Descubre si tu empresa está obligada por la Ley Marco de Ciberseguridad. Guía visual completa con todos los sectores esenciales: energía, salud, transporte, banca y más. Descarga gratis.
El Desafío entre TI y Legal: Asegurando Tu Estrategia de Protección de Datos (Y Cómo Construir un Puente Sólido)
¿Han notado alguna vez que la gestión de la protección de datos en su empresa parece operar en dos mundos separados? Por un lado, los especialistas en TI, con su dominio de firewalls, cifrado y servidores en la nube. Por otro, los profesionales del derecho, enfocados en políticas de privacidad, derechos de los interesados y normativas que a menudo resultan complejas y técnicas. Esta falta de conexión puede generar una brecha importante que pone en riesgo a su organización y a sus clientes.
Esta desconexión no es meramente un problema de comunicación; es una deficiencia fundamental en la estrategia de protección de datos de muchas organizaciones. Y, como todo problema estructural, puede acarrear consecuencias significativas. No nos referimos solo a multas y sanciones, sino a un daño más profundo: la erosión de la confianza del cliente, el deterioro de la reputación de la marca y, en última instancia, el obstáculo para construir un negocio sostenible y ético.
Casos Reales de Desconexión Legal-TI: Identificando los Puntos Críticos
Dejemos a un lado la teoría por un momento y examinemos situaciones concretas, los problemas habituales que surgen cuando los equipos de TI y Legal operan de forma aislada:
La Confusión en la Gestión del Consentimiento: El departamento legal se centra en redactar una política de privacidad conforme a la ley, mientras que el equipo de TI implementa un banner de cookies que resulta confuso para el usuario. Consecuencia: bajos ratios de consentimiento y pérdida de datos valiosos para marketing. Finalmente, se detecta que el banner estaba mal configurado, recopilando datos sin consentimiento, lo que resulta en una sanción para la empresa.
Retrasos en la Notificación de Incidentes de Seguridad: Un ciberataque impacta los sistemas de la empresa. El equipo de TI se concentra en contener la intrusión y reparar los sistemas, pero la notificación legal se realiza fuera del plazo establecido, exponiendo a la empresa a sanciones considerables y a una crisis de reputación prolongada.
Dificultades con las Solicitudes de Acceso a Datos (DSARs): Se reciben numerosas DSARs semanalmente, pero los equipos de Legal y TI trabajan de manera independiente, sin una comprensión mutua. Los datos están dispersos en sistemas distintos, dificultando una respuesta oportuna y completa, lo que puede resultar en multas para la organización.
Protección de Datos Retroactiva y Vulnerabilidades: Se lanza una nueva aplicación con la mejor intención, pero sin integrar la protección de datos desde el inicio. Los riesgos de seguridad se hacen evidentes tardíamente y, bajo presión para solucionar el problema, se generan nuevos errores. Resultado: vulnerabilidad expuesta públicamente, pérdida de confianza del cliente y gastos imprevistos para la reestructuración de la aplicación.
Obsolescencia de las Políticas de Retención de Datos: Las políticas de retención de datos quedan archivadas en documentos legales, sin que el departamento de TI tome medidas para implementarlas. Esto genera un almacén de datos innecesarios que se mantiene durante años, aumentando el riesgo de ataques y posibles sanciones.
Estos no son solo ejemplos hipotéticos; son situaciones reales que demuestran la importancia de establecer una comunicación efectiva entre TI y Legal, perdiendo la oportunidad de generar valor en la era digital.
El Problema Central: Lenguajes Diferentes, Prioridades Divergentes, Oportunidades Perdidas
La desconexión entre TI y Legal es un fenómeno común, tanto que a veces se normaliza. Sin embargo, este problema surge, en parte, porque estos equipos operan con enfoques distintos:
El Enfoque Legal: Se centra en leyes, normativas, riesgos legales y obligaciones de cumplimiento. Buscan la conformidad legal, pero en ocasiones carecen del conocimiento práctico para implementar las políticas en la realidad operativa.
El Enfoque de TI: Se enfoca en la funcionalidad, seguridad, eficiencia y el correcto funcionamiento de los sistemas. Buscan mantener la operatividad sin interrupciones y, a veces, no priorizan la terminología o las implicaciones legales.
Cuando ambos equipos trabajan de forma aislada, la protección de datos se convierte en una lucha entre la teoría (legal) y la práctica (TI), en lugar de ser una estrategia unificada para generar valor. Se desaprovechan oportunidades para crear procesos eficientes, fortalecer la confianza del cliente e innovar de forma ética y responsable.
La Solución de Idónea: Construyendo un Puente hacia un Futuro Más Responsable
En Idónea, creemos que la clave no está en forzar a que TI y Legal utilicen el mismo lenguaje, sino en crear un espacio colaborativo donde ambos puedan aprender mutuamente y construir un enfoque holístico hacia la protección de datos. Nosotros somos ese puente.
¿Cómo lo Logramos?
Interdisciplinariedad Integrada: Nuestro equipo está compuesto por una combinación de expertos en derecho e ingeniería. Dominamos tanto el lenguaje técnico de TI como el legal (y contamos con expertos en gestión de proyectos para garantizar la sincronía).
