Ir al contenido principal
PyMEs

Protección de Datos Personales: ¿Cómo manejar datos en las Pymes?

man typing on laptop

La protección de datos personales debe ser una prioridad para las Pymes. Descubrí nuestros consejos para manejar información sensible en tu empresa.

Incluso antes de que el Covid-19 pusiera a las empresas ante una presión extrema de evolución y tecnología digital, la innovación tecnológica ya era más una necesidad que una elección.

Al adoptar plataformas y canales digitales, las empresas recolectan más datos que nunca. La pregunta es: ¿tienen la experiencia o la capacidad tecnológica para administrar estos datos de la manera correcta?

La protección de datos personales debe ser una prioridad para las Pymes y empresas en general . Descubrí nuestros consejos para manejar información sensible en tu empresa.

 

¿Cómo administrar los datos de manera responsable?

Los datos están en todas partes y la administración de estos es crucial en las nuevas tecnologías.  El estudio llevado a cabo por Chubb y Accenture muestra que el 61% de las empresas encuestadas ya está recolectando datos y usando big data. El 70% usa algún tipo de nube o servicio de almacenamiento digital. Más del 21% está incorporando Inteligencia Artificial (IA) para procesar e interpretar estos datos.

En esencia, la administración de datos consiste en minimizar las posibilidades para que la información recolectada llegue a manos equivocadas o se utilice de manera inadecuada. Las empresas tienen la obligación legal de asegurarse de ello, porque en caso contrario deben asumir las consecuencias por violar las leyes de privacidad que protegen a sus clientes.

Las filtraciones de datos pueden ocurrir de diferentes maneras por errores de los empleados/as, procesos de administración de datos deficientes o fallas en los equipos o sistemas. La mejor manera de evitar exponerse a estos problemas es encarar con seriedad la implementación de nuevas tecnologías, sin verlas simplemente como una solución rápida para mantenerse al día frente a la competencia.

Para cualquier empresa, el primer paso esencial en la transición para realizar operaciones centradas en datos es invertir en procesos y plataformas que brinden una línea importante de defensa inicial. Desde el punto de vista de la tecnología, esto implica un apropiado sistema de gestión de relaciones con clientes (CRM) que cumpla con las regulaciones, así como un sistema de respaldo en caso de pérdida de datos.

Cuando se combinan estos sistemas con colaboradores/as capacitados en el uso de datos de clientes, estos reducen el riesgo de una filtración de datos y hacen que sea más fácil la recuperación en caso de presentarse algún evento.

Con estas defensas en curso y un conocimiento profundo de las regulaciones sobre el uso y manejo de datos, la probabilidad de presentarse algún problema derivado del mal uso de estos datos, puede reducirse significativamente.

 

Preparándose para lo peor

En los últimos tiempos, las amenazas relacionadas con la administración de datos han aumentado, por lo tanto, las empresas que están digitalizando sus procesos pueden ser más vulnerables que nunca. Con más colaboradores trabajando desde sus casas es difícil mantener fuertes prácticas de ciberseguridad y garantizar el acceso seguro a información confidencial. Como resultado, PricewaterhouseCoopers PwC reporta que "los ciberataques han aumentado junto con la expansión global de la pandemia del COVID-19" haciendo que mantenerse alerta sea más importante que nunca.¹

Al combinar las medidas de protección necesarias con las mejores prácticas de uso responsable de datos, las empresas pueden estar listas para evolucionar sin riesgos innecesarios en la nueva realidad.

 

¿Quién es el responsable de la administración de los datos?

Hoy en día, y a raíz de los grandes avances en términos de transformación digital y digitalización, la figura responsable de la administración de datos es el/la Data Manager, profesional encargado/a de la administración de esta información, al igual que de coordinar la relación e importancia de los datos para cada una de las áreas que componen la organización.

El/la Data Manager se caracteriza, además, por facilitar la transformación de los datos en información útil, permitiendo a las empresas como las Pymes tomar decisiones acertadas y mejor fundamentadas. Este/a profesional, de igual forma, planifica, supervisa y controla la gestión y el uso de datos; diseña bases de datos; vela por la seguridad de esta información y por su privacidad, acceso y confidencialidad; entre muchas otras labores más específicas, como definir lo que se almacena y la cantidad y forma en que se hace.

 

¿Qué información debe proteger una empresa o PyME y cómo puede hacerlo?

