"Los cambios inexorablemente vienen en camino, pero no tienen porqué ser dolorosos. Si se adelanta, e implementa los estándares de la nueva legislación de forma simple, escalonada y constante, podrá generar una conciencia interna de protección de sus activos inmateriales, obteniendo una ventaja competitiva que lo distinguirá en su industria y se evitará todos los inconvenientes económicos de hacer esto a última hora o cuando ya sea demasiado tarde", comenta en su columna Fernando Fernández -director de Chiletec y CEO de la empresa socia AltLegal-.

Pronto se promulgará un proyecto de ley que introduce importantes cambios a la actual ley de protección de datos, destacando la creación de una Agencia de Protección de Datos que fiscalizará el cumplimiento de la ley, aplicará sanciones (de hasta 20.000 UTM en los casos más graves) y promoverá la implementación de programas de cumplimiento.

Sobre esta nueva ley se ha escrito bastante, pero no se ha dicho prácticamente nada acerca de cómo debemos adaptarnos, sobre todo considerando que es muy posible que la mayor parte de las organizaciones aún tengan déficits en materia de gestión y protección de datos personales.

En este sentido, pretender que los cambios no llegarán o hacerse cargo de ellos a última hora no es una opción viable. Los cambios vienen a pasos acelerados, y el no tomar medidas se traducirá en contingencias económicas que podrían poner en riesgo la viabilidad económica de la empresa, ya sea por las multas que ésta podría sufrir o por la pérdida de clientela que cada vez más exigirá a los proveedores tecnológicos estar al día en esta clase de materias. Pero ¿qué debemos hacer?

1. Manténgalo simple: Comience primero, con generar conciencia interna en las organizaciones acerca de cómo gestionar los activos inmateriales y tratar los datos personales. Enséñele a su equipo qué es la “protección de datos”, cuáles son las obligaciones de la empresa y las contingencias económicas a que ésta se enfrenta en caso de hacer un mal tratamiento de datos.

Aproveche, además, de ilustrar cuáles son las consecuencias que le puede acarrear al responsable de los datos un mal tratamiento, las medidas básicas de seguridad que debe adoptar y por qué es importante avanzar hacia una cultura de cumplimiento en estas áreas. 

2. Avance de forma progresiva: Es insensato –y costoso– pretender que una organización cambie de un día para otro todos sus procesos y su cultura. Por lo mismo, no malgaste sumas ingentes de dinero en un presupuesto para sacar un programa de cumplimiento de inmediato. Hacerlo implicará obtener una consultoría que, documentos más, documentos menos, quedarían archivados en el disco duro o drive de algún ejecutivo, sin que nada realmente sustancial suceda, ya que la organización, al carecer de una cultura de cumplimiento, no la aplicará. En cambio, una forma más efectiva y económica de avanzar es la que sigue:

Primero, parta por lo básico, revisando y modificando sus contratos con proveedores, clientes y trabajadores, además de sus reglamentos internos de higiene y seguridad, protocolos internos, políticas de privacidad, términos y condiciones de contratación de su sitio web, etc.

Habiendo avanzado con el proceso de concientización y con la resolución de los aspectos elementales, comience a cerrar brechas, lo que importará levantar y cerrar los asuntos pendientes mediante el empleo de los mejores estándares internacionales. En la práctica,  esto implicará, por ejemplo:

·       Conocer y comprender la realidad de la organización, a través de entrevistas y del levantamiento de un mapa de las bases de datos, reglas y procesos existentes.

·       Realizar un diagnóstico de la situación de la institución, identificando las brechas existentes.

·       Elaborar un plan de cierre de brechas y un esquema de gobernanza de datos que permita dar cumplimiento a la normativa y satisfacer los objetivos institucionales.

·       Identificar y capacitar al delegado de protección de datos de la organización.

·       Hacer ajustes menores y finales a las políticas y procedimientos preparados anteriormente para efectos de que reflejen fielmente cada aspecto de la organización.

Sólo después de lo anterior, se debiera avanzar en la preparación de un programa de cumplimiento. Ello, porque aún no están definidos todos los aspectos que deberá contener éste y la Agencia sólo lo certificará en 2 años más. La buena noticia, es que con el programa de cierre de brechas, su organización habrá avanzado en un 90%, por lo que el último esfuerzo será bastante menor. 

3. Sea constante: El programa que se preparará siempre será perfectible y deberá ser modificado en base a las directrices que irá dando la Agencia de Protección de Datos. Por lo mismo, es importante que en todo este proceso se siga una lógica de mejora continua con una mirada integral a los varios cambios que ya han sucedido, y entendiendo siempre que lo perfecto es enemigo de lo bueno.

4. Evite a toda costa caer en el error del copy+paste: Es fácil caer en la tentación de copiar los términos o políticas de la competencia para “ahorrarse” una consultoría o tomar por cierto algo “porque siempre se ha hecho así” en su industria. Si opera de esa forma, usted se está comprando un problema, porque los documentos que usted está copiando son posiblemente información propietaria, reflejan una realidad distinta a la suya y/o fueron redactados por personas que no tienen las competencias necesarias para ver los diversos riesgos legales asociados a estas materias. En suma, lo único que está haciendo con el copy+paste es una apariencia de seguridad que en realidad no es más que una bomba de tiempo. No lo haga.

Los cambios inexorablemente vienen en camino, pero no tienen porqué ser dolorosos. Si se adelanta, e implementa los estándares de la nueva legislación de forma simple, escalonada y constante, podrá generar una conciencia interna de protección de sus activos inmateriales, obteniendo una ventaja competitiva que lo distinguirá en su industria y se evitará todos los inconvenientes económicos de hacer esto a última hora o cuando ya sea demasiado tarde. El llamado es a abrazar el cambio, pues éste entraña claros beneficios a quienes se adapten de la forma sugerida.

Fernando Fernández

Abogado especialista en Derecho y Tecnologías de la Información

Secretario del Directorio de CHILETEC y CEO de la empresa socia AltLegal