En un mundo cada vez más digitalizado, las empresas están cada vez más expuestas a sufrir la fuga o el robo de datos confidenciales de sus clientes. A su vez, esta situación puede conducir a la imposición de sanciones de los entes reguladores, según el sector en que opera cada organización. No solo nos referimos a multas emitidas por la Autoridad Nacional de Protección de Datos Personales, sino también de la Unión Europea, en caso de incumplir su Reglamento General de Protección de Datos.
Otras consecuencias derivadas son la pérdida de reputación, la fuga de clientes y las caídas en el costo de las acciones, en caso de cotizar en la bolsa de valores. Por ello, es responsabilidad de las empresas tomar las medidas necesarias para proteger al máximo los datos personales de sus clientes.
Antes de pensar en qué medidas tomar para proteger su información confidencial, las empresas deben establecer qué tipo de datos consideran más relevantes. La Ley n.o 29733, Ley de Protección de Datos Personales, nos puede orientar al respecto, ya que el numeral 5 de su artículo 2.o considera como datos sensibles los relacionados con temas financieros, económicos, de salud, clínicos, étnicos y raciales, etc.
La normativa también considera como datos sensibles los que permiten identificar al titular, como pueden ser sus nombres, apellidos, etc., los cuales suelen aparecer en el DNI. En ese sentido, y pese a que este documento se considera de carácter público, las empresas que lo solicitan a sus clientes deben resguardar toda la información recabada, ya que solo la recopilan para identificar a cada consumidor.
Una vez que la empresa haya definido qué tipo de información se considera sensible, tendrá que establecer procesos claros para protegerla, distribuir roles entre el personal a cargo e implementar la tecnología necesaria para cumplir este objetivo. Para ello, es necesario establecer una unidad de gobierno de datos y empoderarla, a fin de que todas las medidas a tomar (encriptación, disociación, etc.) cumplan con el marco legal de la Ley n.o 29733.
Otra acción importante es el discovering, que consiste en determinar dónde se almacenan los datos confidenciales. Algunos pueden hallarse en una base de datos con acceso restringido, mientras que otros pueden estar en un documento de Excel, ubicado en la computadora de algún colaborador. A partir de esta exploración, podemos determinar cuán vulnerable es cada tipo de información.
El derecho corporativo es clave en este proceso para asegurar el cumplimiento de las normativas nacionales e internacionales sobre protección de datos. En ese sentido, las empresas, a través de sus unidades legales o sus áreas de cumplimiento legal, deben trabajar con asesores y evaluadores en temas legales. ¿Qué medidas toma tu empresa para proteger la información privada de sus clientes? Cuéntanos tu experiencia.
Gianncarlo Gustavo Gómez Morales
Head Of Cybersecurity Audit en el Banco Interamericano de Finanzas y Docente Adjunto del curso Cyber Policy Development en la National Defense University en Washington D.C. Se desempeñó como Oficial de Seguridad de la Información y Protección de Datos Personales en el OSIPTEL y Gerente Adjunto de Arquitectura de Seguridad en el Banco de Crédito del Perú. Además, es auditor y entrenador de norma ISO/IEC 27001. Magister en Administración y Dirección de TI por la Universidad Nacional de Trujillo. Posgrado en Seguridad de la Información por ESAN. Cuenta con especialización en la UNE ISO/IEC 27001 por el INTECO-CERT de España, Lead Auditor en ISO/IEC 27001, Protección de Datos Personales por la Agencia Española de Protección de Datos, Ciberseguridad por la Universidad Rey Juan Carlos y en Desarrollo de Políticas de Ciberseguridad por la Universidad Nacional de Defensa de EE. UU. - Washington D.C.
El ransomware es la modalidad de ciberdelito más frecuente en la actualidad, además se ejecuta con mayor rapidez que antes. ¿Qué medidas pueden tomar las empresas para disminuir las posibilidades de sufrir este tipo de ataques?
La auditoría de ciberseguridad revisa las políticas de una empresa para enfrentar ciberataques. ¡Conoce las mejores prácticas aquí!