Con la digitalización que se está llevando adelante en distintos aspectos, que impactan tanto en la vida personal como profesional y además con la "Nueva Normalidad" generada por la pandemia de COVID-19, la privacidad se ve amenazada. En este artículo vamos a desarrollar las medidas de ciberseguridad, privacidad y cumplimiento que se deben considerar, para estar alineados con el marco legal vigente en la región y además, para mitigar varios de los principales riesgos actuales.
Uno de los más efectivos controles es no pedir información que no se necesita, dado que no tener los datos nos reduce la exposición y disminuye el costo del programa de protección. Tal como se recomienda para cumplir otras regulaciones como PCI-DSS, mejor que cifrar es eliminar o no pedir los datos que requieren ese nivel de protección.
Todos los datos que el proceso de negocio requiera deben contar con un análisis de privacidad/riesgo para identificar los requerimientos de protección aplicables, según el tratamiento de riesgos. Además se debe contar con:
<aside> 🚨 Todos estos aspectos están en línea con las mejores prácticas y el marco regulatorio vigente en la mayoría de los países que han establecido legislación al respecto. No profundizaremos en esta oportunidad.
</aside>
Si bien no es el enfoque principal del artículo, es importante mencionar que en todos los casos se deben establecer los procesos operativos que garanticen el ejercicio de los derechos de los titulares de los datos. En este sentido, las diferentes legislaciones establecen distintas formas de ejercerlos, pero en general se debe contar con:
<aside> 💡 Es muy importante que el diseño de los procesos de negocio considere todos los aspectos, invitando a las discusiones a los expertos de seguridad, infraestructura, legales, privacidad, etc. Dado que todos deben analizar los requerimientos y proponer la manera de cumplir incluyendo a la privacidad desde la etapa de toma de requerimientos, análisis, diseño y hasta la construcción y operación del servicio.
</aside>