Soluciones Prácticas y Operativas: No solo entregamos políticas; diseñamos soluciones reales y funcionales. Mapeamos sistemas, rediseñamos procesos, implementamos controles técnicos y capacitamos a todos para asegurar la operatividad.
Visión Estratégica de Valor: Consideramos la protección de datos no como un coste, sino como una ventaja competitiva. Ayudamos a fortalecer la confianza, fomentar la lealtad del cliente y destacar en el mercado.
Experiencia Directa en RGPD: Nuestra experiencia en la implementación del RGPD en Europa nos aporta un conocimiento práctico, probado y eficaz en la gestión de la protección de datos.
Enfoque Centrado en las Personas: En Idónea, trabajamos para crear soluciones personalizadas para cada empresa, tratándolas como entidades únicas con necesidades específicas.
Reflexión Final: La Oportunidad que Tenemos por Delante
La protección de datos no es un mero problema a resolver, sino una oportunidad para construir un futuro digital más ético, responsable y sostenible. Lograr este futuro requiere superar las barreras entre TI y Legal y colaborar como un equipo unificado, guiados por un objetivo común: proteger los datos, fortalecer la confianza y generar valor.
En Idónea, estamos preparados para construir este puente. ¿Nos acompañan?
#RGPD #ProtecciónDeDatos #ProteccionDeDatos #Ciberseguridad
#CumplimientoNormativo #TransformaciónDigital #Idonea #TI #Legal #Estrategia
#Confianza #FuturoDigital
El proyecto establece obligaciones a empresas de infraestructura crítica entendiendo por esta:
“aquella indispensable para la generación, transmisión, transporte, producción, almacenamiento y distribución de los servicios e insumos básicos para la población, tales como energía, gas, agua o telecomunicaciones; la relativa a la conexión vial, aérea, terrestre, marítima, portuaria o ferroviaria, y la correspondiente a servicios de utilidad pública, como los sistemas de asistencia sanitaria o de salud, identificados como infraestructuras críticas conforme a los criterios específicos contenidos en la presente ley”.
Este proyecto ofrece múltiples puntos de análisis, pero en este artículo me enfocaré en un aspecto clave: es necesario tener muy presente que esta ley requiere una evaluación cuidadosa por parte del Legislativo, con el fin de evitar falta de coordinación y conflictos regulatorios con la Ley Marco de Ciberseguridad. Para entender cuál es la problemática de esto, hay que ir al otro lado del Atlántico.
Al respecto, es importante recordar que el proyecto mencionado se basa, en gran medida, en la Directiva CER de la UE (Critical Entities Resilience Directive), que se tramitó de forma paralela y entró en vigencia en conjunto con la Directiva NIS2, la cual, a su vez, dio origen a la Ley Marco de Ciberseguridad.
Ambas directivas buscan regular y proteger, por un lado, la infraestructura crítica (IC) física y, por otro, parte o la totalidad (dependiendo del enfoque) de la IC digital, representada en sistemas y redes de información.
El proceso de transposición de estas directivas a la legislación interna de cada país de la Unión, (cuyo plazo venció el 17 de octubre pasado) ha evidenciado importantes desafíos, como una potencial redundancia de cargas regulatorias y la falta de alineación y coordinación efectiva entre ambas.
Lo anterior se debe, en parte, a que los respectivos entes rectores operan en distintos ámbitos, mientras que los sujetos obligados son prácticamente los mismos. Esto genera una acumulación considerable de elevadas cargas regulatorias y obligaciones de reporte que, en esencia, resultan equivalentes o similares y, en su mayoría, deben cumplirse de forma simultánea.
Una potencial falta de coherencia normativa, una superposición de funciones o una falta de integración técnica entre las autoridades involucradas, aumentan el riesgo de duplicación de esfuerzos públicos y privados, ineficiencia administrativas, conflictos interinstitucionales y, en última instancia, de la paralización de la gestión empresarial, por la falta de estándares claros y de todo una economía.
La complejidad actual de los ataques contra las infraestructuras críticas (IC), agrava aún más esta situación, ya que suelen ser híbridos (físicos y digitales) y sistémicos (de origen incierto, generalmente vinculados a la cadena de suministro fuera del perímetro de protección). Esto dificulta detectar con precisión su naturaleza y origen, además de obstaculizar el cumplimiento coordinado de normativas estrechamente relacionadas.
Por su parte, la existencia de riesgos sistémicos puede llevar a una gestión inconsistente de ciberamenazas, pues los principales cuerpos normativos se centran en las mismas áreas específicas, pudiendo dejar puntos débiles en la seguridad de IC no regulada, por ejemplo, dentro de la cadena de suministro.
La situación actual en Europa debe ser un llamado de atención para Chile, especialmente en el contexto de la tramitación del proyecto de ley sobre Protección de Infraestructura Crítica. Es crucial que esta normativa aborde los riesgos mencionados en los párrafos anteriores, con el fin de evitar choques legislativos y daños a la economía, debiendo por el contrario, garantizar su máxima eficacia. Para ello, resulta imprescindible alinearla (cual reloj suizo) con la Ley Marco de Ciberseguridad, promoviendo una coordinación intersectorial sólida y eliminando todas aquellas cargas innecesarias o desproporcionadas que para las empresas pueden resultar inasumibles.
