Conferencia acerca de la protección de datos y ciberseguridad

Protección de datos y ciberseguridad fueron los temas abordados en conferencia realizada por el CARC

Durante la jornada, se analizaron las principales amenazas, desafíos y aspectos regulatorios en materia de protección de datos, así como también de los profesionales a cargo de la seguridad de la información en las compañías.

En mayo pasado, con el objetivo de proteger el tratamiento de datos de sus ciudadanos entró en vigencia el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, el que tiene aplicación extraterritorial y podría afectar a las compañías de nuestro país que tratan datos personales o están presenten en el viejo continente.

Esto nos lleva de inmediato a los últimos hechos ocurridos sobre las distintas vulneraciones de seguridad que han sufrido los portales de internet de algunas instituciones financieras, que ha derivado en filtraciones de información de usuarios, lo que devela un panorama inquietante, respecto de la protección de datos de las personas en nuestro país.

Es en este contexto que el Centro de Auditoría, Riesgo y Cumplimiento (CARC) del Departamento de Control de Gestión y Sistemas de Información realizó el pasado 12 de septiembre la conferencia Protección de datos, del status quo a la acción, la que abordó estos temas y que fue presidida por el profesor Mauricio Briones del CARC.

Durante la jornada, expusieron Marcelo Drago, presidente del Consejo para la Transparencia (CPLT), Rodrigo León, socio de Silva Abogados, Mauricio Bustamante, director de Privacidad y Protección de Datos de Scotiabank y José Antonio Lagos, managing partner de Cybertrust.

 

Protección de datos

Pese a que actualmente existe un proyecto de ley, en primer trámite constitucional en la Cámara de Diputados, que regula esta materia y además crea la Agencia de Protección de Datos, “nuestro país se encuentra en pañales”, indicó Rodrigo León.

El presidente del CPLT –organismo mandatado para la protección de datos–, sostuvo en su presentación denominada Economía de los datos: desafíos y oportunidades, que la regulación en materia de datos actual –que data de 1999–, se quedó en el pasado, por lo que no representa ningún nivel de protección. Sin embargo, destaca que la regulación que se está discutiendo en el parlamento “es un buen proyecto, que el estándar que se cumple podría permitir abrir las puertas del mundo europeo, pero no está en las prioridades legislativas”, manifestó.

Y es que la economía digital poco a poco ha ido ganando terreno en este ámbito.

“El mundo está evolucionando hacia una economía de datos” señaló en su intervención, para contextualizar la situación actual. Agregó que basta ver las cifras de información que se comparte diariamente desde dispositivos móviles y computadores: 1.700 millones de bytes, lo que se traduce en 360.000 DVD.

Para graficar la importancia que tienen actualmente los datos, mencionó un estudio de Accenture en el que se señala que “un 22% de la economía nacional está desarrollada directa o indirectamente a las economía digital y los datos”.

Más importante aún –añadió–, es la proyección que se puede realizar a partir de esta información. “Si esta economía se desarrolla, se perfeccionara el marco regulatorio y se saca partido a ese segmento existen posibilidades de aumentar la tasa de crecimiento en un 1% desde la base. Y aumentar un 1%, corresponde a USD 14 mil millones adicionales anuales para el país”.

Por esta razón, señaló que lo que está en juego es el futuro de la economía y el país. “Los datos son el petróleo de la economía mundial”, dijo.

“Para que pueda haber intercambio global de datos el país requiere ser reconocido como un país que le da protección a los datos personales de una forma adecuada”, manifestó.

En este punto, Rodrigo León realizó un análisis de la RGPD y la ley chilena. Mencionó los riesgos que corren las empresas chilenas, respecto de la recién aprobada normativa europea, tales como daños reputacionales, acciones y sanciones legales, bloqueo de servicios e-commerce por órdenes judiciales y posibles sanciones penales.

Un aspecto importante que abordó tiene relación con la seguridad de los datos personales. La RGPD obliga a darle seguridad al tratamiento de éstos. También, existe un deber de notificación de violaciones de seguridad de datos personales a la autoridad de control y al titular de los datos.

Si no se cumple con la normativa, esta establece una sanción económica que puede llegar a los € 20 millones o al 4% del volumen anual del negocio.

 

CPO – CFO

En este contexto de economía digital, ¿cuál es el rol del Chief Privacy Officer (CPO) o más conocido como el oficial de seguridad? Ese fue parte del tema que abordó Mauricio Bustamante de Scotiabank.

Indicó que al año 2020 del universo digital estimado en 44 zebyte un 40% de los datos requerirán protección. Por esta razón, indicó que alguien tiene que hacerse cargo de proteger los datos y de las personas que están detrás de esos datos.

Los profesionales que quieran especializarse en esta área deben tener claro cuál es el rol que tiene el CPO y DPO (Data Protection Officer o delegado de protección de datos), en qué área de la empresa se desempeñan, las expectativas que tienen las empresas de ellos y los roles que cumple cada uno.

Según datos de  International Association of Privacy Professionals (IAPP) y EY Annual Privacy Governance Report 2017 que presentó Bustamante, un 32% cree que estos profesionales son la misma persona.

Indicó que el rol de ambos cargos es distinto: el CPO es más ejecutivo, ya que su trabajo tiene relación con el gobierno corporativo, estrategia y compliance, entre otras; mientras que el DPO es más operativo, pues ve lo relacionado con regulaciones, inventarios, auditorías, multas.


Estrategia

Finalmente, José Lagos de Cybertrust expuso sobre cómo implementar un programa de protección de datos que tenga éxito en las compañías.

En este aspecto, indicó que las organizaciones deben definir políticas, procedimientos, roles y responsabilidades en este ámbito, para que quienes integran la compañía tengan claridad sobre el tema. Un aspecto clave es la concientización de los profesionales, que permita cambiar comportamiento de los usuarios y generar una nueva cultura.

Puso énfasis en que se debe realizar un análisis de los riesgos, que incluye las amenazas y vulnerabilidades, y siempre estar preparado para un incidente de seguridad con compromiso de brecha de datos, en la que se experimenten situaciones como las vividas por entidades bancarias en el último tiempo.

Para ello, se deben desarrollar capacidades ciberforenses e incorporar una práctica de código seguro y privacidad.

 

Fotos del Evento: