Empresas tienen hasta mayo para alinear política de seguridad de Ley de Protección de Datos Personales
De acuerdo a Nancy Yong, socia de PwC, la norma indica que todos los datos personales y sensibles deben estar almacenados en una base de datos, manual o automatizada.
Por Favoractualice a un navegador mas moderno.
Por: Milagros Sánchez V.
Empezó en el 2011, se reglamentó en marzo del 2013, y desde ahí la Ley de Protección de Datos personales cobró fuerza en las empresas. En octubre del 2013 se publicó la Directiva de Seguridad, cuyo plazo de adecuación vence en mayo de este año, explicó Nancy Yong, socia de PwC.
Esta directiva busca que todas las empresas lleven la custodia de la información, en términos de datos sensibles, y que residen en un medio informático, detalló Yong.
De acuerdo a la socia, la norma indica que todos los datos personales y sensibles deben estar almacenados en una base de datos, manual o automatizada. “Podría guardarse en un Excel o en un medio informático, pero se tendría que monitorear que personas autorizadas accedan a dicha información”, agregó.
Yong expresó que no existe una cifra exacta de cumplimiento de la ley en empresas. Aquellas empresas reguladas dentro del sistema financiero son las que están mejor preparadas en el cumplimiento, ya que velan por el secreto bancario de sus clientes, dijo la socia de PwC.
Sin embargo, de acuerdo a estadísticas, existe un bajo ratio de bancos que aún no están inscritos en la Autoridad Nacional de Protección de Datos Personales (ADPD). “Esta situación hace pensar que si algunas empresas no están inscritas es porque no tienen un control detallado”, enfatizó.
A ello apunta la última directiva, es una norma nueva, a diferencia de otros países, indicó Yong.
Por otro lado, existen otras empresas, que cumplen con las normas de buen gobierno corporativo o cotizan en la bolsa local y extranjera, y mantienen su nivel de seguridad como respuesta al control interno.
Respecto a las sanciones, Yong aseguró que van desde 0.5 UIT (leves) hasta 100 UIT (muy grave). “Parece poco dinero, pero afecta la reputación corporativa. La vía judicial podría ser buena, en caso de incumplimiento”, añadió.
Para ello recomendó vigilar la obtención del consentimiento, el registro de banco de datos personales, las medidas organizativas y de seguridad.
El dato:
Los tres tipos de sanciones se disgregan así:
-Leve (de 0.5 UIT hasta 5 UIT). Cuando se da tratamiento de datos personales sin el consentimiento de sus titulares, cuando el mismo no sea necesario conforme a ley.
-Grave (de 5 UIT hasta 50 UIT). Si la empresa no inscribe el banco de datos en el Registro Nacional de Protección de Datos Personales.
-Muy grave (50 UIT hasta 100 UIT). Cuando el tratamiento a los datos personales contraviene los principios establecidos en la ley, incumple las disposiciones de ésta o las de su reglamento, impidiendo o atentando el ejercicio de un derecho fundamental.