¿Está seguro de que su organización está haciendo esa importante tarea de la mejor forma?

Por Roberto Lemaitre Picado (*)

Las recientes noticias referentes al manejo de datos personales en el país han promovido un efecto directo e indirecto en la toma de conciencia sobre cultura digital en la población costarricense.

La normativa de protección de datos en Costa Rica cumple 10 años de existir y no es sino hasta ahora que se observa una mayor publicidad de la misma; anteriormente esta temática quedaba relegada y muchas veces totalmente desconocida por las empresas e instituciones.

Pero surge una pregunta clave: ¿realmente se están gestionando los datos personales de la mejor forma? Con base en los últimos acontecimientos, podría visualizarse que estamos careciendo en todos los sectores de expertos en manejo y gestión de datos, tanto en el área técnica como en el área legal.

La problemática de gestión de datos no encuentra su problema solo en una normativa que si bien necesita remozarse, sí incluye un marco de protección de datos suficiente para solicitar una gestión adecuada de los mismos.

Esa normativa, que tiene que convertirse en práctica tecnológica, requiere un escenario de interdisciplinariedad para entender cómo esos conceptos legales se logran desarrollar en ejecución práctica tecnológica y gestión digital documental; esto implica la participación de varios actores dentro de las empresas que deberían poseer conocimientos en materia de protección de datos como un área especializada de conocimiento.

“La organización debe realizar una evaluación de riesgos por los tipos de datos identificados”.

Roberto Lemaitre Picado. Abogado-Informático.

Entonces surge la duda ¿por dónde comenzar? Lo primero es conocer con claridad qué datos tengo y, por tanto, clasificar mi información. Sin esta base será imposible hacer una gestión adecuada de los datos, incluidos los de carácter personal. Es necesario realizar un inventario de activos de datos o una “auditoría de datos”, de esta forma sabremos los tipos de datos e información que se procesa dentro de la organización, su valor, su sensibilidad y criticidad.

Teniendo claridad de lo que se tiene, la organización puede identificar los requisitos legales que aplican para cada tipo de dato y las políticas y procedimientos organizativos o administrativos que se requiere para su gestión.

Se debe realizar una evaluación de riesgos por los tipos de datos identificados. De esta forma se podrá determinar la selección de medidas técnicas y organizativas apropiadas, así como las prioridades para la gestión de riesgos; de igual forma se deberán definir los papeles y responsabilidades de la organización y el personal con respecto a los datos, su gestión técnica y administrativa.

Teniendo esta base, se podrá comenzar a generar la correcta gestión de los datos.

Aunque el país cuente con la mejor ley de protección de datos que se pueda desarrollar, si esta gestión no se genera como una realidad práctica del día a día de la empresa, como una gestión técnica-jurídica, no se cumplirá con el objetivo de proteger los datos personales.