El próximo 01 de diciembre entrará en vigencia en Chile la ley de protección de datos personales (N° 21.719) en Chile, cuya implementación implica ajustes operativos para las organizaciones que administren información personal, independiente de su tamaño y facturación.
El reto no radica en implementar grandes sistemas, sino en ordenar procesos básicos: entender qué datos maneja, cómo los usan y quién tiene acceso. “Hoy el principal problema no es la falta de tecnología, sino la falta de control sobre procesos básicos. Muchas organizaciones no tienen claridad sobre qué datos manejan ni cómo se están utilizando”, indica David Pereira, gerente general de Inside Security, firma especializada en evaluación, detección y control de riesgos digitales.
Por lo pronto, el rango de exposición es cada vez más alto. Por ejemplo, según cifras de la Subsecretaría de Telecomunicaciones (Subtel), tres de cada cuatro personas utilizan servicios en la nube para respaldar información desde sus dispositivos, mientras que el 70% de las Pymes no cuenta con medidas de ciberseguridad, según datos de la industria.
Desde Inside Security recomiendan avanzar desde un mínimo viable, con foco en control y trazabilidad. “No se trata de hacer todo de una vez, sino de partir por lo esencial y construir desde ahí”, apunta Pereira.
A continuación, siete puntos críticos sobre datos personales que toda empresa debería considerar:
1. Tener claridad sobre qué datos se manejan: El primer punto es básico, pero muchas veces pasa desapercibido: saber qué datos se recopilan, dónde se almacenan y quiénes acceden a ellos. Sin esa visibilidad, es imposible ejercer control o detectar riesgos a tiempo.
2. Definir para qué se usan los datos: No basta con tener información, sino que es necesario tener claridad para qué se utiliza. Cada dato debe responder a un propósito claro y legítimo, evitando recolectar información “por si acaso”. “El uso de datos para ejecutar un contrato no es lo mismo que su uso para otros fines, por ejemplo. Cualquier tratamiento adicional debe contar con autorización expresa”, advierte Pereira, añadiendo que “el consentimiento debe ser claro, específico y separado”.
3. Limitar accesos: Otro aspecto clave es definir quién puede acceder a esta información. Establecer perfiles y permisos adecuados permite reducir significativamente el riesgo. “El exceso de acceso y la falta de control son una de las principales fuentes de exposición. La propia Agencia Nacional de Ciberseguridad (ANCI) confirmó un caso de filtración de datos en el sector público que no se produjo por un hackeo sofisticado, sino por el robo de credenciales a un funcionario”, explica Pereira.
4. Proteger la información con medidas básicas: En línea con lo anterior, ciertos controles mínimos hacen una diferencia real en la protección de datos personales, como la autenticación multifactor, el uso de contraseñas robustas y la actualización constante de sistemas. No son soluciones complejas, sino buenas prácticas aplicadas con consistencia, que permiten controlar quién accede a la información.
5. Prepararse para incidentes: Asumir la ocurrencia de incidente es parte de una gestión responsable. Es importante tener protocolos claros que definan cómo actuar ante una filtración o acceso indebido: qué pasos seguir, a quién informar y cómo contener el impacto.
6. Capacitar al personal: La mayoría de los incidentes tiene un componente humano. Las brechas de seguridad pueden responder a errores cotidianos, desconocimiento o malas prácticas. “La ciberseguridad no es solo tecnología. Si las personas no entienden y manejan los riesgos, las brechas y vulnerabilidades seguirán existiendo”, recalca Pereira.
7. Buscar apoyo de especialistas si no hay capacidades internas: No todas las empresas tienen equipos dedicados a la ciberseguridad, especialmente aquellas en etapas de crecimiento. En esos casos, externalizar servicios puede ser una alternativa eficaz para acompañar el cumplimiento de la norma. “Lo importante es no postergar la seguridad, y buscar apoyo para avanzar de forma ordenada y segura”, cierran desde Inside Security.
