Protección de datos, gran desafío para América Latina Por: David Castro
CHILE | NOTI-AMERICA.COM
Protección de datos, gran desafío para América Latina
Por David Castro, consultor de ciberseguridad ITQ latam
En el mundo actual, en el que la tecnología forma parte de la vida cotidiana, la protección de los datos de los ciudadanos y la privacidad de los mismos es un punto clave.
A este respecto, en el contexto de América Latina, la ausencia de una regulación común aplicada sobre el conjunto de países del continente hace que la realidad por regiones sea bien diferente. Países como Argentina, Brasil, Chile, Perú, Colombia y México son los más avanzados de la región en esta materia
Los países miembros de la Unión Europea, en cambio, están sujetos al cumplimiento de la “regulación de protección de datos” (GDPR). La existencia de esta regulación, sin embargo, no impide que cada país tenga sus propias leyes de protección de datos y agencias reguladoras estatales, pudiendo ajustar la necesidad a la realidad de cada Estado miembro.
La GDPR es un referente para América Latina y el mundo, ya que contiene disposiciones sobre privacidad que fuerzan su aplicación, no solo a las empresas con sede fiscal en la Unión Europea sino también a cualquier otra empresa que maneje información personal de ciudadanos con pasaporte europeo.
Como en América Latina no existe un organismo legislador común ni una entidad reconocida por los países de la región que esté en condiciones de promulgar un reglamento similar al europeo, la responsabilidad de la protección de datos y de la privacidad de los ciudadanos está en manos de cada país de forma independiente; siendo, para el caso de Chile, el Servicio de Registro Civil e Identificación el encargado de resguardar y garantizar la confidencialidad de estos datos.
Lo cierto es que la ciberseguridad juega un papel clave en la protección de datos y su privacidad, al encontrarse estos, en la inmensa mayoría de los casos, almacenados en sistemas informatizados. Así, los factores clave que se deben considerar para implementar un tratamiento de datos privados de forma segura pasan por un estricto control de acceso, el almacenamiento seguro de la información, la creación de un registro de auditoría granular y el enmascaramiento de datos almacenados.
Las empresas deben priorizar la implementación de un plan director de ciberseguridad alineado con la legislación vigente que sea piedra angular de las operaciones informáticas de la organización, haciéndose fundamental la figura oficial de seguridad de la información (CISO) encargado de velar por el correcto cumplimiento de los diversos controles destinados a resguardar la seguridad de la información. Adicionalmente, para organismos en los que exista un volumen elevado de datos privados, la figura anterior puede ser complementada por un oficial de protección de datos (CDPO).
Este tipo de planes director se enfocan en fortalecer la postura de ciberseguridad de la entidad, logrando mayor resiliencia a las cada vez más comunes amenazas persistentes avanzadas (APT), las cuales no son más que operaciones orquestadas por cibercriminales que pueden estar respaldados o no por estados y que tienen como objetivo, en la mayoría de los casos, el robo de información durante largos períodos de tiempo.
En definitiva, sin ciberseguridad no hay protección de datos real.