una Autoridad de Control.
Para concluir, uno de los consejos, desde mi experiencia profesional y en base a la experiencia europea, que deben tener presente las organizaciones para este desafío, es que una conexión profunda entre conocer el negocio, los datos (personales) que tiene y las operaciones en que son usados, responde realistamente a las exigencias de la Ley, y evita el trabajo en silos dentro de las áreas; esto además permite demostrar un enfoque proactivo de gestión de posibles riesgos que surgen naturalmente debido a las actividades que se realizan en la organización.
