Ley establece obligatoriedad de ejecutivos para prepararse en ciberseguridad
Esta semana sería publicada la Ley de Protección de Datos Personales (LDP), la cual -entre otros aspectos- establece la obligatoriedad de ejecutivos para prepararse en términos de ciberseguridad.
En el artículo 8° se plantean deberes específicos para los Operadores de Importancia Vital (OIV). Entre sus principales obligaciones, los OIV deben implementar programas de capacitación, formación y educación continua para sus trabajadores y colaboradores, los cuales deben incluir campañas de ciberhigiene. Estas medidas buscan fortalecer las prácticas de seguridad dentro de las organizaciones y mitigar riesgos relacionados con la protección de datos y la ciberseguridad.
José Antonio Lagos, CEO de Cybertrust Latam, explica que “la capacitación es parte clave de una cultura de protección de datos. La cultura en protección de datos representa los comportamientos, actitudes y prácticas adoptadas en las personas para protegerse de amenazas digitales y resguardar información sensible. Por lo tanto, el sensibilizar y fomentar el uso de las TICS para el desarrollo social y económico sin el respaldo de un plan de cultura en transformación de datos, implica un aumento en las posibilidades de ciber riesgo. La nueva normativa representa un importante avance para nuestro país en ese sentido.”
Por ejemplo, los directores de empresas deben prepararse en introducción a la LDP y su impacto en la empresa; gobernanza de datos personales; gestión de brechas de datos y responsabilidad directiva; riesgos reputacionales y sanciones; integración de la privacidad en la estrategia de negocio y privacidad de datos como estrategia competitiva.
En el caso de los gerentes de primera línea, deben prepararse en los principios fundamentales de la LDP; derechos de los titulares y la responsabilidad Gerencial; gestión del consentimiento y datos Sensibles; supervisión y evaluación del cumplimiento; y manejo de incidentes desde la perspectiva gerencial.
Por su parte, los colaboradores en general deben capacitarse en introducción a la protección de datos personales; derechos de los titulares y el rol del colaborador; buenas prácticas en el manejo de datos personales; uso adecuado de herramientas tecnológicas; e impacto de la protección de datos en la experiencia del cliente.
Capacitación de terceros
Pero la preparación en temas de ciberseguridad no solo abarca al interior de las empresas. La normativa también plantea la capacitación de proveedores y clientes. José Antonio Lagos destaca que “este es un aspecto muy importante de la nueva normativa, al tomar en cuenta que 84% de los errores de riesgo de terceros provocaron interrupciones de servicios en las operaciones, afectando la continuidad operacional de las empresas, según un estudio de Gartner del año 2022. En este escenario, las empresas deben crear una estrategia robusta de gestión de riesgos de terceros (TPRM).”
En el caso de proveedores, la ley establece que deben prepararse en responsabilidad del encargado del tratamiento de datos; obligaciones contractuales y confidencialidad; reporte de vulneraciones y buenas prácticas en la protección de datos; cumplimiento normativo internacional; y trazabilidad y registro de actividades de tratamiento.
Por su parte, los clientes deben conocer sobre materias como sus derechos como titular de datos personales; consentimiento y tratamiento de sus datos personales; medidas de seguridad y protección de sus datos; cómo realizar solicitudes de ejercicio de derechos; y conocer los riesgos de no proteger sus datos.