Por: Redacción/

La Red Global para la Aplicación de la Ley en Materia de Privacidad (GPEN, por sus siglas en inglés), conformada por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) y autoridades de protección de datos y privacidad de distintos países, presentaron los resultados del Barrido de Privacidad 2019.

Se trata de un estudio impulsado por la GPEN para analizar el cumplimiento de las leyes de protección de datos personales y privacidad que rigen a las organizaciones. En esta edición, el tema central del estudio fue el tratamiento de las vulneraciones de datos personales por parte de las organizaciones encuestadas.

En ese sentido, el INAI y autoridades de protección de datos y privacidad de diferentes países encuestaron a organizaciones de sus respectivas jurisdicciones, con el objetivo de evaluar su conocimiento sobre el marco legal aplicable en caso de vulneraciones de datos personales, los procedimientos internos para tratarlas, la manera en que deben responder y el proceso a seguir para prevenirlas.

Del total de organizaciones contactadas, 258 proporcionaron respuestas sustantivas; así el Barrido de Privacidad 2019 arrojó los siguientes resultados:

– 84 por ciento de las organizaciones de todos los sectores y jurisdicciones cuentan con un equipo o grupo responsable de la gestión de las vulneraciones de datos, a quienes se les debe informar cuando se presente esta situación.

– 75 por ciento tienen procedimientos que incluyen pasos clave como la contención, evaluación y valoración del riesgo asociado a las vulneraciones.

– 18 por ciento indicaron que los procedimientos eran deficientes, lo cual sugiere que sus políticas podrían ser más claras para cubrir los pasos clave para responder a una vulneración de datos.

– 65 por ciento calificaron sus propios procedimientos para prevenir la reincidencia de las vulneraciones de datos como “muy buenos” o “buenos”.

El resto manifestó tener procedimientos deficientes o su respuesta no era específica. Del estudio se advirtió también lo siguiente:

La notificación de vulneraciones de datos es obligatoria en 12 de las 16 jurisdicciones participantes; la mayoría de las organizaciones conocen el marco jurídico correspondiente, incluidos los criterios y plazos para la notificación de vulneraciones; solo cinco organizaciones demostraron tener un conocimiento deficiente de la normatividad.

A su vez, la mayoría de las organizaciones consideraron útil la orientación proporcionada por las autoridades locales de protección de datos sobre la notificación de vulneraciones. Sin embargo, se detectó que las más pequeñas tienen dificultades para asimilar grandes cantidades de información y que la falta de recursos les ha impedido desarrollar políticas y procesos para atender estas situaciones.

Finalmente, se comprobó que muchas organizaciones se quedan cortas en cuanto a la supervisión del desempeño interno sobre las normas de protección de datos, pues más del 30 por ciento reportaron no contar con programas para hacer autoevaluaciones y/o auditorías internas y solo 45 por ciento indicaron mantener registros actualizados sobre vulneraciones o posibles vulneraciones de datos.