Hoy se repite ilimitadamente que la información es el activo más valioso. Pero todavía, para ingresar en un edificio en Chile es necesario registrar la huella dactilar. Llenar formularios interminables para hacer una compra doméstica es una práctica común. El documento de identidad se solicita para decenas de compras y trámites. Esta voracidad informativa de las organizaciones puede ser inoportuna y hasta imprudente, por lo que desde diciembre de este año y gracias a la Ley N° 21.719 Protección de Datos Personales tendrá que ajustarse a los principios de la ley.

¿Cómo llegamos a solicitar información personal – sensible indiscriminadamente? Tal vez sea por la cultura del por si acaso, una noción que apunta a guardar datos en caso de que haga falta usarlos después y que atenta contra el nuevo principio legal de la minimización. Dar respuesta a la ley chilena será posible al tener en cuenta 2 pilares preventivos fundamentales:

1. Evaluación de riesgos: es una evaluación sistemática de las amenazas que pesan sobre la organización ante el hecho de tratar los datos erróneamente. Responder a este requisito implica identificar cada punto del ciclo de vida del dato donde la confidencialidad, integridad o disponibilidad pueda verse comprometida; y asignar medidas de mitigación proporcionales al riesgo detectado.
2. Evaluación de impacto en la protección de datos (EIPD): Según la Ley 21.719, cuando un proyecto implique el uso masivo de datos personales o vigilancia sistemática, la organización debe documentar una EIPD. Allí se justifica la necesidad del tratamiento, se evalúan los riesgos específicos para el titular (riesgos de privacidad) y se demuestran las salvaguardas implementadas para mitigarlos.

Los riesgos de privacidad son la probabilidad de que los individuos experimenten problemas como resultado del procesamiento de datos, junto con el impacto o la gravedad que esto tendría en caso de ocurrir.

Profundicemos en la EIPD 

De manera análoga al artículo 35 del Reglamento General de Protección de Datos (RGPD), la legislación chilena exige a las organizaciones hacer no solo un análisis de riesgos general, sino un estudio de impacto especial y exhaustivo (EIPD) siempre que el tratamiento de datos represente un alto riesgo. Esto incluye tratamientos como decisiones automatizadas, evaluaciones de perfiles, o el uso de datos sensibles… La ley exige que las organizaciones implementen medidas técnicas, jurídicas y organizativas apropiadas para mitigar estos riesgos antes de iniciar cualquier tratamiento, para prevenir accesos no autorizados y asegurar la confidencialidad.

Si debes hacer una EIPD en tu organización, te contamos que lo mejor es desarrollarla de manera conjunta y coordinada, al involucrar a los miembros del equipo que tienen atribuciones especiales en la materia. Uno de los participantes debe ser el delegado de protección de datos (DPD), quien debería hacer planificación y/o seguimiento de las actividades (para asegurar el cumplimiento), aunque sin asumir responsabilidades operativas, para preservar su independencia.

Para hacer una EIPD eficaz te recomendamos seguir 4 pasos:

1. Definir el contexto y alcance: Comprende el entorno, la finalidad del tratamiento y las categorías de datos personales que se utilizarán en la organización. 

2. Identificación y evaluación de riesgos de privacidad: Detecta escenarios de uso indebido o fallos, al estimar la probabilidad y el impacto severo sobre los derechos fundamentales de los titulares afectados.

3. Selección de medidas de mitigación: Elimina o reduce los riesgos identificados en la medida de lo posible, mientras se implementan controles de seguridad, privacidad y supervisión humana.

4. Documentación formal: Registra sistemáticamente los procesos, responsabilidades y decisiones tomadas en caso de que el riesgo se materialice.

Antes de hacer la EIPD, hacemos la evaluación de riesgos. Pese a que son procesos complementarios, se diferencian porque el EIPD se centra en cuáles son los posibles impactos de la divulgación de los datos (afectación de los derechos y  libertades de los titulares). Por su parte, la evaluación de riesgos permite saber si hay algún dato que tratemos que esté en riesgo. Y si lo está, hay que evaluar en dónde habrá impacto (incumplimiento legal, consecuencias financieras, administrativas, reputacionales y/o vulneración de derechos).

¿Qué norma ISO sirve para abordar estos requisitos legales?

Las organizaciones pueden apoyarse en los estándares ISO porque están hechos para integrar leyes y procesos. Por eso te recomendamos: 

• ISO/IEC 27701: Es la norma determinante cuando los sistemas procesan información de identificación personal, pues aterriza los controles directamente en la privacidad.

• ISO/IEC 27001: Resulta esencial para abordar de forma sistemática la ciberseguridad y la gestión de la seguridad de la información general en la empresa.

• ISO/IEC 42001: En caso de que el tratamiento de datos involucre inteligencia artificial, esta norma formaliza la evaluación de impacto y se integra perfectamente con las anteriores.

La nueva Ley de Protección de Datos Personales en Chile transforma el cumplimiento en un proceso vivo, demostrable y susceptible a las multas. Entender la diferencia entre proteger los intereses financieros de la organización y proteger los derechos fundamentales de las personas es la clave del éxito. Adoptar métodos claros para hacer las EIPD y apoyarse en ISO/IEC 27701 y utilizar plataformas tecnológicas eficientes, no solo librará a las organizaciones de sanciones severas, sino que instaurará una cultura de privacidad y confianza fundamental para operar en la actual economía digital. En la recolección, almacenamiento y tratamiento de datos el verdadero desafío no está solo en pedir menos, sino en saber gestionar el riesgo de los datos que sí se requieren para prestar los servicios.