Establecimiento de Convenios de Cooperación y Accesibilidad de Datos e Información

By /

La expansión de las redes empresariales de proveedores externos, asociados comerciales y socios puede dar lugar a menudo a complejos intercambios de datos que pueden ser opacos y difíciles de medir. Por ejemplo, un proveedor externo que gestiona los sistemas informáticos de una empresa puede tener acceso a información confidencial que no se le ha comunicado de forma intencionada o directa.

Los riesgos de las políticas poco estrictas de intercambio de datos con terceros son muy elevados, como demuestra el Estudio sobre la gestión de riesgos de terceros 2024, en el que el 61% de las empresas informaron de una violación de datos de terceros o de un incidente de seguridad en los últimos 12 meses. Este complejo ecosistema de intercambio de datos acentúa la necesidad de cumplir la normativa. Las empresas deben ser conscientes de los constantes cambios en el panorama normativo y dar prioridad a la protección de datos y la privacidad.

Esquema de las interconexiones en el intercambio de datos entre empresas y terceros

La Complejidad del Intercambio de Datos con Terceros y la Necesidad de Cooperación

El intercambio de datos con terceros abarca diversos escenarios, desde el uso de soluciones de almacenamiento basadas en la nube hasta la externalización del procesamiento de pagos o la atención al cliente. A medida que aumenta la dependencia de entidades externas, resulta fundamental comprender las implicaciones de cada intercambio de datos para el cumplimiento de la normativa.

Para mantener una estrategia proactiva de gestión de riesgos es crucial reconocer la variedad de escenarios de intercambio de datos con terceros y sus repercusiones en el cumplimiento de la normativa. Esto incluye:

  • Almacenamiento en la nube y normativa sobre privacidad de datos: Las empresas suelen utilizar soluciones de almacenamiento en la nube como AWS o Microsoft Azure para guardar datos sensibles de sus clientes. Deben cumplir leyes de protección de datos como GDPR en Europa o CCPA en California. El cumplimiento requiere que el servicio en la nube elegido proporcione medidas de seguridad adecuadas, cifrado de datos y garantías contractuales para proteger la información confiada.
  • Gestión de la información sanitaria personal (PHI): Las organizaciones sanitarias a menudo subcontratan la gestión de la historia clínica electrónica (HCE) a proveedores externos o externalizan funciones como la facturación de pacientes, lo que requiere que el socio comercial acceda a la PHI electrónica.
  • Procesamiento de pagos y PCI DSS: Muchas organizaciones se asocian con servicios externos como Stripe o PayPal para el procesamiento de pagos, compartiendo datos financieros confidenciales como números de tarjetas de crédito.

Marcos Normativos Clave en el Intercambio de Datos Global

Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)

La HIPAA, creada en 1996, protege la información confidencial de los pacientes. Con el auge de los historiales médicos digitales y el aumento de la dependencia de socios externos, es crucial comprender el cumplimiento de la HIPAA para el intercambio de datos con terceros. Esto incluye:

  • Acuerdos de empresa asociada (Business Associate Agreements, BAA): La HIPAA exige que las entidades cubiertas celebren acuerdos de empresa asociada con terceros proveedores que manejen información sanitaria protegida (PHI).
  • Evaluaciones de riesgos y medidas de seguridad: Las entidades cubiertas deben llevar a cabo evaluaciones de riesgo exhaustivas de sus socios comerciales para garantizar que se aplican las salvaguardas necesarias de la PHI. Las evaluaciones deben valorar las medidas de seguridad administrativas, físicas y técnicas del proveedor externo.
  • Formación y concienciación: La HIPAA exige que todo el personal implicado en el manejo de la PHI reciba una formación adecuada sobre la normativa y las políticas y procedimientos de la organización.

Reglamento General de Protección de Datos (GDPR)

Implementado en mayo de 2018, el GDPR es un reglamento integral de protección de datos que rige la recopilación, el procesamiento y el almacenamiento de datos personales de individuos dentro de la Unión Europea. Los principios clave incluyen la minimización de datos, la limitación del propósito y la garantía de medidas de seguridad adecuadas para proteger los datos personales.

  • Acuerdos de procesamiento de datos (APD): El GDPR exige que las organizaciones celebren Acuerdos de Procesamiento de Datos con proveedores externos que procesen datos personales en su nombre.
  • Evaluaciones de impacto sobre la protección de datos (EIPD): Las organizaciones deben llevar a cabo DPIA para evaluar los riesgos potenciales asociados con el intercambio de datos de terceros y el posterior procesamiento de datos personales.

Ley de Privacidad del Consumidor de California (CCPA)

Promulgada en enero de 2020, la Ley de Privacidad del Consumidor de California (CCPA) es una normativa de privacidad de ámbito estatal cuyo objetivo es mejorar los derechos y la protección de la privacidad de los consumidores residentes en California.

  • Acuerdos con proveedores de servicios: En virtud de la CCPA, las organizaciones deben establecer acuerdos con terceros vendedores, conocidos como proveedores de servicios, que procesen información personal en su nombre.
  • Diligencia debida de los proveedores: Al igual que el GDPR, la CCPA exige que las organizaciones ejerzan la debida diligencia al seleccionar y contratar proveedores de servicios externos.

Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS)

Desarrollada originalmente en 2004 y ahora en su versión 4.0, la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) pretende mejorar la seguridad de los datos de los titulares de tarjetas y facilitar la adopción generalizada de medidas coherentes de seguridad de datos en todo el mundo. La norma está diseñada para garantizar que las organizaciones dispongan de los controles y procedimientos adecuados para proteger los datos de los titulares de tarjetas.

  • Evaluaciones de proveedores externos: Para mantener el cumplimiento de la norma PCI DSS, las organizaciones deben actuar con la diligencia debida al seleccionar proveedores externos que manejen datos de titulares de tarjetas. Este proceso implica evaluar el estado de cumplimiento de la norma PCI DSS, las medidas de seguridad y las prácticas de tratamiento de datos del proveedor.
  • Requisitos PCI DSS para proveedores de servicios: Terceros proveedores de servicios que procesan, almacenan o transmiten datos de titulares de tarjetas deben cumplir los requisitos de PCI DSS.
  • Acuerdos contractuales y responsabilidades: Las organizaciones deben establecer acuerdos contractuales con proveedores externos, en los que se describan sus responsabilidades en el mantenimiento del cumplimiento de la norma PCI DSS.

Sistemas de Gestión del cumplimiento normativo en entidades públicas y privadas. Servicios jurídicos

Estrategias Proactivas para la Gestión de Riesgos y el Cumplimiento

Múltiples normativas, como el GDPR y la CCPA, comparten similitudes en sus objetivos de protección de datos. Para navegar por el complejo mundo del intercambio de datos de terceros y el cumplimiento de la normativa, es esencial invertir en estrategias sólidas de gestión de riesgos y mantener acuerdos contractuales claros. Las consideraciones clave incluyen:

  • Mapeo e inventario de datos: Mantenga un registro actualizado de todos los datos personales procesados dentro de la organización, incluidos los datos compartidos con terceros proveedores.
  • Evaluación y supervisión continuas: Realice evaluaciones periódicas de los controles de privacidad y seguridad de datos de terceros y valide la eficacia de dichos controles con métricas cibernéticas observables.
  • Acuerdos contractuales claros: Firmar un contrato sentará las bases de la relación que se establecerá entre ambas partes, fijando los compromisos que se adquieren mutuamente. También es recomendable establecer los niveles de servicio prestado esperados, así como las penalizaciones por incumplimiento o las garantías existentes.
  • Medidas de protección de la información: Cuando la empresa requiera la prestación de un servicio externo en el que el proveedor deba tener acceso a información de la empresa, habrá que establecer las medidas de protección aplicables, por ejemplo, realizar una clasificación o utilizar técnicas de cifrado.
  • Controles de seguridad del proveedor: Se establecerán controles de seguridad si contamos con proveedores que utilizan sus propios sistemas para gestionar la información de la empresa, ya que en estos casos la seguridad estará supeditada a la del propio proveedor.
  • Contratos de confidencialidad: Establecer un contrato de confidencialidad con el proveedor de un servicio cuando este va a gestionar la información confidencial de la empresa es la forma más idónea para proteger los propios datos y la compañía. Esto evita que puedan hacer un mal uso de la información, y en caso de hacerlo y sufrir algún perjuicio, se podrá presentar un contrato firmado que atestigüe la relación que se estableció.

El Marco Normativo Chileno para la Protección y Gestión de Datos

Navegar por el complejo mundo del intercambio de datos de terceros y el cumplimiento de la normativa es un reto continuo en todos los sectores. En este artículo se hace hincapié en la HIPAA, el GDPR, la CCPA y la PCI DSS, pero hay muchas otras normativas regionales, sectoriales y mundiales que regulan las prácticas de intercambio de datos con terceros. En el contexto chileno, la legislación ha evolucionado para abordar estos desafíos.

Ley 19.628 sobre Protección de Datos Personales: Una Visión General

La Ley 19.628 de Chile sobre Protección de Datos Personales es la normativa fundamental en esta materia. Para titulares de datos, responsables de tratamiento y profesionales del derecho, comprenderla a fondo es esencial. La norma legal en Chile que vela por la protección de los datos personales es la Ley 19628 sobre Protección de los Datos Personales, actualmente llamada Ley de Protección de la Vida Privada.

Propósito y Vigencia

Su objetivo principal es establecer reglas claras para quienes recolectan y usan la información personal, asegurando que lo hagan de forma legal, transparente y respetando los derechos. Busca un equilibrio: permitir que las organizaciones usen datos para funcionar, pero protegiendo al mismo tiempo la privacidad. La Ley 19628 fue promulgada originalmente en agosto de 1999. Aunque es una ley "antigua", su relevancia ha aumentado exponencialmente con el auge de internet, las redes sociales, el comercio electrónico y la inteligencia artificial, y ha sido actualizada recientemente para adaptarse a los nuevos desafíos digitales.

La Ley 21.719, promulgada en diciembre de 2024, no reemplaza la Ley 19.628, sino que la actualiza y la moderniza profundamente. Introduce cambios muy importantes para fortalecer la protección de datos, como la creación de una Agencia de Protección de Datos, nuevos derechos para los ciudadanos y obligaciones más detalladas para las empresas. La mayoría de las disposiciones de la Ley 19.628, con las modificaciones introducidas por la Ley 21.719, tendrán una vigencia diferida hasta el 01 de diciembre de 2026. Sin embargo, es crucial empezar a prepararse desde ahora, ya que la "marcha blanca" ya comenzó.

Alcance y Aplicabilidad

La Ley 19.628 es muy amplia en su alcance. Se aplica a cualquier persona, ya sea natural (individuos) o jurídica (empresas, organizaciones), que realice tratamiento de datos personales en Chile. Esto incluye grandes empresas, PYMEs, organizaciones públicas y sin fines de lucro, profesionales independientes, e incluso individuos que, por ejemplo, tengan una base de datos de clientes o contactos para fines comerciales.

La ley también puede aplicar a empresas extranjeras que no tienen oficinas físicas en Chile si ofrecen bienes o servicios a personas que están en Chile, o monitorean el comportamiento de personas que están en Chile (por ejemplo, a través de cookies en un sitio web). El comercio electrónico, las aplicaciones móviles y los servicios online que se dirigen al mercado chileno están generalmente cubiertos por la ley.

Tipos de Datos Protegidos y Tratamiento

La Ley 19.628 protege una amplia gama de datos personales, incluyendo datos identificativos (nombre, RUT, domicilio), datos económicos y financieros, académicos y laborales, de ubicación, y de navegación y comportamiento online. La ley considera "dato personal" cualquier información que pueda vincularse a una persona natural identificada o identificable.

  • La diferencia clave entre "dato personal identificado" (identidad directamente determinada) e "identificable" (identidad que puede ser determinada al combinarlo con otra información) es crucial, y la ley protege ambos tipos.
  • Los "datos personales sensibles" son aquellos que la ley considera especialmente delicados porque revelan información muy íntima y personal (características físicas o morales, hechos de la vida privada, salud, orientación sexual, creencias políticas o religiosas, datos biométricos). Su protección es reforzada, requiriendo generalmente consentimiento expreso y específico, finalidades legítimas y proporcionadas, medidas de seguridad más estrictas y limitaciones a su cesión.

El "tratamiento de datos personales" es un término muy amplio que abarca cualquier cosa que se haga con datos personales, desde recolectar, procesar, almacenar, comunicar, transmitir hasta utilizar los datos para cualquier fin. El "responsable de datos" es la persona natural o jurídica que toma las decisiones clave sobre el tratamiento de datos personales, es decir, quien decide acerca de los fines y medios del tratamiento.

