El reglamento de la Ley Orgánica de Protección de Datos Personales dispone diversas herramientas ligadas, por ejemplo, a los derechos que tienen las personas para conocer las finalidades que las instituciones dan a sus datos. Asimismo, establece las directrices para que las instituciones garanticen la protección de la información, es por ello que diversos sectores se preparan para abordar su aplicación.
Desde el sector bancario, el presidente ejecutivo de Asobanca, Marco Rodríguez, destacó que el reglamento a la Ley es positivo porque abre la puerta para que se continúe consolidando la protección de datos. “El sector financiero ecuatoriano es la industria que más preparada está para la aplicación de la normativa porque desde hace muchos años realiza avances en la implementación de ciberseguridad y en fortalecer los criterios de protección de datos personales, como el sigilo y la reserva bancaria. Es el sector que mayor madurez tecnológica tiene, lo que permite responder, desde áreas especializadas, a la protección de datos de los clientes y usuarios”, señaló Rodríguez.
Lea también: ¿Cómo reconocer los billetes entintados que no tienen validez en Ecuador?
En un análisis de la práctica del reglamento, Pablo Sosa, gerente de ventas Regional en A3Sec, empresa multinacional de Ciberseguridad, comenta que aquellos datos especialmente protegidos son la ideología, la afiliación sindical, la religión, las creencias, el origen racial o étnico, el estado de salud, los datos genéticos y biométricos. Así lo establece el artículo 9 del Reglamento General de Protección de Datos (RGPD), en el mismo sentido, el artículo 10 de dicho reglamento indica que los datos relativos a condenas e infracciones penales también se deben proteger.
“El mal manejo de la información personal, sumado a leyes que no regulaban el uso de la misma, ha ocasionado una venta directa en el mercado negro y el acceso no regulado ha generado un ambiente propicio para muchos delitos informáticos, tales como suplantación de identidad, phishing o spam” afirma Sosa.
Lea también: Las bancas digitales desafían la existencia de las sucursales bancarias físicas
Para garantizar el uso controlado de la información, los ciudadanos podrán ejercer sus derechos sobre el uso de la información personal que provean a empresas o dependencias gubernamentales; de la misma forma, las empresas, que de manera autorizada, utilicen la información sensible podrán realizar las actividades que sean propias de su naturaleza empresarial contando con la debida autorización y no estar sujetas a penalizaciones o demandas por el uso no autorizado.
Las empresas que usen los datos proporcionados por los ciudadanos deberán proveer los mecanismos informáticos y de ciberseguridad para garantizar que la información personal a la que tengan acceso pueda ser manejada, manteniendo niveles de seguridad tales como: disponibilidad, integridad y privacidad, autenticidad y legalidad.
Para Pablo Sosa, quien cuenta con más de 25 años de experiencia en seguridad informática, la ciberseguridad es un elemento fundamental en la aplicación técnica de la ley de protección de datos personales, pues debe permitir y garantizar el uso de esta información de manera segura y confiable, evitando fugas y además debe servir como base para cualquier acción de auditoría informática o la ejecución de acciones penales ante delitos debidamente comprobables.
Lea también: Empresas tecnológicas se blindan con ciberseguridad
Esta ley prevé que las empresas que utilizan los datos personales de los clientes, proveedores, socios, etc, deberán hacerlo en ambientes de ciberseguridad que permitan controles superiores, tales como encriptación de datos en bases datos, sub anonimización y anonimización de datos, prevención de fuga de la información, protección y control de cuentas de acceso privilegiado a sistemas y bases de datos, protección de los puntos de acceso end-point, y la trasmisión de datos de forma segura.
Por lo cual, la implementación de estos controles debe estar alineada a los objetivos estratégicos de las empresas, así como a su arquitectura de ciberseguridad que garanticen la inviolabilidad de los datos que puedan ser accedidos por terceros maliciosos, personal interno o terceros no autorizados.