Ley de Protección de Datos Personales

Introducción

En América Latina, como en gran parte del mundo, son varios los países que han avanzado o están avanzando en materia de protección de los datos de sus ciudadanos.  Esto implica llevar adelante múltiples acciones, en especial para las organizaciones que hasta hoy no tenían la obligación de avanzar en el cumplimiento de leyes que traten esta temática.

Ante esta realidad, se diferencian claramente dos tipos de respuesta. Algunas organizaciones no dudan y saben que tienen que avanzar de forma urgente con el cumplimiento.  Indagan, se preparan y comienzan el proceso de cumplimiento.  Pero otras, por desconocimiento o malas interpretaciones, creen que no les aplique o que la forma de cumplir es totalmente distinta a lo que realmente es.  ¿En cuál de estos grupos está su organización?

Problemáticas

La problemática que las organizaciones deben resolver, desde nuestro punto de vista tiene dos aristas.  Estas son:

  1. Todos los aspectos relacionados con la Ley.  Por ejemplo el alcance, las definiciones, las responsabilidades, los plazos, los roles y las implicancias.
  2. La organización interna.  Siendo que es una Ley que trata de datos y de personas y de la forma en que se almacenan y procesan dichos datos, suele surgir una gran confusión en relación a quién debe liderar el tema internamente, ya que a simple vista parece ser tema de Sistemas, o de Recursos Humanos, o de Legales o de Procesos…

Necesidades

En función de la problemática antes presentada, se podría avanzar en ambos frentes de la siguiente manera:

Aspectos relacionados con la Ley

A rasgos generales, es importante entender lo siguiente:

  • Objetivo
    • Garantizar el derecho fundamental a la protección de datos personales, regulando un adecuado tratamiento tanto por las entidades públicas como por las instituciones pertenecientes al sector privado.

Algunas definiciones que hacen al entendimiento y aplicación de la Ley

  • Datos personales
    • Información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo relativo a las personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados.
  • Datos Sensibles
    • Datos de la esfera más íntima de la persona: datos biométricos; origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; características físicas, morales o emocionales; familiar; e información relacionada a la salud o a la vida sexual.
  • Banco de Datos Personales
    • Conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se cree, cualquiera que fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.
  • Titular del dato
    • Persona natural a la que corresponden los datos personales (propietario).
  • Titular del banco de datos personales
    • Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de éstos y las medidas de seguridad.
  • Responsable del tratamiento
    • Aquél que decide sobre el tratamiento de los datos personales
  • Encargado del tratamiento
    • Realiza el tratamiento de los datos personales, pudiendo ser el titular, el responsable u otra persona por encargo del titular y en virtud de una relación jurídica. Incluye los que lo realizan por cuenta del responsable, cuando el tratamiento se realice sin la existencia de un banco.
  • Transferencia de datos personales
    • Transmisión, suministro o manifestación de datos personales, de carácter nacional o internacional, a una persona jurídica de derecho privado o a una entidad pública o una persona natural distinta de del titular del banco
  • Tratamiento de datos personales
    • Cualquier operación o procedimiento técnico, automatizado o no, que permita la extracción, consulta, registro, organización, almacenamiento, modificación, bloqueo, suspensión, difusión o cualquier otra forma de procesamiento de datos personales.
  • Escenario de aplicabilidad
    • Cuando el titular del banco de datos o el responsable se encuentra ubicado en territorio peruano, independientemente del país en el que se realicen los tratamientos el encargado del tratamiento.
    • Cuando el titular o responsable en territorio no peruano aplica la legislación peruana por contrato, etc. o utiliza medios en dicho país para el tratamiento (excepto sólo transmisión).

