top of page

La protección de datos personales como aliado a la gestión financiera y comercial

La Gestión Comercial y Financiera no deben desprenderse de la Gestión Operativa y el Cumplimiento dentro de una organización, debido que en una situación de crisis como la que atravesamos este año, el control de los gastos en los estados financieros juega un rol muy importante.


En tal sentido, deberíamos (1) analizar, (2) entender y (3) conocer la alianza existente entre la privacidad de datos y el impacto que esto podría traer en la gestión de la organización. A continuación, detallamos:


1. Analizar - ¿Cómo las diferentes empresas han mostrado su necesidad de proteger la información que poseen y otorgar esa privacidad a los datos que correspondan?


Para poder analizar esta respuesta debemos entender que los datos son del titular del “dato”, es de propiedad de quien los está otorgando; y a quién se le otorga es un simple guardián de la información de carácter personal; pero como simple custodio adquiere obligaciones y responsabilidades frente a la ley N° 29733.


En ese sentido, para el tratamiento de los datos personales debe mediar el consentimiento previo, explícito e informado de su titular. Además, que se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos y todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.


Como parte del modelo de gobierno de cumplimiento en las organizaciones la alta dirección debería preguntarse si ha considerado dentro de sus políticas internas la protección de datos, con las siguientes bases legales:

• General Data Protection Regulation de la Comunidad Europea.

• Ley N° 29733 – Ley de Protección de Datos.

• Decreto Supremo N° 003-2013-JUS – Reglamento de Ley de Protección de Datos.

• Decreto Legislativo N° 13532 – Crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública.

• Decreto Supremo N° 017-2019-JUS – Reglamento del Decreto Legislativo N° 1353.


2. Entender - ¿Cuál es la preocupación por proteger la privacidad de la información a través de las redes sociales y cumplir con las regulaciones que han surgido?


Para atender esta respuesta, debemos preguntarnos que tanto las organizaciones, independientemente de su tamaño o sector, conocen que la Dirección de Sanciones es una unidad orgánica que depende de la Dirección General de Protección de Datos Personales del Ministerio de Justicia que se encarga de tramitar los procedimientos administrativos sancionadores generados por las acciones de fiscalización, control y supervisión realizadas por la Dirección de Supervisión y Control.


Las organizaciones deberían conocer que, en el marco del cumplimiento de las medidas de seguridad, la norma de protección de datos establece que se pueden imponer tres sanciones divididas en tres niveles:

• Leves: De 0,5 a 5 Unidades Impositivas Tributarias (UIT). Es decir, entre los S/2.150 y S/11.500.

• Graves: De 5 a 50 UIT. Es decir, entre los S/11.500 y S/115.000.

• Muy graves: De 50 a 100 UIT. Es decir, entre los S/115.000 y S/230.000.


Es bueno considerar que, califica como multa leve, por ejemplo, no inscribir o actualizar los datos del banco personal en el registro nacional, realizar tratamientos de datos incumpliendo medidas de seguridad ya fijadas, recopilar data que no sea necesaria y no suprimir los datos de tratamiento cuando hayan dejado de ser necesarios para cumplir el fin con el que fueron recopilados.


Entre las multas graves, se encuentra no atender, impedir u obstaculizar los derechos de los titulares sobre sus datos; y tratar los datos personales sin consentimiento del titular. Más allá del valor monetario de la sanción, las organizaciones deberían entender que la reputación se vería expuesta en las redes sociales, debido que las sanciones son mostradas en las páginas WEB de los estén reguladores, como, por ejemplo en el siguiente caso (ver imagen Nro. 1) se muestra como una entidad bancaria es sancionada por S/ 166 mil, quizás se pueda pensar que es un gasto poco representativo para el sector financiero, pero si se considera que la sanción es por cada caso reportado por el Ministerio de Justicia y que este podría servir para que Indecopi también intervenga esta entidad financiera, ocasionando que el gasto por la multa se podría incrementar rápidamente.




