Existe una estrecha relación entre la legislación y las normas aplicables a los riesgos tecnológicos y operacionales. Un claro ejemplo de ello es el proyecto de Ley de Datos Personales que actualmente se está debatiendo en el Congreso. Esta iniciativa se suma a un anterior proyecto legislativo que pretende, como derecho constitucional, incluir al actual Artículo 19 de la Constitución el derecho fundamental de la protección de datos personales.

Las normativas tienen por objetivo garantizar la protección de la información que poseen las organizaciones y entidades sobre las personas, buscando una protección efectiva en sus derechos. Resulta de especial importancia, entonces, que las empresas tomen conciencia de este cambio normativo y establezcan de manera oportuna los protocolos, las políticas y controles idóneos para mitigar los riesgos legales asociados a su mal uso, pérdida o posibles filtraciones. Es clave también asumir la responsabilidad de imponer las medidas para reportar, informar y mantener debidamente resguardados estos datos, asegurando que se cumpla con los principios que establece la ley.

El 25 de mayo pasado entró en vigencia el Reglamento Europeo de Protección de Datos (RGDP). Se trata de un hecho que claramente afectará a las empresas y organizaciones de Chile, porque su aplicación es extraterritorial. Si una empresa que opera en Chile pertenece a un holding europeo o si una empresa chilena tiene en sus filas a un trabajador con ciudadanía europea, el reglamento se aplica inmediatamente.

Entre las novedades que contempla la normativa europea, se ubica la de la obligación que tienen las empresas de designar a un encargado u oficial de protección de datos, conocido como Data Protection Officer, y la de reportar las brechas de seguridad que puedan sufrir las bases de datos que guardan la información. Otra innovación son las sanciones. Entre las que fija el reglamento aparecen las multas por hasta 20 millones de Euros o el 4% de sus ventas anuales mundiales en caso de negligencia en la protección de los datos personales. A eso se suma la posible prohibición del tratamiento de datos o la suspensión de las transferencias internacionales de datos, lo que, para determinados negocios, puede significar el cese de sus actividades. En definitiva, el impacto puede ser sobre la operación de la organización, debiendo ser considerado bajo el ámbito del riesgo operacional.

Con todo, las organizaciones deben estar preparadas y comenzar a tomar las medidas necesarias para acogerse a estos cambios normativos que impactarán, en gran medida, la manera como actualmente se está haciendo uso y tratamiento de los datos personales en razón de sus actividades. Lo anterior, está muy relacionado a la mitigación de riesgos que se debe adoptar en la gestión de riesgo operacional y que en Chile falta mucho para lograr un estado de madurez. No obstante se avanza y el Reglamento Europeo de Protección de Datos empuja a que estos temas se analicen y dejen de ser reflexiones de uno pocos entendidos para transformarlos en un asunto de discusión nacional.