Por: CP Iván Rodríguez. Colaborador de Auditool.
Una de las preocupaciones de las empresas frente al actual panorama tecnológico es la privacidad de los datos, bien sea de usuarios internos o externos. Aunque la responsabilidad frente a este tema es de cada uno de los miembros de la organización, es aconsejable que exista una instancia responsable de desarrollar y mantener un programa de privacidad de datos sólido y estructurado, que atienda las necesidades en un entorno de constante cambio.
Frente a esta realidad, los auditores desempeñan un papel esencial para garantizar que las empresas cumplan con la regulación aplicable y procurar que las organizaciones implementen las mejores prácticas en materia de privacidad de datos.
Un programa de privacidad de datos representa importantes beneficios para la organización [1], entre los que se cuentan:
- Mitigación de riesgos: ayuda a identificar y mitigar los riesgos relacionados con la seguridad y la privacidad de los datos, así se reduce la probabilidad de incidentes de seguridad, filtración de datos y daños a la reputación de la empresa.
- Eficiencia en la gestión de datos: al implementar un programa de privacidad de datos normalmente se requiere una revisión y mejora en la recopilación, almacenamiento y uso de datos, logrando eficiencias en beneficio de toda la organización.
- Cumplimiento normativo: en ciertas ocasiones, el programa de privacidad de datos se origina en un requerimiento normativo. Por tanto, un programa bien estructurado ayuda a la empresa a cumplir con las leyes y regulaciones aplicables en su jurisdicción, lo cual puede evitar multas y sanciones costosas por incumplimiento.
- Generación de confianza: la protección adecuada de los datos de los clientes y empleados fomenta la confianza en la organización, lo que facilita mantener relaciones sólidas y estables con los clientes.
Ahora bien, para crear un programa de privacidad de datos apropiado para la organización (o revisar el contenido de uno ya existente), el auditor puede verificar la existencia de los siguientes pasos o recomendar su implementación[2]:
- Motivación del programa de privacidad
La organización debe tener claro qué la motiva a implementar este programa. Puede ser por el cumplimiento normativo, por las medidas de ciberseguridad o por el hecho de generar confianza con los clientes. Así, es importante conocer y comprender qué normas y regulaciones son aplicables y qué requisitos deben cumplirse.
- Tener una estrategia formal
Uno de los factores de éxito del programa depende de determinar su dirección, especialmente porque las organizaciones con prácticas sólidas de privacidad de datos tienen menos probabilidades de experimentar una violación de datos frente a aquellas que no las tienen. En la medida en que todos en toda la organización entiendan y acepten la importancia de implementar un programa de privacidad, mejorará la probabilidad de éxito.
- Inventario de datos
Las organizaciones deben contar con un inventario de los datos distribuidos en la organización o almacenados en diferentes sitios. Así mismo, debe realizarse un registro de actividades de procesamiento para clasificar y registrar la información pertinente.
- Ejecutar una evaluación de riesgos de privacidad
Esta evaluación debe determinar las áreas vulnerables y, en cuanto sea posible, establecer soluciones para los puntos débiles. Deben considerarse los proveedores externos y sus políticas de privacidad para asegurarse que están en armonía con los de la organización.
- Utilizar la tecnología
La organización debe implementar y utilizar medidas técnicas para la protección de datos sensibles. Entre ellas se cuentan:
-
- Encriptación
- Controles de acceso
- Procesos de incorporación de proveedores
- Planes de respuesta a incidentes
- Capacitación en temas de privacidad y conciencia cibernética
- Medición y supervisión
- Gestión del programa de privacidad
Este programa debe actualizarse de manera permanente. En ese sentido, las auditorías son útiles para identificar, analizar y minimizar los riesgos de privacidad asociados con la recopilación, el procesamiento, el uso, el almacenamiento y el intercambio de datos de usuario, lo cual facilita el cumplimiento normativo y los nuevos desafíos originados en la innovación y el desarrollo tecnológico.
Algunas consideraciones para tener en cuenta en la gestión del programa son las siguientes:
- Mapeo de datos: es importante conocer quién tiene acceso a los datos y su ubicación de almacenamiento.
- Administración de dispositivos: los dispositivos deben estar protegidos mediante cifrado de datos, software antimalware y contraseñas seguras.
- Desarrollo de aplicaciones: implementar procedimientos seguros para datos personales a partir de la etapa de desarrollo.
- Políticas de privacidad: se deben elaborar y/o actualizar políticas claras y accesibles para todas las personas que compartan datos.
- Pruebas de seguridad: hay que probar, de manera regular, las vulnerabilidades de los sistemas y los posibles puntos de penetración para determinar el nivel de seguridad de los datos.
- Capacitación: deben considerar actualizaciones sobre las leyes de privacidad y procedimientos ejecutados en la organización.
- Documentación y monitoreo: deben documentarse los procesos y efectuar el seguimiento para ajustar y corregir deficiencias.
Los auditores deben tener clara la importancia de la privacidad de datos, por lo que se requiere que tengan una comprensión profunda de la regulación aplicable según la jurisdicción, de los aspectos técnicos relativos a la protección y de los riesgos asociados a los procesos de manejo de datos. De esta manera, es posible aplicar un enfoque sistemático y riguroso para evaluar la protección de los datos sensibles en las organizaciones y poder ofrecer recomendaciones pertinentes.
Para finalizar, hay que tener presente que, dentro de las funciones de los auditores, se encuentra garantizar que las organizaciones mantengan la confianza de sus clientes y cumplan con sus responsabilidades legales, en este caso, en materia de privacidad. Esto implica una capacitación permanente sobre el tema.
[1] Tomado de: https://www.enzuzo.com/blog/data-privacy-benefits
[2] Adaptado de: https://www.corporatecomplianceinsights.com/data-privacy-structured-program/
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.