Imagen Nro. 1 – Ejemplo de multa a entidad


Complementando la Ley 29733, en materia de infracción a los derechos de los consumidores en general mediante la prestación de los servicios e información brindados por las Cepirs o similares, en el marco de las relaciones de consumo, son aplicables las normas sobre protección al consumidor, siendo el ente competente de manera exclusiva y excluyente para la supervisión de su cumplimiento la Comisión de Protección al Consumidor del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi), la que debe velar por la idoneidad de los bienes y servicios en función de la información brindada a los consumidores. Por ejemplo, en la Imagen Nro. 2 se puede apreciar como INDECOPI sancionó hasta por S/ 630 mil a una empresa por llamadas telefónicas insistentes para vender su producto:



Imagen Nro. 2 – Sanción impuesta por INDECOPI


3. Conocer - ¿Qué tanto las organizaciones están demandando que se actúe en consecuencia con la privacidad de datos? ¿Aún se necesita más acción?


Existen casos que por la situación económica no destinan presupuestos económicos para subsanar brechas de seguridad, para proteger los datos de los clientes, ocasionando que, ante un ataque de sustracción de información de los clientes, ocurran situaciones, por ejemplo, que una cadena de cines registró una alerta de vulnerabilidad en una sus bases de datos, que alcanza al 3,6% de sus clientes registrados. A raíz de un informe publicado en el portal de tecnología CNET —que tomó la investigación de un miembro de Safety Detectives, Anurag Sen— que daba cuenta de una filtración de datos de usuarios de Cineplanet, la compañía informó —como versión final— que dicha alerta se cerró ese mismo día y no implicó una fuga ni descarga de la información registrada.


Según el portal CNET, la base de datos de la cadena de cines expuso cerca de 250.000 números de DNI, direcciones de correo electrónico, contraseñas sin cifrar y cierta información parcial de pago.


No obstante, estos y otros casos de incumplimiento y las sanciones impuestas pueden ser revisadas en la página del Ministerio de Justicia, tal como se puede ver en la imagen Nro.3





Imagen Nro. 3 – Multas impuestas por el MINJUS con las respectivas sanciones



A continuación, se presenta un método para medir qué tanto la organización está madura en la gestión de la protección de datos confidenciales, como parte de un conjunto de aspectos de la Seguridad Cibernética. Este método señala una serie de recomendaciones por el Centro Global de Capacidad en Seguridad Cibernética (GCSCC, por sus siglas en inglés) de la Universidad de Oxford, en consulta con más de 200 expertos internacionales provenientes de gobiernos, la sociedad civil y la academia, desarrolló el Modelo de Madurez de la Capacidad de Ciberseguridad para las Naciones (CMM, por sus siglas en inglés).


Se trata de un modelo (ver imagen Nro. 4) que busca ofrecer una evaluación del nivel de madurez de las capacidades de ciberseguridad de un país, asignándole una etapa específica que corresponde a su grado de logro en materia de ciberseguridad. Las cinco etapas de madurez, que se fijan por medio de una evaluación, van desde la más básica (inicial) hasta la más avanzada (dinámica).



Imagen Nro. 4 – Los niveles de madurez para la gestión de datos personales dentro del control de la ciberseguridad.


Uno de los aspectos medidos por el Centro Global de Capacidad en Seguridad Cibernética de la Universidad de Oxford, señalan que el Perú no está mirando estratégicamente la protección de datos personales debidamente implementado en las organizaciones, frente a otros países de la región, como lo pueden apreciar en la imagen Nro. 5:




Imagen Nro. 5 – Consideraciones del nivel de madurez de otros países de la región en comparación con el Perú.


Con respecto a las principales reflexiones de este caso, concluimos los siguientes aspectos:


· Los gastos ocasionados por incumplimiento de la ley de protección de datos personales podrían aparecer en una organización desde la fuente proveniente del MINJUS como de INDECOPI y las sanciones y motivos serían impuestas en las redes sociales de ambas instituciones;


· Las organizaciones deberían considerar que la protección de datos en las organizaciones no es absoluta, existen alternativas de anonimización y disociación, para no proteger los datos personales y así poder pasar adecuadamente una revisión de un ente fiscalizador; y


· La empresa podrá transferir los bancos de datos local o internacional, siempre que esto haya sido informado al titular, este es un aspecto que las organizaciones deberían tomar en cuenta.


· Las empresas deberían crear canales de comunicación oportuna en la organización para atender alguna sospecha de incumplimiento de la ley de protección de datos personales, a fin de tomar las acciones preventivas oportunas.




135 views0 comments

Comentarios


bottom of page