El robo de información confidencial y sensible de clientes y usuarios/as puede causar impactos económicos, reputacionales y legales, tanto para las Pymes como para las grandes organizaciones. Algunas maneras de hacerlo son:
 

  • Capacitar e informar a los colaboradores/as sobre las prácticas más recurrentes de ciberataque y los impactos que estos pueden tener en una organización.
  • Filtros de SPAM para los correos corporativos: permite controlar la recepción de correos ‘basura’ o no solicitados y que pueden contener diferentes tipos de virus que ponen en riesgo la seguridad de los datos de una compañía.
  • Implementar contraseñas fuertes y robustas: las fechas de cumpleaños, el abecé o los números en orden suelen ser inseguras. La recomendación es usar claves de más de ocho caracteres que combinen letras, números y símbolos. De igual forma, es recomendable cambiarlas periódicamente.
  • Implantar el encriptado de datos puede ayudar a proteger la información confidencial en caso de que algún colaborador/a pierda -o le roben- el celular o computadorade la compañía.
  • Revisar las posibles amenazas en materia de seguridad digital que la empresa o PyME enfrenta.

 

¿Cuáles son las obligaciones de los y las responsables de datos personales?

  • Inscribir bases de datos personales: es obligación de los/as responsables de datos personales inscribir las bases de datos públicos y privados en la Dirección Nacional de Protección de Datos Personales. Incumplir con esto podría ocasionar sanciones.
  • Informar al/la titular del dato personal: de acuerdo a la Ley 25.326, al recabar datos personales es obligación informar previamente a los/las titulares de forma clara aspectos como la finalidad para la que serán utilizados y quiénes pueden ser sus destinatarios/as; la existencia del archivo, registro, banco de datos (electrónico o de cualquier tipo) y la identidad y domicilio de su responsable; y el carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga.

    También es obligatorio informar de forma clara las consecuencias de proporcionar sus datos, de la negativa a hacerlo o de la inexactitud de estos. Finalmente, los/as responsables de los datos personales deben informar sobre la posibilidad del interesado/a de ejercer los derechos de acceso, rectificación y supresión.
  • Garantizar la seguridad de la información y confidencialidad de los datos personales.
  • Transferencia internacional de datos personales: con la Ley 25.326 se prohíbe la transferencia de datos personales de todo tipo con países u organismos internacionales o supranacionales que no proporcionen los niveles de protección adecuados, señala la página web del Gobierno argentino. Algunos países con niveles de protección adecuada son los pertenecientes a la Unión Europea, Gran Bretaña e Irlanda del Norte, Nueva Zelanda, entre otros.

    Algunas excepciones a la hora de transferir datos personales internacionalmente son: colaboración judicial internacional, intercambio de datos médicos cuando lo exija el tratamiento del afectado/a, investigación epidemiológica, o transferencias bancarias o bursátiles. De igual forma, hay excepciones cuando la transferencia de datos tiene como propósito la cooperación internacional contra el crimen organizado, terrorismo o narcotráfico, entre otros escenarios.

 

El impacto del RGPD en las empresas

El RGPD (Reglamento General de Protección de Datos) ha sido adoptado por diversas empresas argentinas, especialmente por aquellas que tienen planes de traspasar fronteras. Además de ser una obligación legal, permite ofrecer una mayor protección a los usuarios y usuarias, y es una oportunidad para que las organizaciones o Pymes transformen sus modelos de negocio, sus servicios y alianzas con terceros en busca de ventajas competitivas que beneficien a la compañía.

 

¿Qué ley argentina protege los datos personales?

La ley que protege los datos personales en la Argentina es la Ley 25.326. Esta establece los principios generales relativos a la protección de datos; los derechos de los/las titulares; usuarios/as responsables de archivos, registros y bases de datos; control; sanciones; y acción de protección de los datos personales.

 

¿Cuáles son los derechos del/la titular de los datos personales?

  • Derecho de información: las personas están en su derecho de solicitar al organismo de control la existencia de archivos, bases de datos personales o registros, la finalidad que tienen e identidad de los responsables.
  • Derecho de accesos: el/la titular tiene derecho a solicitar y recibir información de sus datos personales presentes en bancos de datos públicos o privados destinados a proveer informes. Este derecho, entre otras cosas, permite conocer si el/la titular de los datos está o no presente en el archivo, banco de datos, etcétera. También sus datos que constan en el archivo, al igual que solicitar información sobre los medios y las fuentes mediante las cuales se obtuvieron esos datos. El/la titular, además, puede preguntar sobre las finalidades para las cuales se recabaron sus datos y conocer el destino previsto de estos.
  • Contenido de la información provista al/la titular del dato personal: de acuerdo con la ley, la información que se suministre debe ser clara, sin codificaciones y estar acompañada de una explicación en un lenguaje entendible para la población en general. El informe, jamás podrá revelar datos de terceros.
  • Derecho de rectificación, actualización o supresión: derecho a que los datos de un banco de datos sean rectificados, actualizados y, de ser necesario, suprimidos o sometidos a confidencialidad.

 

Tu empresa debe tener cuidado con las siguientes técnicas de ataque cibernético

  • Correos electrónicos que se hacen pasar por anuncios gubernamentales.
  • Avisos de interrupción operativa.
  • Consejos falsos.
  • Falsa caridad.
  • Fraudes que burlan los controles y detección de fraude de su empresa.

