La seguridad de la información no es suficiente para proteger datos
Catherine Muñoz Abogada, CEO de Idónea
- T+
- T-
Compartir
Catherine Muñoz
Muchas organizaciones han asumido que frente a la nueva Ley de Protección de Datos Personales la solución está en los conocidos estándares de seguridad de la información. La premisa es: “si nuestros sistemas son seguros, ya cumplimos con la ley”, pero es un gran error.
Pensarlo de esa forma es como decir: “Si cierro la puerta con llave, nadie dentro puede ser víctima de un abuso”. La seguridad en TI, aunque necesaria, no es suficiente si las personas con acceso legítimo a los datos no respetan los derechos de sus titulares. Una empresa con sistemas de seguridad de última generación, no cumple con la ley si vende los datos de sus clientes a terceros. Desde un punto de vista técnico, los datos están seguros, pero desde la protección, es un abuso masivo.
“Cuando hablamos de protección, el punto de partida no son problemas técnicos, sino el nivel de impacto que dicho procesamiento tiene sobre los derechos fundamentales de las personas”.
La nueva ley de protección de datos parte por reconocer que existe una asimetría de poder entre organizaciones que procesan datos personales y sus titulares. Las organizaciones se convierten en fuentes de riesgo y las personas quedan en una posición vulnerable frente a ellos. Entonces, cuando hablamos de protección, el punto de partida no son problemas técnicos, sino el nivel de impacto que dicho procesamiento tiene sobre los derechos fundamentales de las personas.
Por su parte, la seguridad de la información busca proteger los intereses de la organización que procesa los datos, donde cualquier beneficio para los titulares de los datos es una consecuencia secundaria.
La protección de datos y la seguridad de la información persiguen objetivos diferentes y tenerlo presente es relevante, ya que no todas las medidas de seguridad se ajustan a los requisitos de la protección. Por ejemplo, implementar videovigilancia para garantizar la integridad de un espacio contribuye a la protección física de los datos almacenados. Sin embargo, esta medida al registrar a personas de manera innecesaria puede vulnerar varios principios y obligaciones en materia de protección de datos.
La seguridad de la información, por sí sola, puede convertirse en un riesgo para la protección de datos. Esto sucede cuando las medidas de TI no se implementan de forma compatible con las leyes de protección o cuando contradicen los derechos fundamentales de las personas afectadas. En estos casos, siempre debe primar la protección de los derechos de los titulares sobre cualquier objetivo técnico de seguridad de la información.
La protección de datos trasciende el cumplimiento técnico; es un cambio profundo de visión que reconoce a las personas como titulares de derechos fundamentales, más allá de ser usuarios o clientes. En juego no solo están sanciones, sino valores esenciales como la confianza y la reputación, que son el cimiento de relaciones duraderas. Aunque el desafío es grande y el tiempo apremia, este momento ofrece la oportunidad para liderar con ética y responsabilidad la gestión de datos transformándolo en un sello y ventaja competitiva.
