El uso de los datos de sus clientes, empleados, socios y proveedores es oro, pero no para comercializarlos o usarlos sin su autorización para fines distintos a los comunicados cuando se obtuvieron.
La falta de transparencia, los fallos por problemas de integridad y seguridad de la información y que se revele –por una denuncia o por otra razón– un uso inapropiado golpea fuertemente su reputación y a su marca.
El polémico caso de la Unidad Presidencial de Análisis de Datos (UPAD) en la Administración Alvarado lo demuestra.
LEA MÁS: ¿Qué tipo de datos existen en Costa Rica y a cuáles puede acceder el Gobierno?
Recuperarse de esa situación no será fácil.
Para evitar alguna situación similar las empresas deben asesorarse correctamente para determinar qué aspectos de la legislación debe cumplir de acuerdo con su giro de negocio y los datos que trata.
Además, establezca y ejecute acciones correctivas y preventivas concretas, eduque a sus colaboradores y dicte políticas que permitan crear una cultura de protección de datos a lo interno de la empresa.
Cumpla la ley
La principal recomendación es que las empresas se atengan y cumplan fielmente la legislación en la recopilación, almacenamiento y uso de los datos.
Kenneth Monge, profesor de ciberseguridad y arquitecto de soluciones de la firma Knogin, las compañías no pueden ni deben tener prácticas que vayan en contra la legislación, en esta caso la ley de protección de datos.
La Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (8968) y su reglamento es pública y de acceso para todos los ciudadanos.
En caso de duda pueden consultar sobre a la Agencia de Protección de Datos de los Habitantes (Prodhab).
Mauricio París, abogado y socio fundador de ECIJA, afirmó que la mayoría de las empresas no se han adecuado a las disposiciones de la Ley 8968 y su Reglamento, pese a que entró en vigor hace casi 10 años.
LEA MÁS: Siete tareas que su empresa debe cumplir con la gestión de los datos
Los principales errores que cometen son:
1) El tratamiento de datos personales sin consentimiento de su titular, en especial en el envío de información comercial.
2) La compra de bases de datos en el mercado negro.
3) La inexistencia de medidas de seguridad adecuadas sobre las bases de datos, que facilitan la existencia de brechas de seguridad en la información.
Las empresas deben informarse sobre las obligaciones legales a las que están sujetas todas las bases de datos que operan en el país.
Eso implica realizar un inventario de las bases de datos que manejan y adecuar las prácticas de tratamiento de datos personales a los principios mínimos que prevé la normativa local.
¿Requiere datos personales?
Su empresa debe fijarse si requiere utilizar los datos personales para efecto de realizar los análisis que necesita.
Mauricio París, de ECIJA, indicó que el error en el caso de la UPAD es haber previsto la posibilidad de acceder a datos personales cuando –de acuerdo a la posterior explicación del Ejecutivo– en realidad no se requería ese acceso.
Para los análisis no se requiere hacer identificable a las personas.
Según París, tampoco se dimensionó qué tipo datos personales eran los que se podían tratar, además era innecesario que se permitiera el tratamiento de todo tipo de información, con el único límite de que no fueran secreto de Estado.
Mejore el conocimiento
María del Mar Herrera, gerente senior de EY Law y experta en controversia y protección al consumidor, indicó que las empresas deben mejorar el conocimiento de los funcionarios de los términos técnicos sobre privacidad de datos y una mejor estrategia para su manejo.
Para saber cómo se debe ejecutar el manejo de información personal lo primero que se debe determinar es si los datos que se están recabando son de índole personal.
Posteriormente, se debe determinar qué tipo de dato personal se tiene o se va a solicitar y para qué se necesita. Lo anterior permite determinar qué acciones concretas se deben ejecutar para su debida protección.
Tenga una estrategia
Todas las entidades públicas y privadas deben tener una estrategia clara de manejo de datos.
Se debe entender qué datos se tienen, qué datos se necesitan, para qué se necesitan y si realmente se justifica la obtención, almacenamiento y tratamiento de estos datos.
Una vez que esto se tienen claro, se debe establecer un plan que me permita garantizar que el tratamiento de los datos se va a realizar en el marco de la Ley y las garantías personales de los ciudadanos.
Se deben tomar medidas como: la capacitación de todas las personas que van a tener algún tipo de contacto con los datos, establecer responsables para su manejo, determinar si se necesita algún tipo de tecnología para la protección, tener protocolos y políticas internas sobre manejo de datos, entre otros.
El manejo es un aspecto de fundamental relevancia porque involucra el derecho humano a la intimidad. Por lo tanto no es algo que se pueda tomar a la ligera.
Tenga claro la importancia de los datos
Herrera, de EY Law, advirtió que en el sector privado se cometen muchísimos errores en el manejo de datos personales.
El más importante es que muchas empresas no tienen claro que la protección de datos es un aspecto de cumplimiento fundamental en toda organización sin importar el tamaño de la misma.
Muchas carecen de claridad sobre los conceptos técnicos y las obligaciones básicas sobre protección y es por esto que realizan acciones que van en detrimento de los derechos de sus consumidores y se exponen a demandas y sanciones.
Por ejemplo: las empresas solicitan y almacenan información de sus consumidores cuando esto muchas veces no se justifica o incluso solicitan datos sensibles que no deberían estar recabando.
Muchas no solicitan consentimiento informado para el almacenamiento, tratamiento o transferencia de datos.
Otras utilizan, en el marco de sus actividades comerciales, políticas de privacidad y consentimientos informados obtenidos en Internet con regulaciones y redacción que no aplica a Costa Rica.
Muchas utilizan información personal para realizar publicidad no solicitada por medios electrónicos, otras utilizan elementos invasivos de navegación sin autorización de los consumidores.
Seguridad
El otro problema es no tener prácticas seguras de almacenaje, carecer de normas de seguridad de la información, de políticas de respaldo, de cifrado de datos cuando se requiera y no tener planes de continuidad del negocio
Las empresas deben seguir las normas internacionales de seguridad de la información, como la (ISO 27001 y 27002) y de seguridad de almacenamiento (ISO 27040).
Para implementar un buen plan de continuidad de negocio se debe hacer un estudio correspondiente de vulnerabilidades y riesgos con base a eso podremos saber que debemos incluir en el plan para que sea exitoso