Si bien el cumplimiento normativo y el desarrollo de programas que permitan su correcta atención no es cosa nueva, en los últimos años, su crecimiento e importancia ha sido exponencial, y es posible que lo siga siendo hasta causar la debilidad y anulación de aquellas empresas que no se comprometan a crear una cultura robusta de Compliance hacia adentro y hacia afuera de sus organizaciones.
Según la actividad de cada empresa, así debe enfocarse el análisis y gestión del riesgo. Aun así, es natural que algunos de esos riesgos se presenten en muchas de las organizaciones. Uno de ellos, es el tratamiento y gestión de los datos personales.
Con la inmediatez de las plataformas de comunicación instantánea y el consumo de información a través de redes sociales, ¿quién no ha compartido alguna vez algún dato de un tercero? Posiblemente no haya quien escape de ello, sin embargo, esa información, supone, fue publicada por su propietario y titular interesado, haciéndose responsable de su huella digital, pero ¿quién y cómo está gobernando los datos personales de clientes y proveedores, dentro de nuestras organizaciones? ¿Se han bien gestionado las autorizaciones para el envío de información a sus cuentas de comunicación privada? ¿Quién tiene acceso a todo ello?
Empresas de renombre han sido multadas por violaciones de datos.
La Agencia Española de Protección de Datos sancionó el pasado mes de octubre a un reconocido banco por violentar la confidencialidad de los datos de un cliente al facilitar a la parte denunciante, a través de la app del banco, un contrato en el que figuraban datos de un tercero, en lugar del certificado de titularidad que había solicitado. La sanción, de €48000 (luego de una serie de rebajas autorizadas), consideró la falta que atenta contra el principio de integridad y confidencialidad resguardado por la norma que defiende tal Agencia, pero además por haberse confirmado la inexistencia de medidas de seguridad técnicas y organizativas para reducir – entendiendo que el riesgo no desaparece sino solo se reduce – la exposición de datos personales a terceros no autorizados.
Si bien deben adaptarse políticas y sistemas de gestión para la correcta administración de la información y su resguardo, ha nacido como objetivo el que la cultura de cumplimiento alcance a todo aquel que ha sido llamado a ser responsable de cualquiera de los eslabones de la cadena de responsabilidad, interiorizando el compromiso de la privacidad.
En Costa Rica actualmente se discute en la corriente legislativa el proyecto de ley tramitado bajo el expediente legislativo 23.097, denominado “Ley de Protección de Datos Personales”, que sin duda generará más conversaciones en torno a la gestión de cumplimiento.
Catalina Moya Azucena
Asociada Senior Facio & Cañas