¿Qué hacer en nuestra organización?

Con la privacidad y protección de datos personales

Ley Marco en Ciberseguridad y la Protección de Datos Personales

La ley Marco en Ciberseguridad, aprobada en diciembre del año 2023, viene a establecer un ecosistema en torno a la ciberseguridad nunca antes visto en nuestro país. La nueva ley establece entre otros cambios la creación de la Agencia Nacional de Ciberseguridad (ANCI), con amplias atribuciones.

A lo anterior se suma los cambios en la actualización de la Ley 19628, Privacidad y Protección de Datos personales, la que también contempla la creación de un regulador, la Agencia de Protección de Datos Personales, un órgano administrativo de carácter técnico que se encargará de dictar instrucciones generales relativas a las operaciones de tratamiento de datos, fiscalizar el cumplimiento de la ley y sancionar en los casos correspondientes.

A partir de estos importantes cambios las empresas deben empezar a trabajar en gestionar el tratamiento de datos de personales de manera distinta. Por esta razón vamos a estar entregando apoyos para que las empresas empiecen a trabajar en torno a las nuevas exigencias que en el mediano plazo se nos puedan dejar caer.

A continuación les entrego un programa de privacidad y protección de datos personales de la información a implementar en las organizaciones, el que contempla 15 etapas para su preparación.

  • Elabore un plan de negocios y asegure la aprobación de la Alta Dirección y el financiamiento para desarrollar el plan de acuerdo a su contexto.
  • Cree un equipo de privacidad interno con representación de TI, asuntos legales, gestión de riesgos, líderes de unidades de negocios y otros miembros apropiados.
  • Establezca un plan de proyecto con objetivos, plazos límites e iniciativas a tomar con roles y responsabilidades claramente definidas.
  • Examine cómo se maneja actualmente la privacidad y la protección de datos en la organización. Considere realizar un análisis de brechas o revisar informes de auditoría anteriores que aborden estas cuestiones.
  • Determine qué "Información de Identificación Personal" (PII), información de identificación comercial, direcciones de correo electrónico, direcciones de correo postal, números de teléfono, ubicaciones precisas, como las coordenadas de GPS, nombres completos o nombres de usuario y otros datos deben protegerse. Las organizaciones deben hacerse las siguientes preguntas:

                 - ¿Dónde se encuentran los datos?
                 - ¿Quién lo usa?
                 - ¿Quién tiene la custodia?
                 - ¿Cómo se mantienen seguros los datos mientras se transmiten y utilizan?
                 - ¿Cómo acceden los usuarios autorizados a los datos?
  • Revise las normas y reglamentos de privacidad y protección de datos personales de la información pertinentes.
  • Prepare y haga que la Alta Dirección apruebe una política de privacidad que establezca las reglas básicas para la gestión de la privacidad de la información.
  • Desarrollar un proceso de gestión de riesgos de privacidad para garantizar periódicamente que los riesgos, amenazas y vulnerabilidades de privacidad se gestionen de forma eficaz.
  • Defina los controles utilizados para administrar la privacidad de la información, por ejemplo, evaluaciones de impacto de violación de la privacidad, cómo tratar con contratistas y terceros, gestión de registros y cumplimiento normativo, junto con controles tecnológicos, como controles de acceso y autenticación de usuarios.
  • Defina controles de gestión para las actividades diarias de privacidad, como diferenciar entre información personal y comercial y recopilar, manejar y transmitir información identificable comercial y PII.
  • Establezca un proceso para tratar incumplimientos, como la respuesta a incidentes y los procesos de gestión de riesgos. Incluya información sobre cómo preparar un informe posterior a la acción para la alta dirección.
  • Establezca e implemente un programa de capacitación y concientización de los empleados sobre la privacidad de la información que incluya capacitación para nuevos empleados, capacitación de actualización para los empleados existentes y recordatorios continuos para todos los empleados y terceros sobre la importancia de la privacidad de la información.
  • Establezca un proceso revisión del plan de privacidad para evaluar la efectividad del programa e identificar áreas para acciones correctivas.
  • Programe una evaluación posterior a la implementación, entrevistando a los empleados y otras personas para conocer sus puntos de vista sobre el plan en los meses posteriores a la implementación.
  • Establezca un cronograma anual de actividades de privacidad, alineado con las actividades de seguridad de la información, para evaluar el progreso del programa y recopilar evidencia para las revisiones de auditoría.

En conclusión...

La promulgación de la Ley Marco en Ciberseguridad y la actualización de la Ley de Privacidad y Protección de Datos Personales representan un hito crucial en la protección de la información en nuestro país. Ante estos cambios regulatorios, es imperativo que las organizaciones tomen medidas proactivas para adaptarse y garantizar el cumplimiento de las nuevas normativas. La implementación de un programa integral de privacidad y protección de datos personales se vuelve fundamental, desde la creación de políticas claras hasta la capacitación continua del personal y la evaluación periódica del programa. Solo mediante un enfoque sistemático y progresivo se puede asegurar la integridad y confidencialidad de la información, así como mantener la confianza de clientes y socios comerciales en un entorno digital cada vez más complejo y desafiante.

Febrero 22, 2024

By José Miguel Iriarte

Sobre el autor

J

José Miguel Iriarte | Magister Planificación y Control de Gestión / Protección de Datos Personales / Diplomado en Ciberseguridad / Auditor Líder ISO 27001

Innovativo Spa

  • Somos una organización dedicada a la asesoría, implementación y auditoria de normativas nacionales e internacionales, donde destacamos:  Sistemas de Gestión Integrados, Sistemas de Cumplimiento, Privacidad de Datos, Seguridad de la Información,  entre otros para ofrecer innovación y mejora continua a empresas y organizaciones.

Síguenos

Contacto

  • contacto@innovativospa.cl

  • +56 9 9275 8797