Noticias de Deloitte

Enfoque proactivo de la ley N° 29733

Seguridad y respeto a la privacidad

Artículo de Anna Salguero, gerente senior para El Peruano

El objetivo principal de la Ley N° 29733 de Protección de Datos Personales, su reglamento asociado y otras normas conexas, es el de garantizar el derecho a la privacidad de las personas, de forma que puedan proteger el ámbito de su vida privada de intromisiones. El marco legislativo se centra para este fin, en la regulación de los tratamientos sobre la información de las personas naturales, de forma que éstas puedan decidir con quién desean compartirla, y para qué debe ser utilizada.

A pesar de que se trata de un derecho constitucional (habeas data, Constitución Política del Perú de 1993), ha resultado necesario articular un marco legislativo completo con el fin de impulsar en la sociedad derechos y obligaciones concretos y aplicables, produciéndose en el momento de mayor necesidad en el Perú, atendiendo principalmente a la existencia de prácticas inapropiadas de uso de datos personales, considerablemente extendidas en el Perú, a la creciente complejidad del entorno de los tratamientos, y el aumento de los retos de seguridad que dificultan la protección de la información, entre otros

El marco legislativo se fundamenta en un conjunto de principios, que deben ser contemplados y respetados en todos los ámbitos de la actividad de las organizaciones relacionados con los datos personales de sus clientes, colaboradores, visitantes y proveedores, entre otros, así como con la información personal de otras empresas sobre la que han recibido algún encargo de tratamiento. Es necesario considerar que el fin último de la ley es respetar dichos principios, y con ese objetivo se han definido un conjunto de obligaciones y medidas concretas, para guiar en el cumplimiento de los mismos.

Así pues, el cumplimiento y respeto a la privacidad no se limita a disponer de unchecklist de las medidas propuestas en el marco legislativo y demostrar que se encuentran implementadas, sino que la compañía debe identificar todos los controles necesarios para dar cumplimiento a los principios. Resulta interesante en este sentido analizar el principio de Seguridad, que tal y como se define en la Ley, establece que es necesario implementar en la organización las medidas técnicas, organizativas y legales necesarias con el fin de garantizar que el nivel de seguridad sobre los datos personales es adecuado, atendiendo a la naturaleza de datos que se traten, así como del tipo de tratamiento.

Observamos en la propia definición del principio algunos aspectos que denotan la necesidad de análisis y toma de decisiones para establecer el nivel de seguridad adecuado en cada caso. Una de las primeras derivadas es que las medidas deben encontrarse proporcionadas a la relevancia de la información y de los tratamientos que se realizan, por lo que no resultaría necesario aplicar el mismo rigor de protección, a modo de ejemplo, en el caso de los datos de contactos básicos que dispone un pequeño comercio de sus clientes para informarles de sus promociones, que en el caso de los expedientes médicos de los pacientes de un gran hospital. Estas mismas diferencias de proporcionalidad se observan en distintos tratamientos de una compañía.

Con el fin de facilitar la aplicación proporcional de medidas y servir de guía en el proceso, la Dirección General de Protección de Datos Personales ha elaborado la Directiva de Seguridad, en la que se proponen unos criterios atendiendo a las características de la información y los tratamientos para clasificarlos en uno de los cinco niveles definidos, con el fin de orientar a las organizaciones en cuáles son las características mínimas de las medidas que deben aplicar en cada caso.

Tiene el mismo objetivo la propuesta realizada en la Directiva de Seguridad de contar con un enfoque a riesgos en el proceso de implementación de medidas. Esto quiere decir que las compañías deben evaluar para cada tratamiento cuáles son los riesgos de privacidad, e implantar en consecuencia las medidas necesarias para eliminarlos o bien mitigarlos hasta niveles aceptables. Este concepto es conocido en el mundo de la protección de los datos personales como PIA (por sus siglas en inglés Privacy Impact Assessment), y autoridades de diversos países ya han definido guías y criterios para que las organizaciones lleven a cabo procesos de evaluación de impacto de privacidad y puedan definir las medidas más adecuadas con el fin de proteger su información personal.

Esto lleva necesariamente a un paradigma de protección proactiva y responsable de la información personal, midiendo los riesgos que existen, y aplicando las medidas más adecuadas. La protección de la información no se limita a cumplir el checklist de medidas, sino que la compañía debe definir las más adecuadas en cada caso, lo que nos situaría en una gestión más madura y eficiente de la privacidad, siendo el nivel mayor de madurez aquél en el que las organizaciones implementan un programa de privacidad con componentes de mejora continua.

Probablemente gran parte de las organizaciones se encuentran en un nivel de madurez inicial, centrado en el cumplimiento del checklist citado, la Directiva establece los puntos necesario para que progresivamente se evolucione a un enfoque proactivo de protección que permita disponer de los niveles adecuados de protección siendo el máximo de eficientes, y ante todo respetando la privacidad de las personas.

¿Le pareció útil este contenido?