 

¿Cómo podés ayudar a tus empleados/as a combatir los ciberataques en una PyME?

  • Capacitá a los empleados/as; ellos y ellas son la primera línea de batalla contra un ciberataque.
  • Evitá abrir links maliciosos. Un clic es suficiente para que los/as ciberdelincuentes tengan acceso a toda la información y red.
  • Generá e incrementá la conciencia sobre los ciberataques y riesgos de la red.
  • Instruí a tu personal para que sean escépticos/as de correos provenientes de emails desconocidos y no los abran.
  • Nunca deben reenviarse esos correos a colegas.
  • Examinar la dirección de correo y asegurarse de que sea una cuenta verdadera es de mucha ayuda. Una buena estrategia es desplazarse sobre el enlace y buscar errores o irregularidades en los dominios. Por ejemplo: que diga .com donde debería decir .gov.

 

¹ PwC: Cómo proteger a tu empresa de los crecientes ciber ataques y fraudes, en medio del brote de COVID-19

 

Preguntas Frecuentes

La Ley 25326 garantiza a las personas saber quién, cuándo, para qué y por qué se utilizan sus datos personales guardados en registros, archivos o bancos de datos públicos o privados.

 

El manejo de datos personales es cualquier operación u operaciones realizadas sobre los datos personales, a través de procedimientos que pueden ser manuales o automatizados y que están relacionados con el uso, obtención, registro, estructuración, utilización, difusión, almacenamiento, divulgación, destrucción, elaboración, conservación, posesión, entre muchos otros, de datos personales.

 

Es importante proteger los datos personales para evitar que se utilicen con una finalidad distinta para la cual fueron proporcionados. Lo anterior afecta derechos y libertades.

 

  • Dato personal público: puede estar contenido en documentos o registros públicos u oficiales.
  • Dato personal privado: de naturaleza reservada o íntima. Solo es relevante para el/la titular.
  • Dato personal sensible: información ‘secreta’. Requiere consentimiento del/la titular para su recolección y tratamiento. La persona no está obligada a autorizarlo.

 

Sí. Las personas pueden conocer y acceder a los datos personales que posean los organismos oficiales o empresas privadas para rectificarlos, modificarlos, actualizarlos o eliminarlos.

 

Registro, archivo, base de datos o banco de datos que permita conseguir información sobre las personas, sin importar si se transmiten o no a terceros.

 

  • Establecer la responsabilidad de la protección de datos personales (persona o equipo).
  • Determinar la finalidad de la recolección de datos personales y establecer la política de privacidad.
  • Informar al/la titular y solicitar su autorización expresa.
  • Establecer mecanismos de atención a requerimientos (buzones, formularios web, correo electrónico, llamadas telefónicas).
  • Hacer un inventario de las bases de datos personales.
  • Capacitar al personal.
  • Identificar y gestionar los riesgos de los datos personales.
  • Atender los requerimientos de forma clara y oportuna.
  • Reportar y gestionar incidentes relacionados a los datos personales.

 

La obligación de registración recae sobre todo registro, archivo, base o banco de datos que permita obtener información sobre las personas, se transmitan o no a terceras personas.

Entonces, para verse enmarcado en la obligación de la ley que exige la registración de bases, alcanza con que uno de los usos que se le da a la base de datos sea brindar información o describir algo sobre una persona determinada o determinable.

 

Fuentes:

https://contaduriapublica.org.mx/2012/04/02/cultura-organizacional-como-administrar-los-datos-personales/

https://www.myssoluciones.com/quien-es-el-responsable-de-la-administracion-de-los-datos/

https://www.argentina.gob.ar/aaip/datospersonales/responsables/obligaciones

https://www.iprofesional.com/tecnologia/350237-proteccion-de-datos-personales-ser-responsable-ante-lo-ajeno

https://www.eticketablanca.com/politica-de-tratamiento-de-datos-personales/

http://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/norma.htm

https://www.oas.org/juridico/pdfs/arg_ley25326.pdf

https://www.argentina.gob.ar/aaip/datospersonales

https://www.thomsonreuters.com.ar/es/soluciones-legales/blog-legal/proteccion-de-datos-personales-4-consejos-para-el-abogado-corporativo.html

https://www2.deloitte.com/ar/es/legal/politica-de-datos-personales.html

https://www.pwc.com/us/en/library/covid-19/cyber-attacks.html

https://mobilizaacademy.com/funciones-data-manager/

 

Contenidos de interés

Te mantenemos informado -y a tu negocio protegido- con estos útiles artículos.
Mostrar más
Buscar
Buscar

Encontrá a tu agente Cornerstone

Consultá con tu agente de seguros sobre la mejor cobertura para vos.
Ver Agentes Cornerstone