Auditoría de TI

El cumplimiento de las normas sobre privacidad de los datos y la auditoría

Detalles

Por: CP Iván Rodríguez. Colaborador de Auditool.

Una de las preocupaciones, tanto de los supervisores como de la alta administración de las organizaciones y, por supuesto, de los auditores, es la regulación de la privacidad de datos. Por esta razón, diferentes jurisdicciones cuentan con normatividad al respecto. Algunas de ellas son las siguientes:

  • Reglamento General de Protección de Datos (RGPD): es un estándar de privacidad de datos en la Unión Europea (UE) y se aplica a todos los países miembros. Se encarga de regular la recopilación y el procesamiento de datos personales.
  • Ley de Privacidad del Consumidor de California (CCPA): esta ley en los Estados Unidos otorga a los residentes de California ciertos derechos sobre sus datos personales.
  • Ley de Privacidad de Datos Personales de Brasil (LGPD): guarda una similitud con la RGPD, esta ley brasilera regula el tratamiento de datos personales y busca proteger la privacidad de los individuos.
  • Ley de Privacidad de datos de Japón: es conocida como la Ley de Protección de Información Personal.
  • Ley de Privacidad de Datos de Canadá (PIPEDA): se trata de la Ley de Protección de Información Personal y Documentos Electrónicos que regula la privacidad de datos personales.

Pese a las diferencias entre jurisdicciones, hay ciertas características comunes en las normas que pueden identificarse. Entre ellas, se encuentran las siguientes:

  • Derechos de los consumidores y empleados de las organizaciones que almacenan información sobre el uso empresarial de los datos personales.
  • Multas y sanciones por violación y manejo inapropiado de datos personales.
  • Requisitos respecto del tratamiento y conservación de los datos personales; en particular, respecto de su uso comercial.

Ahora bien, para un apropiado cumplimiento de las normas sobre privacidad de datos, las organizaciones deben atender ciertas inquietudes relacionadas como saber qué datos pueden almacenarse y cuáles son sus características, la manera en que se atenderán las solicitudes de los propietarios y consumidores de los datos, o quién puede acceder a ellos, dentro o fuera de la organización. Esto implica contar con una infraestructura empresarial y con procesos que permitan cumplir los requerimientos normativos.

La firma productora de software Exterro planteó, en su guía Mastering data privacy: In-house counsel’s 4 necessary steps for complying with new global privacy regulations, cuatro principios que contribuyen a que las empresas lleven a cabo sus procesos de privacidad de datos y se facilite el cumplimiento normativo:

  • Mantenimiento de un inventario de datos
  • Gestión de las solicitudes de acceso de interesados
  • Gestión de riesgos de terceros
  • Retención y minimización de datos

A continuación, veamos la explicación de cada uno de ellos.

Mantenimiento de un inventario de datos

Para un apropiado cumplimiento de la regulación de la privacidad de datos es necesario conocer dónde están localizados, así como quién tiene acceso a estos y qué personas al interior de la organización son los responsables. De hecho, con el creciente volumen de información, el no contar con un inventario de datos constituye una debilidad de control.

Sin embargo, cuando la organización cuenta con un inventario de datos y unos procedimientos claros y documentados, es más sencillo evidenciar el cumplimiento normativo, asignar responsabilidades e, incluso, detectar debilidades en el manejo de los datos. Ahora, la creación y/o mantenimiento de un inventario de datos completo, implica identificar las diferentes fuentes, contar con procedimientos robustos de captura, contabilización y almacenamiento, incluidos los proveedores de servicios externos que están sujetos a las regulaciones de privacidad de datos y ciberseguridad.

Gestión de solicitudes de acceso de interesados (DSAR)[2]

Una característica importante en ciertas regulaciones, como la CCPA y el RGPD de la UE, es permitir que las personas indaguen acerca de qué información personal es almacenada por una organización determinada. Estas solicitudes implican que la organización tenga la capacidad de atenderla y, de ser necesario, efectuar modificaciones (eliminación, archivo, etc.). Para ello, se requiere disponer de la infraestructura necesaria, tecnología, mano de obra y procesos, entre otros recursos.

Gestión de riesgos de terceros

Un tema que no debe descuidarse al revisar la privacidad de datos es el de los proveedores o terceros. Es importante conocer qué terceros tienen acceso a los datos de la organización, qué riesgos pueden representar y cuál es el cumplimiento que debe darse a las normas aplicables. Actualmente, cuando las organizaciones trabajan con aplicativos en la nube o lo están considerando, debe tenerse en cuenta que estas soluciones, a menudo, se conectan a otras fuentes de datos internas. Por tal razón, puede ocurrir que el proveedor acceda a cierta información o datos confidenciales, bien sea del personal o de los clientes.

De este modo, es necesario conocer a qué datos están accediendo y si los están gestionando de forma segura. Esto permite saber qué tan riesgoso es trabajar con el proveedor y, sobre esa base, adoptar medidas tendientes a mitigar los riesgos.

Retención y minimización de datos

Las organizaciones deben buscar el apropiado equilibrio entre los datos que deseen conservar y la normativa que les es aplicable. En una relación costo/beneficio es conveniente mantener solo los datos esenciales para ejecutar las prácticas comerciales necesarias y, así, mitigar los riesgos originados en el uso indebido de información y datos de clientes y otros terceros.  

Por otro lado, toda vez que la legislación sobre privacidad de datos es cambiante y tiene muy en cuenta los derechos de privacidad de los consumidores, para las organizaciones resulta más práctico implementar medidas de control y privacidad, cuando el conjunto de datos es más reducido.

Ahora, las organizaciones y los auditores deben ser conscientes de los costos que implica cometer una infracción a las normas sobre privacidad de datos. En ese sentido, resulta procedente adecuar la infraestructura necesaria, implementar los controles, sistemas y tecnología que mitiguen los riesgos, así como capacitarse en la legislación aplicable, de manera que se atiendan las necesidades de cumplimiento sin mayores dificultades.

 

[2] Una DSAR (Data Subject Access Request) es una solicitud que los interesados hacen a las empresas que han recolectado y procesado datos personales, para obtener información sobre estos.

ivan

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

 

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado