En el presente artículo se van a tratar de dar las principales claves relativas a la gestión de la protección de datos personales y de seguridad de la información, para las Cooperativas de Ahorro y Crédito para la vivienda y cajas centrales de Ecuador, así como para las compañías y organizaciones de servicios auxiliares que prestan servicios a las actividades financieras de las entidades.
Estas organizaciones deben adecuar sus procesos con el objetivo de poder gestionar adecuadamente el cumplimiento de la normativa de protección de datos personales en Ecuador, así como de la Norma de control respecto a la seguridad de la información en las entidades del sector financiero popular y solidario bajo control de la Superintendencia de Economía Popular y Solidaria (en adelante, “Norma de control”).
En primer lugar, cabe precisar que toda organización que se encuentre domiciliada en Ecuador y que realice tratamientos de datos personales en cualquier parte del territorio nacional, deberá cumplir con la Ley Orgánica de Protección de Datos Personales de Ecuador (en adelante, LOPDP), para garantizar un adecuado tratamiento de los datos personales de sus clientes, colaboradores, etc., así como para evitar las multas por violar la normativa en materia de protección de datos, que podrían ascender a la cuantía de entre el 0.7% y el 1% sobre el volumen de negocios.
Adicionalmente, el cumplimiento con esta normativa sirve para fomentar la transparencia y buen hacer de la organización, evidenciando el compromiso con la privacidad y seguridad de los datos personales y reforzando de esta manera la imagen de la entidad ante las partes interesadas.
No obstante y sin perjuicio del cumplimiento requerido en materia de protección de datos personales, las entidades mencionadas en el primer párrafo del presente artículo, deben de cumplir también con la Norma de control. Se tratan de dos normativas complementarias, dado que el fin deseado por la Norma de control es garantizar la confidencialidad, disponibilidad e integridad de los activos de información de la organización, lo que redundará positivamente en el cumplimiento de la normativa en materia de protección de datos personales.
Beneficios de homogeneizar el cumplimiento de la LOPDP con la Norma de control
Las entidades incluidas dentro del ámbito de aplicación de la Norma de control, deberán proceder con la implementación de la misma, a través del cumplimiento de, entre otros, los siguientes requisitos:
- Realización de inventario de principales elementos tecnológicos, así como de los diferentes activos de información.
- Levantamiento de los procesos de la entidad.
- Implementación de políticas, procesos, procedimientos y metodologías para una adecuada seguridad de la información, así como para la gestión de riesgos. Algunos ejemplos de controles a implantar serían los siguientes:
- Control de accesos físicos y tecnológicos.
- Gestión de incidentes
- Gestión de infraestructura tecnológica
- Seguridad física
- Auditorías informáticas
- Pruebas de penetración
- Cifrado
- Respaldo y resguardo de información sensible o crítica
- Realización de análisis de riesgos en materia de seguridad de la información, conteniendo los criterios básicos señalados por la norma ISO 27000 y considerando:
- Amenazas
- Vulnerabilidad
- Probabilidad
- Consecuencia/impacto
Con todo ello, se deberá proceder con la determinación del riesgo inherente, tras lo que se deberá evaluar la efectividad de los controles existentes, de forma que obtengamos un nivel de riesgo residual.
- Definir o actualizar los planes de contingencia y continuidad del negocio y cronograma de implementación, así como aplicar el cronograma de implementación de plan de contingencia y continuidad del negocio
- Definir un plan de recuperación de desastres de tecnología de información
- Nombrar comité de seguridad de la información, así como un gerente general o representante legal, un oficial de seguridad de la información y un auditor interno.
Desde GlobalSuite Solutions, con el soporte de nuestro software y de nuestro equipo de consultoría, somos especialistas en ayudar a nuestros clientes a encontrar las soluciones técnicas y legales necesarias para su negocio, en lo relativo a la adecuación legal que requiere cualquier organización en virtud de la normativa en materia de protección de datos, así como de cara a la realización de análisis de riesgos y la implantación de todo requerimiento existente en materia de seguridad de la información o continuidad de negocio.
Es importante resaltar que, de cara a un adecuado cumplimiento de la LOPDP, el hecho de implantar la Norma de control será muy positivo, ya que uno de los requisitos de la LOPDP es la realización de un análisis de riesgos que determine la criticidad de cada actividad de tratamiento de datos personales identificada, con la finalidad de establecer las medidas de seguridad y control requeridas para garantizar los derechos y libertades de las personas.
Además, una vez efectuado el análisis de riesgos, se deberá llevar a cabo una evaluación de impacto (EIPD) sobre aquellos tratamientos que impliquen un alto riesgo para los derechos o libertades de los interesados, con la finalidad de adoptar todas las medidas adecuadas.
En este sentido, si bien algunas de estas medidas deben ser de carácter legal u organizacional, buena parte de ellas son de carácter técnico, por lo que el hecho de implantar esta Norma de control debidamente, además de suponer el cumplimiento de una obligación legal, supondrá mayores garantías en cuanto a disponer de una adecuada confidencialidad, integridad y disponibilidad de la información y de los datos personales objeto de tratamiento.
Por último, se debe destacar la necesidad de cumplimiento de los plazos previstos en la Norma de control, en lo relativo a la implantación de sus diferentes requisitos, ya que varios de ellos cuentan con plazos ya finalizados o próximos a ello, por lo que las organizaciones incluidas dentro del ámbito de aplicación de esta Norma de control, deben poner todos los medios para implantar esta normativa sin dilación indebida.
