A casi un año de la entrada en vigor de la Ley de Protección de Datos Personales en Chile, muchas organizaciones ya han avanzado en la preparación de sus políticas de protección de datos personales, auditorías internas y en la adaptación de sus mecanismos de gestión de datos para cumplir con las exigencias que establece la nueva ley.

Fuente: Freepik

Entre las obligaciones que indica la Ley 21.719, el artículo 14 quinqués establece que el responsable de datos debe adoptar “medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo” al tratar datos personales. De esta manera, las principales medidas que se toman en cuenta son la seudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida ante incidentes.

Sin embargo, existe otra medida clave que no aparece explicitada en la Ley, pero que puede resultar fundamental para incorporar las medidas enumeradas en las organizaciones y hacerlas una parte arraigada de la cultura organizacional de las empresas y sus colaboradores. Se trata de la comunicación traducida como cuantización o sensibilización, aspectos que bien podrían caber dentro de las “medidas organizativas” incluidas en la normativa.

Dado que la ley exige medidas organizativas apropiadas al riesgo, y éstas deben abarcar tanto lo técnico como lo organizativo, la formación interna del personal se puede considerar una medida organizativa clave para asegurar la integridad, disponibilidad, confidencialidad y resiliencia del tratamiento de datos. En un modelo de cumplimiento eficaz, la formación continua y la sensibilización de los colaboradores aparecen como buenas prácticas que respaldan la adecuación al riesgo y la prueba de que las medidas están operando.

Como ejemplo práctico, el tratamiento de datos personales está presente en una gran cantidad de las tareas diarias que realizan transversalmente los colaboradores de una empresa. Sin ir muy lejos, muchas personas están utilizando la inteligencia Artificial, y no necesariamente la autorizada por la compañía, para redactar correos o documentos que contienen datos sensibles de clientes o colaboradores, sin entender realmente las consecuencias que esto puede tener.

En concreto, implementar un plan de transformación cultural y concientización en el marco de la ley de Protección de Datos Personales es un avance tremendamente importante para dar a conocer entre todos los colaboradores tanto sus derechos como titulares de datos, como sus deberes en el tratamiento de datos personales, sensibilizando que cada acción que no vaya conforme a la ley puede generar graves consecuencias, tanto para la compañía como para las víctimas del mal uso de sus propios datos.

Es clave que este plan se adapte a quienes recibirán la información, una campaña de concientización exitosa es la que sabe realmente a quien se está dirigiendo y, en consecuencia, logra llegar a ellos de la mejor manera posible. Es claro que no se trata de temas livianos o simples de comprender, por lo que enviar a cada colaborador la política interna o fragmentos de la propia ley no es la mejor manera de lograr que éstos incorporen en su forma de trabajar esos nuevos lineamientos.

Un correcto plan de transformación cultural debe estar sostenido por formas de comunicación transversales, un lenguaje adaptado a todos los colaboradores, alejado de los términos técnicos y entregado mediante recursos audiovisuales, actividades prácticas, mensajes que logren sensibilizar a la audiencia sobre la importancia personal que puede llegar a tener lo que se le está transmitiendo.

De esta manera, nos podemos dar cuenta de que un cambio profundo como el que plantea para las empresas la nueva Ley de Protección de Datos Personales no sebe ser solo asumido por sus colaboradores, sino que debe ser comprendido e integrado de forma amable a la cultura organizacional.

Por Camila Marín, Analista Contenidos Ciberseguridad y Protección de Datos