La Seguridad de los Datos Personales como Pilar de la Competitividad Empresarial

En un mundo donde la digitalización avanza a pasos agigantados, las empresas están acumulando volúmenes sin precedentes de datos personales de sus clientes, empleados, socios, etc. Este panorama, aunque lleno de oportunidades, entraña riesgos significativos para las organizaciones. La reforma a la Ley Nº 19.628 hará de la protección de datos personales no sólo un imperativo legal, sino que se convertirá en un factor crucial para mantener la confianza y la reputación corporativa.

¿Por qué es importante proteger los datos personales?

Los datos personales, más que registros y números, son la extensión digital de la identidad de cada individuo, y su manejo irresponsable puede generar graves consecuencias, tanto para las personas como para las organizaciones.

En Chile, con la reciente reforma a la Ley 19.628 y la promulgación de la Ley Marco de Ciberseguridad, las empresas están obligadas a adoptar medidas más estrictas de protección, como la transparencia, la minimización de datos y la seguridad desde el diseño y por defecto.

Casos Reales:

1.- El caso Ashley Madison: En 2015, el popular sitio de citas Ashley Madison sufrió un ciberataque que expuso datos personales sensibles de más de 36 millones de usuarios, incluyendo nombres, direcciones, transacciones financieras e información sobre sus preferencias personales. Esta filtración reveló que la empresa no eliminaba los datos de usuarios que habían pagado por el servicio de eliminación, incumpliendo sus propias promesas.

¿Qué lecciones podemos aprender?

• Implementar estrictas políticas de eliminación de datos y mecanismos auditablemente confiables.

• Realizar auditorías periódicas de seguridad para prevenir vulnerabilidades en sistemas críticos.

• Priorizar la ética en el manejo de datos para no comprometer la confianza del cliente.

2.- El ransomware y las PYMEs: En Cataluña, múltiples pequeñas empresas han sido blanco de ataques de ransomware, en los que ciberdelincuentes bloquean sistemas y roban información crítica, exigiendo rescates exorbitantes para liberar los datos. Una panadería local, por ejemplo, quedó inoperativa durante semanas porque su sistema de inventario y ventas quedó cifrado. Este incidente causó pérdidas económicas y daños reputacionales al generar dudas sobre la seguridad de los clientes que pagaban con tarjetas bancarias.

¿Qué lecciones podemos aprender?

• Realizar copias de seguridad regulares y almacenarlas de forma independiente para prevenir el impacto de estos ataques.

• Adoptar medidas de seguridad como la autenticación multifactorial y la actualización constante del software.

• Crear planes de respuesta ante incidentes para mitigar daños.

3.- Protección de datos en el sector salud: En 2021 hackers lograron acceder y cifrar la base de datos del Colegio Médico de Chile, exigiendo una recompensa para su liberación. Este incidente comprometió información sensible de los profesionales de la salud y puso de manifiesto la necesidad de fortalecer las medidas de ciberseguridad en las instituciones del sector. (Ver Fuente)

¿Qué lecciones podemos aprender?

• Utilizar cifrado extremo a extremo en todas las bases de datos que contengan información sensible.

• Realizar evaluaciones de impacto en protección de datos (EIPD) para identificar y minimizar riesgos potenciales.

4.- Importancia de la Minimización de Datos: En 2020, una cadena de gimnasios global recolectaba más datos personales de los necesarios, como preferencias alimenticias y detalles médicos, para personalizar sus servicios. Sin embargo, un ataque interno expuso esta información adicional, resultando en una multa millonaria. Este caso evidenció cómo el almacenamiento excesivo incrementa el riesgo y el impacto de una brecha.

¿Qué lecciones podemos aprender?

• Recolectar y almacenar únicamente la información estrictamente necesaria para los fines específicos del negocio.

• Establecer procedimientos claros para eliminar datos que ya no sean necesarios, reduciendo así el riesgo en caso de una brecha de seguridad.

• Adoptar prácticas robustas de ciberseguridad, incluyendo el cifrado de datos sensibles y la realización de auditorías periódicas.

Entonces ¿Qué pueden hacer las empresas?

→ Realizar una evaluación de riesgos: Identificar las posibles vulnerabilidades en el manejo de datos personales y establecer medidas de mitigación. Esto incluye la gestión de brechas y la implementación de políticas claras de ciberseguridad.

→ Capacitar a los empleados: Muchas vulneraciones ocurren por errores humanos. Programas de concienciación sobre phishing y gestión segura de información son indispensables.

→ Fortalecer la infraestructura tecnológica: El uso de firewalls, cifrado avanzado y sistemas de detección de intrusos protege no solo los datos, sino también la continuidad operativa.

Conclusiones

La seguridad de los datos personales ha dejado de ser una opción y pasado a convertirse en una obligación ética, legal y competitiva. Las empresas que asuman esta responsabilidad podrán -por un lado- proteger su reputación y -por el otro- ganar la confianza de clientes que valoran cada vez más la privacidad y seguridad en el ecosistema digital. Además, el cambio legislativo en curso en Chile ofrece una oportunidad única para que las organizaciones adapten sus prácticas a los nuevos estándares y demuestren su compromiso con la responsabilidad corporativa. Actuar ahora, con una estrategia proactiva y orientada al cumplimiento, permitirá a las empresas estar mejor preparadas para los retos futuros, proteger a sus clientes y asegurar su lugar en el entorno digital de manera más segura y confiable.