Tecnología y Protección de Datos: Trazabilidad y Evidencias

Por Katherine Barcia Schott, CEO y Fundadora de Privacy by Design Chile | Consultora especializada en protección de datos personales y regulación tecnológica.

El panorama regulatorio global, encabezado por normativas como el GDPR europeo y sus equivalentes locales (como la LGPD brasileña y la reciente Ley N° 21.719 en Chile), han transformado la gestión de datos personales de un mero requisito legal a un pilar estratégico y de confianza empresarial.

Sin embargo, el volumen masivo de datos que las organizaciones públicas y privadas manejan hoy en día, junto con la complejidad inherente a los flujos de información transfronterizos, hace que una dependencia exclusiva en procesos de cumplimiento manual sea, no sólo ineficiente, sino insuficiente para la generación de evidencias de la debida diligencia existente en la organización.

Esta realidad pone de manifiesto que la definición de la estrategia y el diseño del programa de cumplimiento, base de la consultoría especializada, debe complementarse con herramientas de gestión o herramientas “Legaltech”, cuestión indispensable para transformar el cumplimiento estático en un proceso automatizado, auditable y seguro.

En este sentido, el desafío para los responsables y encargados del tratamiento es doble ya que, por una parte, deben Garantizar la Seguridad, protegiendo activamente los datos contra accesos no autorizados o pérdidas y también deben Demostrar el cumplimiento mediante Trazabilidad, siendo capaces de rendir cuentas ante las autoridades y los propios titulares de los datos, probando quién, cuándo, cómo y con qué finalidad se trató el dato en cada etapa de su ciclo de vida.

La Trazabilidad Digital: Necesidad de un Registro de Auditoría Inalterable del Dato Personal

En el contexto de la protección de datos y seguridad de la información, la trazabilidad es una característica fundamental para acreditar el cumplimiento y se traduce en la capacidad de generar un rastro de auditoría robusto e inalterable que pruebe la diligencia debida de la organización. Si bien el control manual es posible, las máximas de la gestión de los procesos nos sugieren que es sólo a través del uso de una o varias soluciones tecnológicas que podremos garantizar la "cadena de custodia del dato" de manera eficiente:

Gestión Activa del Consentimiento y Derechos de los Titulares:

Para cumplir con la nueva normativa de protección de datos personales en Chile, las organizaciones deberán implementar herramientas de gestión del consentimiento y puntos de contacto digital y/o portales de solicitudes del titular de los datos, siendo estas herramientas y/o plataformas la primera línea de la trazabilidad que se debe asegurar:

• Registro Granular y Demostrable: Estas herramientas permitirán a los titulares de datos otorgar o revocar su consentimiento de forma clara y granular. Lo crucial es que la plataforma que se elija sea capaz de registrar automáticamente y con marca de tiempo la versión exacta de la política aceptada, el origen del consentimiento y el momento preciso de una potencial aceptación o revocación.

• Gestión de Derechos Automatizada: Cuando un titular ejerza un derecho ARSOIP (Acceso, Rectificación, Supresión u Oposición, entre otros), el uso de estas plataformas no sólo facilitará la recepción y respuesta a dicha solicitud, sino que también trazará el flujo de trabajo interno para asegurar que el dato sea localizado, modificado o eliminado en todos los sistemas pertinentes, incluyendo aquellos de terceros (p.e. proveedores) que pudieran estar involucrados en la cadena de servicio o suministro. El uso de estas herramientas proporciona una evidencia auditable del cumplimiento y permite gestionar respuestas dentro del plazo legal.

Mapeo Dinámico y Registros de Actividades de Tratamiento 

El Registro de Actividades de Tratamiento (RAT) es el documento central de cumplimiento en materia de protección de datos. Mantenerlo actualizado en entornos empresariales complejos puede ser una tarea titánica respecto de la cual existen alternativas asistidas a través del uso de tecnologías:

• Data Mapping: Las herramientas de mapeo de datos ejecutan escaneos y generan etiquetas de clasificación que permiten a las organizaciones identificar dónde residen los datos personales, quién tiene acceso (por lo general un rol, no una persona) y bajo qué base legal se tratan.
  
  
• Registro de Actividades de Tratamiento: El RAT es una herramienta de gestión posible de crear a través de procesos manuales y de consultoría, que en general suelen ser menos costosos pero que, a pesar de ello, además de requerir actualización frecuente podrían no ser adecuados para ciertos entornos organizacionales más complejos, como aquellos en los que existen múltiples entidades relacionadas con las actividades de tratamiento y/o muchas hipótesis de contacto y uso compartido de los datos de los titulares, ya sea dentro o fuera del contexto territorial chileno. A diferencia de los documentos estáticos, el RAT generado a través de una herramienta de Legaltech se mantiene actualizado automáticamente a medida que los datos fluyen a través de nuevos sistemas o se modifican los accesos, asegurando una rendición de cuentas continua, que incluso podrá facilitar una interacción adecuada con las autoridades de control (Agencia de Protección de Datos Personales y Agencia Nacional de Ciberseguridad).

Seguridad y Arquitectura de Confianza Cero

La seguridad ya no puede basarse únicamente en la defensa del perímetro pues la protección debe viajar junto con el dato personal protegido. Afortunadamente la tecnología actualmente disponible ofrece alternativas de seguridad que, incluso cuentan con capacidad de convertir un dato comprometido en información inútil para el atacante.

Dentro de estas tecnologías encontramos el cifrado avanzado, la tokenización y la implementación de una arquitectura “zero trust” (confianza cero) cuyo paradigma es asumir que - desde el diseño y por defecto - no se debe confiar en ningún usuario o dispositivo, ya sea dentro o fuera del perímetro de la red corporativa.

Conclusión: El Futuro en la Gestión de la Privacidad

El cumplimiento de la normativa de protección de datos personales está evolucionando hacia un estándar de calidad y confianza que no es posible satisfacer adecuadamente mediante soluciones y procesos manuales.

Las organizaciones que adopten tecnología para cumplir con la ley no sólo gestionarán sus actividades de tratamiento en forma más eficiente, sino también reducirán las hipótesis de incumplimiento y sanciones mediante la generación de evidencia inmutable, asegurando la trazabilidad, lo que al mismo tiempo les permitirá acreditar la diligencia debida y construir una reputación de gestión ética y segura de la información de sus clientes y usuarios. 

Estas soluciones tecnológicas deben ser vistas como el “motor de la evidencia”, sin embargo, la clave de su eficiencia radica en el diseño e implementación de una estrategia de cumplimento desde el diseño (“Privacy by Design”) y por defecto, equipando a los equipos legales y de cumplimiento, a través de consultoría especializada, con herramientas configuradas para garantizar la trazabilidad de cada requerimiento y decisión de tratamiento, asegurando la custodia del dato durante todo el ciclo de vida, desde la recolección hasta su total eliminación en la cadena de suministro.