Organización interna

Cómo mencionamos anteriormente, la organización interna para hacer frente a esta nueva exigencia de carácter legal no es un tema menor.  No solo por lo confuso en relación a si es un tema legal, de sistemas, RRHH, procesos o cualquier otra naturaleza, sino porque a la hora de asignar recursos internos para avanzar en el proyecto, nos encontramos con lo siguiente:

  • Las personas que deben diagnosticar, planificar, ejecutar y controlar los proyectos de alineación, comparten agenda con otros proyectos igualmente críticos, impidiéndoles focalizar y dedicar el tiempo necesario para el control y el aseguramiento básicos
  • No se definen equipos de trabajo con estructuras lo suficientemente fuertes como para moverse ágilmente dentro de la organización en pos de obtener lo necesario para el cumplimiento de los objetivos
  • La mayoría de las actividades son llevadas a cabo por personal operativo de una sola área, reduciendo al mínimo la participación de personas de otras áreas clave.
  • Ausencia de una metodología de trabajo orientada a objetivos: al estar conformado por personal con perfil mayormente operativo, no se estructura el proyecto para que cada individuo se focalice en el cumplimiento de sus objetivos individuales y de proyecto; esto permite que fácilmente las actividades se estanquen o pierdan el rumbo definido originalmente
  • Finalmente hay un escaso manejo de la comunicación y el control de los cambios dentro del proyecto que son factores que muy frecuentemente aparecen y, en proyectos de corto plazo como éstos, generan impactos difíciles de remediar en tiempo y forma.

Soluciones

Nuestra experiencia de haber trabajado en el cumplimiento de leyes de similares características en otros países, nos indica que si bien la solución podría perfectamente estar dentro de casa, lo cierto es que se suele requerir un complemento de colaboración activa y profesional que no solo tiene que ver con el conocimiento vertical y específico de esta nueva Ley, sino que debe aportar valor en base a las siguientes características:

  • Contar con experiencia previa en situaciones de similares características
  • Capacidad para interactuar de forma simple, directa y clara con cualquier persona dentro o fuera de la institución
  • Capacidad de liderazgo, coaching y visión estratégica de corto, mediano o largo plazo
  • Experiencia en proyectos de alta presión, exposición e impacto en el negocio
  • Conocimiento en la industria y la solución a aplicar
  • Visión objetiva, planificadora y ágil
  • Conocimientos sólidos en gobierno, procesos, gestión de la comunicación y del cambio.

Metodología de Trabajo

En materia de metodología de trabajo, nosotros proponemos avanzar de la siguiente manera:

Módulo A – Desde el Entendimiento a la Estrategia de Cumplimiento

Consta de 4 fases que van desde el entendimiento del conjunto de datos personales que existen en la organización, hasta la estrategia de cumplimiento definida en conjunto.

Modulo A - Ley de Datos Personales

Módulo B – Adecuación

En base a la estrategia de cumplimiento que tenga definida la organización, Estratega propone definir actividades focalizadas por especialidad pero coordinadas en conjunto en relación a los siguientes temas:

Modulo B - Ley de Datos Personales

Módulo C – Aseguramiento

Luego de haber cumplido con los requisitos de la Ley, es fundamental seguir trabajando de manera firme y constante, para ellos se definen los siguientes servicios:

Modulo C - Ley de Datos Personales

Finalmente quisiera recomendarles a los lectores de este artículo que se tomen un tiempo de reflexión y evalúen si no es necesario quizás profundizar en estas temáticas y concretar una charla con el equipo de Estratega para clarificar un poco más la situación y las necesidades que surgirán como consecuencia de la entrada en vigor de esta Ley.

Acerca del autor de este artículo

Diego Vázquez

Es socio fundador de Estratega.  Tiene más de 20 años de experiencia como consultor, realizando proyectos de alta criticidad para empresas líderes en el mercado argentino y latinoamericano, basados en sus sólidos conocimientos profesionales y de gestión de proyectos complejos.

Es especialista en diversas Mejores Prácticas aplicables a la estrategia de negocios, la estrategia de operaciones, la mejora de procesos y la gestión de TI.

Para saber más de él: