Entrevista a Erick Iriarte, CEO de eBIZ*
Es la responsabilidad de cada persona averiguar a que institución u organización comparte sus datos personales, ya que una vez que se ceden, estos son almacenados en una base de datos que no necesariamente cuenta con las medidas de seguridad correctas.
¿Qué es la protección de datos personales y como está vinculada a la seguridad de la información?
Los datos personales son aquella información que nos identifica, está ligado a un principio constitucional y de derechos humanos, de protección de la privacidad, protección de la intimidad de las personas, etc. Actualmente, los datos personales se enfrentan a un reto de las nuevas tecnologías que facilitan el acceso a los mismos y no necesariamente tienen resguardos de seguridad.
En segundo lugar, las organizaciones tienen información que deben proteger, porque son su activo crítico, como su core de negocio, sus fórmulas, sus patentes, sus diseños industriales, información de negocios, sus clientes, etc.
Entonces la protección de datos personales requiere de tener políticas de seguridad de la información y las compañías como parte de la organización de la seguridad de la información, incorporan también la protección de datos personales dentro de su esfera de control.
¿Cuáles son, las consideraciones o los principios básicos para garantizar la seguridad de la información?
La información requiere, primero ser accesible por aquellas personas que evidentemente tienen que acceder a la información, debe tener ciertos principios de confidencialidad, además que, este acceso tiene que ser seguro, debe tener además mecanismos de protección adecuada, para saber quién accede, cuando accede y a que accede, es decir mecanismos de trazabilidad y finalmente debe tener disponibilidad para poder acceder.
¿Cuáles son, las principales amenazas a la seguridad de la información en el mundo y en especial en el Perú?
Las principales amenazas durante mucho tiempo a la gestión de la información, fue que alguien podría entrar a algún espacio donde se resguardaba la información y se la pudiera llevar. Estás pensando en el espionaje industrial, si quieres ponerlo, de las organizaciones o cuando hablas de la entidad pública, alguien pudiera acceder a la información, que pueda ser relevante para la organización, pero con la presión de entornos digitales, ya no necesitan entrar físicamente al ambiente sino, basta que entren digitalmente a esferas digitales o a servidores o a la nube, o que tengan acceso a través de un ransomware, por ejemplo, que terminen secuestrando la información.
Lo que ha hecho la tecnología es masificar la posibilidad de accesos a externos, pero no quita también que pueda haber un tema interno, muchos de los espionajes industriales en realidad son personas captadas dentro de la organización. Además, es evidente a que a nivel internacional el tema se seguridad de la información se vuelve un tema crítico, más aún el tema de ciberseguridad y se tiene tanto las amenazas internas como las amenazas externas.
¿Qué implicancia tiene, la ley o normativa de protección de datos personales en el Perú y cuáles son las obligaciones que nacen a raíz de esta?
La ley de datos personales ya tiene 10 años, es la última norma de la segunda generación en América latina, nosotros además somos una normativa hibrida por que mira a Europa y mira Asia-Pacifico, porque somos acuerdo de ambas partes, esto implica que nuestra regulación es una regulación experimental en muchos sentidos. A su vez tenemos una autoridad hibridad que ve, tanto acceso a la información pública, transparencia y protección de datos personales, siendo pionera de este modelo en América Latina, juntamente con otras autoridades similares como la de México, la de Uruguay o Argentina, esto nos da posibilidades de crear muchísimo.
En estos 10 años la legislación ha ido aumentando su capacidad y la autoridad ha ido mantenido su independencia, lo cual es sumamente importante para estos temas. Y agregamos además que las obligaciones que se originan son: detrás de toda entidad pública o privada, persona natural o jurídica, que tiene acceso a datos personales en el Perú, se tiene que declarar las bases de la autoría de datos personales, mantener las reglas de seguridad adecuada a los diversos niveles que se den tener y la tercera es permitir el acceso a los individuos al ejercicio a sus derechos ARCO (Acceso, Rectificación Cancelación y Oposición) en la medida así lo requiera el usuario.
¿Qué institución o instituciones del estado, son los responsables de velar para que los datos
personales estén resguardados?
La autoridad encargada es la Autoridad de Transparencia, Acceso a la Información Pública y protección de datos personales, que se encuentra dentro del Ministerio de Justicia, sin embargo, toda entidad pública tiene la obligación de cumplir la ley de protección de datos personales, por ende, resguardar los datos que los usuarios, los ciudadanos entregan a estas entidades. Por lo tanto, la entidad de control es la autoridad de datos personales, pero la obligación de resguardo es de toda entidad pública.
En el ámbito digital, podemos ver como las redes sociales a través de los accesos que tienen de nuestros dispositivos electrónicos son capaces de identificar nuestros gustos y posteriormente en la publicidad podemos ver productos o servicios relacionados ¿Quién debe ejercer control sobre estas compañías?
En primer lugar, estas compañías están operando dentro de un libre mercado, por lo tanto, el primer control lo hacen los usuarios quienes entregan esta información a las plataformas son los mismos usuarios, que ante creencia de que es una plataforma gratuita, cuando en realidad es una plataforma de libre acceso, donde entregan sus datos y luego estas empresas las procesan a su favor.
Las compañías de otro lado, también tienen regulaciones dependiendo del país donde se encuentren o la incidencia de que puedan tener sobre algunos otros países, tal como viene ocurriendo discusiones en Estados Unidos sobre el tema de protección de datos personales o Europa con la GDPR (General Data Protection Regulation) la política general de protección de datos personales que, al tener oficinas sobre todo en Europa, estas compañías que usan redes sociales o que usan diferentes plataformas tecnológicas también estas legislaciones les aplica. Es evidente que en el Perú las plataformas que estamos hablando no tienen oficina, por lo cual la legislación peruana no les atañe directamente.
¿Existe Directrices de las Naciones Unidas u otros organismos internacionales, respecto a la protección de datos personales y seguridad de la información?
A nivel de la OEA hay reglas para normativas marco, en Perú ya las tenemos, en APEC tienes el Privacy framework que también te impone reglas específicas sobre el tema de protección de datos personales, la GDPR ha influido sobre todo en Europa, pero también algunos países de América Latina, en América Latina hay la red iberoamericana americana protección de datos personales, que es de autoridades datos personales donde también tiene ciertas reglas generales quedan pero finalmente muchos temas en el país por país.
¿Qué recomendaciones puede brindar a los ciudadanos, para evitar la exposición de datos personales y conservar la privacidad?
En primer lugar, si van a utilizar entornos digitales, es importante conocer qué información quieren compartir y con quién. En segundo lugar, en las redes sociales es poco pensable que alguien pueda tener 10,000 amigos, con lo cual uno debe tener especial cuidado de la información que se va a compartir. En tercer lugar, la información que compartes una vez que sale de control no existen mecanismos de como validarla, entonces debes tener especial cuidado de la información que compartes y con quien la compartes en estas diferentes herramientas digitales.
Por último, se tiene que crear por parte del Estado y por ende obligación por parte de los padres con relación a sus hijos, los mecanismos de generación de una cultura de seguridad y de protección de datos personales para evitar que la información termine afectando a nuestras familias a nosotros mismos en esos entornos digitales y no digitales.