Excepciones y Ámbito Territorial

Existen algunas excepciones limitadas en las que el tratamiento de datos personales no se rige completamente por la Ley 19.628, como el tratamiento de datos que realicen los medios de comunicación social para opinar e informar (periodismo) o las actividades puramente personales o domésticas. Estas excepciones son interpretadas de forma restrictiva. El "ámbito de aplicación territorial" define dónde geográficamente se aplica la ley, es decir, cuando el tratamiento de datos tiene una conexión relevante con Chile, incluso si la organización responsable no está físicamente ubicada en el país.

Infografía: Diagrama de flujo del proceso de cumplimiento de la Ley 19.628

Desafíos de Accesibilidad de Datos en Chile

A pesar de los avances, existen desafíos significativos en la accesibilidad de datos en Chile. En un análisis jurídico, se ha señalado que la normativa actual impide a las personas con discapacidad acceder en igualdad de condiciones que los demás a su información médica personal. Tampoco se constata la existencia de legislación que obligue a organismos públicos y privados a entregar los registros de información personal en formatos accesibles para personas con discapacidad.

Asimismo, se mantienen vigentes disposiciones que establecen restricciones al acceso a la información personal de personas con discapacidad, como el régimen de incapacidad absoluta por demencia y de sustitución de voluntad mediante representación consagrado en el Código Civil y reforzado por la Ley 18.600.

Si bien la Ley 19.628 busca proteger y regular el tratamiento de datos personales y sensibles, no se encuentra una mención explícita en los términos exigidos por el Comité en relación con la discapacidad. La legislación chilena debería indicar explícitamente los casos en los que podría requerirse información relacionada con la discapacidad y la salud y con qué fin, para prevenir la discriminación por motivos de discapacidad. La ley 21.430 sobre garantías y protección integral de los derechos de la niñez y adolescencia, consagra en su Art. 34 el derecho a la honra, la intimidad y la propia imagen.

Hacia un Sistema Nacional de Gestión de Datos en Chile

En el ámbito estatal, el Estado de Chile ha concretado importantes avances en incorporación de tecnologías y herramientas de protección, manejo e interoperabilidad de datos en pro de mejorar la gestión para la entrega de servicios públicos a la ciudadanía. Sin embargo, a la fecha solo existen normativas con alcances específicos.

Actualmente, no existen reglas o estándares técnicos comunes para intercambiar datos en el Estado. A nivel legal, diversas leyes regulan el intercambio de datos sectoriales, pero no existe un marco sistémico integral; en el ámbito administrativo, se han dictado diversos reglamentos para intercambiar datos con una mirada centrada en los servicios en particular o los sectores en general; y a nivel interinstitucional, los órganos públicos deben recurrir a convenios para intercambiar datos, con todo el peso burocrático que ello implica.

Mapa conceptual sobre el Sistema Nacional de Gestión de Datos en Chile

Por todo lo anterior, el proyecto de ley que crea el Sistema Nacional de Gestión de Datos (Boletín Nº 17.590-05), ingresado a tramitación legislativa el 10 de junio de este año con urgencia simple, busca facilitar que los órganos del Estado y las entidades privadas, cuando corresponda, gestionen y compartan sus datos e información. Este proyecto se enfoca en la ganancia de eficiencia en el sector público y otros organismos estatales, ya que además de los procedimientos para gestionar y compartir datos, no irroga gasto fiscal.

Para eso, crea el Sistema Nacional de Gestión de Datos, un marco de gobernanza para compartir e integrar datos abarcando a los órganos de la Administración del Estado, al Poder Judicial y al Congreso. Los órganos autónomos constitucionales podrán sumarse voluntariamente, así como entidades privadas, universidades y empresas públicas. Además, se fortalece la autoridad técnica de la SGD, que establecerá los estándares y directrices técnicas del Sistema en calidad, interoperabilidad, integración, arquitectura, almacenamiento, preservación, procesamiento, reutilización y análisis de datos e información. Este cuerpo normativo propuesto contempla eliminar la necesidad de celebrar convenios para intercambiar datos e información.

tags: #establecer #convenios #de #cooperacion #y #accesibilidad

Publicaciones populares:

  • Estrategias de apoyo para cuidadores de Parkinson
  • El fenómeno de las pensiones en el anime
  • Este vínculo intergeneracional
  • Servicios de cuidado a domicilio para adultos mayores en Renca
  • Ejercicios para Mayores en Silla de Ruedas