LMI | Microfinanzas para el Desarrollo|contacto@lmi.pe

Ley de protección de datos personales: Cuatro pasos para implementarla con enfoque en la mediana empresa

//Ley de protección de datos personales: Cuatro pasos para implementarla con enfoque en la mediana empresa

Ley de protección de datos personales: Cuatro pasos para implementarla con enfoque en la mediana empresa

Por Mauricio Talla

En estos años donde la inmediatez y personalización de los productos que se ofrecen son tan importantes como el producto en sí, se hace importante identificar la información de nuestro entorno como uno de los activos más importantes dentro de las empresas. Por lo anterior, se debe buscar que el uso de la información se dé con responsabilidad y respetando el derecho de todas las personas.

De acuerdo con este enfoque, en julio del 2011 se realizó la publicación de la Ley de Protección de Datos Personales (Ley N° 29733) [1] con el fin de regular el uso que se puede dar a los datos de las personas naturales. La Ley no se limita a proteger la data de los clientes y potenciales clientes, sino también a los socios, empleados, proveedores y toda persona natural que nos brinde su información.

Como toda nueva legislación, y especialmente cuando está relacionada con la implementación de un sistema de gestión, el punto de partida es realizar un diagnóstico del impacto para identificar el estado inicial de la empresa. Para esto, se pueden seguir los siguientes pasos (basado en la directiva de seguridad [2] y la norma ISO 27001 – Sistema de Gestión de Seguridad de la Información):

  1. Identificar los canales de captación de datos (call center, correo, área de ventas, etc.): Estos serán los lugares más fáciles a ser evaluados durante una fiscalización y son los primeros que se deben adecuar. Además, estos puntos son los que alimentarán todo nuestro sistema y el tratamiento que podamos hacer posteriormente a la información.
  2. Identificar los lugares y tiempos de almacenamiento: Debemos de hacer un seguimiento a la información que ingresa por nuestros canales de captación. Se debe realizar para todos los flujos de datos considerando los traslados entre responsables y si estos son enviados a personas fuera de la empresa además de evitar omitir los almacenamientos físicos que puedan existir (ejemplo: Listas temporales con datos de los postulantes a un puesto, fichas con datos de clientes, etc.)
  3. Contrastar con la legislación aplicable: El primer paso es realizar, ante el Ministerio de Justicia, el registro de la existencia de las bases de datos que se han identificado. Existe una guía para la inscripción [3] y además en su web se puede realizar el análisis anónimo [4] de nuestras bases de datos. Posteriormente, se debe verificar que las medidas de seguridad mínimas estén garantizadas para evitar cualquier intrusión durante el ciclo de vida de los datos en la empresa (captación, uso y eliminación) así como la implementación, en los canales de captación, de cláusulas de consentimiento de uso.
  4. Elaborar planes de acción: En este paso debemos enfocarnos en las brechas que se han identificado. En este grupo estarán aquellas requisitos que van a demandar mayor tiempo para su implementación como son aplicar normas de autenticación, copias de seguridad y restauración, y la generación de un manual

Entre los principales beneficios que se obtienen al implementar un adecuado sistema de gestión de la información están los siguientes:

  • Brindar seguridad a los clientes.
  • Reforzar los procesos de seguridad de la información dentro de la empresa.
  • Evitar ser multado por el incumplimiento de la legislación.
  • Proteger la marca ante cualquier incidente que pudiera afectar su reputación.
  • Identificar que datos son necesarios para el desarrollo de las actividades de la empresa
  • Generar las bases para la implementación de un Sistema de gestión de seguridad de la información.
  • Estandarizar la calidad de los datos, es decir, establecer reglas para mantener la consistencia de la información cuando esta se extrae de diferentes lugares.
  • Y lo más importante es que a mejor información de los clientes, mayor conocimiento de ellos [5]

Si bien el proceso requiere de un buen análisis, tiene pasos que son muy sencillos de realizar (inscripciones de las bases de datos y las cláusulas de consentimiento) que permiten lograr una adecuación exitosa.

Por último, siempre se debe considerar que la gestión de datos es un proceso multidisciplinario y no solo de las áreas de tecnologías de información (TI) de las empresas, sino que toda la organización debe estar comprometida con este nuevo enfoque.

REFERENCIAS

[1] Ley de protección de datos personales https://www.minjus.gob.pe/wp-content/uploads/2013/04/LEY-29733.pdf

[2] Directiva de seguridad https://www.minjus.gob.pe/wp-content/uploads/2014/02/Cartilla-de-Directiva-de-Seguridad.pdf

[3] Guía para la inscripción https://www.minjus.gob.pe/wp-content/uploads/2014/09/Cartilla-Registro-NEW-BAJA.pdf

[4] Análisis de los bancos de datos https://www.minjus.gob.pe/wp-content/uploads/2014/02/Informate-registro.pdf

[5] Calidad de data http://blog.powerdata.es/el-valor-de-la-gestion-de-datos/plan-de-analisis-de-datos-en-5-pasos-para-mejorar-data-quality

By |2018-08-26T15:03:48+00:00agosto 15th, 2017|LMI Blog|0 Comments

About the Author: