¿Cuánto hablamos de riesgo? GDPR vs ley chilena
Como abogado, escucho bastante la pregunta sobre cómo cumplir con la futura ley de Protección de Datos Personales. La respuesta típica es que hay una serie de requisitos que resultan difíciles de evaluar sin depender únicamente de abogados y su interpretación normativa.
Por lo tanto, una estrategia sólida es adquirir conocimientos de la experiencia europea y comprender cómo esta normativa puede proporcionarnos herramientas específicas para evaluar adecuadamente nuestro cumplimiento.
Las reformas del proyecto de ley (Boletín 11144-07) están inspiradas en el Reglamento General de Protección de Datos de la Unión Europea (conocido como GDPR, por sus siglas en inglés). Este reglamento define los estándares de protección que las organizaciones deben seguir en su relación con los consumidores dentro de la UE.
Además de la protección de la información, la reducción de riesgos es un enfoque central. De hecho, la palabra “riesgo” se menciona 75 veces en el GDPR, mientras que en el proyecto de ley chileno aparece apenas 18 veces. Aunque hay un avance significativo, pareciera que el riesgo no ocupará un lugar central en la discusión.
La reducción de riesgos es el resultado de un proceso bien conocido por las organizaciones, con un mayor desarrollo en áreas como el riesgo operativo, financiero, de mercado y tecnológico. Y todo indica que, con la nueva regulación, la protección de datos personales generará un mayor riesgo en diversas áreas que ya están gestionando dichos datos. Así, una potencial multa afectaría al riesgo financiero, a la pérdida de clientes y a las brechas de seguridad.
Por lo tanto, un punto de partida excelente es definir adecuadamente los riesgos de la organización. Si, entre todos los riesgos identificados, no se incluyen los asociados con la protección de datos, enfrentamos un problema fundamental en la identificación y evaluación de riesgos. Será difícil determinar qué medidas de mitigación deben tomarse si no se comprenden los riesgos.
Una política de gestión de datos no basta
Las organizaciones tienden a minimizar los riesgos. La primera fase para mapear de manera adecuada es comprender qué datos tenemos (en un sentido general), para qué los usamos y dónde los almacenamos. Obtener respuestas a estas preguntas nos permitirá avanzar en la adecuación de nuestros procesos, políticas y sistemas de control de acuerdo con el GDPR y el proyecto de ley.
Sin embargo, intentar responder a la pregunta "¿qué datos tenemos?" puede generar más interrogantes. La falta de conocimiento sobre lo que poseemos puede generar la misma incertidumbre que la falta de datos.
La incapacidad para generar cambios de manera efectiva y activa es una preocupación clave. No basta con tener una política de gestión de datos: esta debe estar respaldada por un uso tecnológico adecuado y un almacenamiento correcto (data in rest), entre otros aspectos. Por lo tanto, cumplir adecuadamente con el proyecto de ley (o con el GDPR) requiere un paso inicial fundamental asociado a la transparencia y la gestión. Auditar lo existente y definir qué es realmente esencial para la organización y qué no lo es son pasos esenciales.
Luego, serán los especialistas en datos y los tomadores de decisiones quienes definan un plan de adecuación y cumplimiento viable. Hasta este punto, las decisiones de gobierno corporativo y de datos deben ser el foco principal.
Cumplir o no cumplir, esa es la consigna
Existe una obligación aparente de cumplir para evitar sanciones. Parte de la exigencia normativa radica en hacer cumplir las leyes para prevenir abusos o usos contrarios a ellas.
Sin embargo, en lo que respecta a la protección de datos personales, es necesario ampliar la perspectiva.
Un usuario no es simplemente un usuario, sino una persona que requiere las mejores condiciones para su desarrollo. Las organizaciones deben aspirar, además del cumplimiento normativo, al uso adecuado de los datos. ¿Puede el camino hacia el cumplimiento también ser un camino para generar riqueza en las organizaciones? La realidad es que sí. La gestión adecuada de los datos reduce los costos operativos y el riesgo organizacional.
En este camino, entonces, no solo debemos entender y confirmar que tenemos el consentimiento de los usuarios para tratar sus datos, el legítimo interés para tratarlos, disponer de la información de forma simple y accesible para las personas, a qué terceros transferiremos la información y las formas para exigir los derechos por parte de los usuarios. Sino que, además, existe una labor interna necesaria, mucho más asociada a la gestión y al manejo adecuado de datos que a la visualización de los mismos.
Por tanto, una parte de los requisitos está estrechamente relacionada con la gestión de datos por parte de los usuarios y el consentimiento. Sin embargo, otra parte crucial de este proceso implica que los equipos técnicos puedan manejar los datos de manera adecuada, sin desviar el propósito comercial y al mismo tiempo generando un alto nivel de confianza en el uso de esta información para las diversas áreas de la empresa.
Volviendo a la pregunta inicial sobre cómo cumplir con la futura ley de protección de datos personales, la respuesta dependerá del contexto de cada organización. El cumplimiento exigirá la coordinación entre los líderes de la empresa, la organización y la correcta adopción de medidas legales y técnicas concretas para garantizar su implementación efectiva.
Si te interesa leer sobre los desafíos técnicos y las dudas que plantean, te recomiendo leer este post sobre cómo proteger la privacidad de los datos al utilizar y entrenar modelos de lenguaje.
