La tecnología y la innovación son el pilar fundamental para poder dar cumplimiento efectivo a la Ley Orgánica de Protección de Datos Personales en Ecuador.
Para comprender el impacto que dicha ley tendrá en este país, A3Sec, junto a la Cámara de Comercio del Pacífico, organizaron el webinar “Retos y oportunidades de la Ley de Protección de Datos en Ecuador”. En el cual expertos del sector gubernamental, financiero y de ciberseguridad sostuvieron una conversación muy interesante para compartir sus perspectivas sobre el cumplimiento de la mencionada ley.
Mónica Uyana, apuntó que uno de los retos más grandes es el disponer del presupuesto para efectuar una administración efectiva del tratamiento de datos, lo primero a crear son unidades de seguridad de la información, en las que recae la responsabilidad del procesamiento de datos personales. La nueva ley de transformación digital y audiovisual, que también fue publicada durante el presente año, establece las resoluciones para el cuidado y tratamiento de sus datos y obviamente todo esto tiene que venir apalancado dentro de normas internacionales como la ISO 27001. En primer lugar, es importante partir de una definición clara de responsabilidades de qué unidad o persona dentro de una institución va a encargarse de liderar un proyecto tan importante, como es la protección de los datos personales.
Por su parte, Carlos Quiroga comentó que se debe tomar en cuenta la madurez digital o tecnológica en la que están las diferentes industrias, ya que hay empresas que no han utilizado temas de tecnología y por ende tienen que hacer un esfuerzo en invertir en innovación para la correcta protección y resguardo de los datos. Las industrias de servicios, como la bancaria o salud, han alcanzado un nivel avanzado en el desarrollo de capacidades de protección de datos, especialmente la bancaria, donde se resguardan transacciones e información de clientes.
La ley de protección de datos permite, no solo a la industria bancaria, sino a las demás industrias, establecer medidas adecuadas para llevar a cabo una buena diligencia del acceso y de la protección de la información. Es fundamental adoptar buenas prácticas en el inventario de los datos, identificando de dónde se recibe la información de los clientes, si se tiene un sistema de cobranza, de facturación, CRM o un sistema de gestión del cliente. Sobre esa identificación se debe definir qué políticas de protección están siendo aplicadas y cuáles son las mínimas que deberían existir para asegurar que los accesos a esos motores de información o bases de datos estén protegidos con capas y medidas de seguridad, evitando su exposición directa al exterior.
Carlos recomienda a las industrias que comprendan la cadena de valor que establecen con los datos de sus clientes. ¿En dónde interactúan con el cliente?, ¿En qué momento se está gestionando?, ¿Para qué se está gestionando información del cliente? ¿Y cuál es la información que se necesita para interactuar con el cliente?
Lo anterior, para asegurarse de que el cliente está informado claramente sobre las medidas de protección de su información y con quién podemos compartir sus datos, según la gestión de la empresa.
La ley de protección de datos impacta un elemento que no es tecnológico y es el cambio organizacional, este tiene que ver con la cultura de las personas de todas las áreas que tengan interacción con el cliente, ya sea directa o indirectamente, pues deberán entender la ley. Es fundamental educar tanto a nuestros empleados como a nuestros clientes. Esto implica una transformación organizacional y una nueva forma de comunicarnos con nuestros clientes.
Para Alejandro Agudelo, Director de Operaciones de A3Sec, hay dos temas valiosos que abordar en materia de ciberseguridad. El primero es la detección de riesgos, ¿cuáles son los riesgos sobre los datos personales? Para evitarlos, nos enfocamos en el control de acceso y en la división clara de roles con respecto al tratamiento de la información. El siguiente paso es establecer qué se puede hacer con esa data, se puede eliminar, con quién se puede compartir, etc., todo esto. Así, en el momento en que haya incidentes de seguridad, se puedan detectar y remediar lo más pronto posible.
El segundo tema es en dónde se almacena la información, qué clase de cifrado se tiene, ya que, el objetivo es garantizar la protección de la confidencialidad y la disponibilidad de la información. Es crucial definir el concepto de disponibilidad de información, estableciendo claramente qué datos deben estar accesibles solo para las personas y procesos autorizados, que efectivamente requieran acceder a ellos, con el fin de tener controles de acceso a verificar actividad maliciosa sobre extracción de datos.
Al finalizar el webinar, se hizo una invitación a las empresas e instituciones a no considerar este tema como una simple obligación legal, sino más bien como un beneficio para sus clientes y usuarios. Tener el control de los datos sensibles y garantizar un uso adecuado de la información en los servicios institucionales o empresariales es fundamental para proteger la privacidad y la confianza de las personas.
Si quieres ver el webinar completo entra a nuestro canal de YouTube
