La gestión de riesgos en la LPDP
En los últimos meses se ha detectado el crecimiento del interés por las organizaciones peruanas en la adecuación a la Ley de Protección de Datos Personales. Esta se corresponde con la Ley Nº 29733 que debe cumplirse de forma obligatoria desde el pasado día 8 de Mayo de 2015. Plazo máximo que se había establecido para su adecuación y de ahí ese creciente interés. Sin embargo, la realidad es muy distinta y las organizaciones están encontrando grandes dificultadas a la hora de abordar el cumplimiento de la ley estando expuestas a ser sancionadas como recientemente ha ocurrido con 3 organizaciones a las que se les ha abierto un Procedimiento Administrativo Sancionador como publica la página del Ministerio de Justicia y Derechos Humanos. El cumplimiento de la Ley de Protección de Datos Personales no es una tarea sencilla de realizar y mucho menos de mantener. Son muchas las organizaciones que están asignando esta labor a las áreas legales y otras muchas a las áreas de seguridad de la información, cuando lo óptimo sería encontrar un equipo de Protección de Datos Personales que englobará la participación de personal de ambas áreas.
La adecuación de la ley no consiste simplemente en la modificación de unas determinadas cláusulas en los contratos o la realización de determinados avisos de privacidad para el conocimiento de los titulares, sino que encontramos ciertas complejidades a las que muchas organizaciones no están acostumbradas, y una de ellas es contar con un proceso de Análisis de Riesgos sobre los datos personales para el cumplimiento del Principio de Seguridad en el tratamiento de los datos personales que deberá cumplir el titular del banco de datos personales y el encargado de su tratamiento.
El análisis de riesgo a realizar se puede simplificar en gran medida gracias a la publicación por parte de la Autoridad Nacional de Protección de Datos de la Directiva de Seguridad, documento que nos va a permitir la realización del proceso de análisis de riesgos de los datos personales en 4 pasos:
- Identificar los Bancos de Datos Personales: Las organizaciones se encuentran ante la necesidad de identificar todos los datos personales que está gestionando, y que ahora, con la entrada en vigor de la Ley, tienen que regularizarse para evitar las posibles sanciones en las que se pudiera estar incurriendo. Por ello, tenemos la necesidad de comunicarnos con todas las áreas de la organización para identificar todos los datos personales que se gestionan y posteriormente realizar una clasificación según los criterios que establece la Directiva de Seguridad.
También como parte de esta tarea se deben revisar los datos personales y ver que realmente cumplen con la finalidad con la que fueron recabados, ya que es normal encontrarse con datos personales de nivel complejo y crítico por haber recabado datos personales innecesarios para la finalidad de su tratamiento. A mayor nivel de criticidad, más medidas de seguridad tendremos que aplicar. - Analizar los Riesgos de Seguridad: Para este paso la Directiva nos marca la obligatoriedad para los datos Intermedios, Complejos y Críticos, dejándolo como algo opcional para los Básicos y Simples. Aquí de nuevo tendremos la necesidad de realizar un estudio para garantizar el cumplimiento del principio de seguridad e identificar los riesgos a los que podrían estar expuestos los datos personales. Se deberán revisar e identificar las vulnerabilidades existentes y que pudieran poner en riesgos la materialización de amenazas que se traduzcan en incumplimiento en el tratamiento de los datos personales.
- Aplicar Medidas de Seguridad: En función de la categoría de cada uno de los datos personales y en función del resultado del análisis de riesgos, se deberán aplicar una serie de medidas de seguridad para garantizar el principio de seguridad establecido por la Ley Nº29733. Como es de imaginar, a medida que aumenta el nivel de categoría del dato personal, más exigentes serán las medidas de seguridad a aplicar. Entre los tipos de medidas a aplicar, se encontrarán medidas tanto técnicas como legales y organizativas
- Seguimiento: Seguimiento al conjunto de medidas a aplicar, bien por el nivel de la categoría del dato personal obtenido como resultado de la valoración de la Directiva de Seguridad, o bien por el análisis de riesgos realizado a los datos personales de nivel intermedio, complejo y crítico.
Con estos pasos conseguiremos alinear la adecuación de la Ley de Protección de Datos Personales a un Sistema de Gestión de Seguridad de la Información, garantizando que los datos personales de la organización cumplirán con el Principio de Seguridad
Si no se tiene una experiencia en la realización de análisis de riesgos, esta tarea puede resultar bastante tediosa a la par que compleja, a la hora de saber identificar los bancos de datos personales de la organización y poder identificar el nivel de categoría de cada banco en función de los criterios que establece la directiva.
Desde Audisec, hemos desarrollado GlobalSuite® – Data Protection (LPDP) la primera y única herramienta en el mercado peruano que permite la adecuación a la Ley de Protección de Datos Personales, la Ley Nº29733, facilitando la identificación de los bancos de datos, la agrupación en las categorías y la aplicación de las medidas de seguridad, ya que está completamente alineada a la Directiva de Seguridad y viene precargada con todo un conocimiento con la finalidad de preparar lo máximo posible esta nueva tarea a la que se tienen que enfrentar las organizaciones.
Esta misma herramienta, en su versión adaptada a la Ley Orgánica de Protección de Datos en España, tiene ya un largo recorrido de cerca de 10 años, conocimiento y experiencia que se ha utilizado para el lanzamiento de GlobalSuite® Data Protection (LPDP).