Ponte en los zapatos del CEO de una startup tecnológica en Chile. Cada día, tu empresa maneja datos personales sensibles, como nombres, números de identificación y detalles financieros de tus clientes. Para ti, proteger esta información, más que una prioridad; es una obligación legal y un compromiso ético.
En este escenario, la Ley 19628 se convierte en una herramienta crucial, ya que garantiza la protección de la privacidad de los datos personales. Comprender y aplicar esta ley fortalece la confianza de tus clientes y garantiza la continuidad operativa de tu negocio.
En este artículo, aprenderás qué es la Ley 19628, su relación y similitudes con la norma ISO 27001, así como algunas diferencias clave que existen entre ellas.
¿Qué es la Ley 19628?
La Ley 19628, conocida como la Ley sobre Protección de la Vida Privada, es una pieza clave de la legislación chilena que establece cómo deben manejarse los datos personales dentro del país. Esta ley proporciona un marco legal sólido y detallado para la protección de datos personales, asegurando que las entidades, tanto públicas como privadas, cumplan con normas estrictas. A continuación, profundizamos en cada aspecto relevante de la ley:
Consentimiento informado:
Más allá de simplemente obtener el consentimiento, la ley requiere que este sea informado y otorgado de manera libre y voluntaria por los titulares de datos. Esto implica que las organizaciones deben proporcionar información clara sobre el propósito del procesamiento de datos, cómo se usarán los datos, y durante cuánto tiempo serán retenidos, antes de recoger cualquier dato personal.
Derecho de acceso y rectificación:
Tienes el derecho de acceder a tus datos para verificar su exactitud y de rectificar, actualizar o eliminar cualquier información incorrecta o recopilada indebidamente. Esto incluye el derecho a ser olvidado, permitiéndote solicitar la eliminación de tus datos personales cuando ya no sean necesarios para los fines que fueron recolectados.
Protección de datos sensibles:
La ley categoriza datos como financieros, de salud o de orientación sexual como especialmente sensibles, y por tanto, sujetos a protecciones adicionales. Errores en el manejo de estos datos pueden resultar en consecuencias legales severas y afectar gravemente tu privacidad y bienestar.
Medidas de seguridad obligatorias:
Las entidades deben implementar y mantener medidas de seguridad adecuadas, que incluyen tanto controles físicos como digitales, para proteger los datos personales de accesos no autorizados, alteraciones indebidas o pérdida accidental. Estas medidas deben revisarse y actualizarse regularmente para adaptarse a nuevas amenazas y vulnerabilidades.
Tratamiento de datos por mandato:
Cualquier mandato para tratar datos personales debe especificar claramente los detalles del uso permitido y las medidas de protección y seguridad a seguir. Esto asegura que los terceros que manejen datos personales en nombre de una entidad cumplan con las normas de privacidad.
Confidencialidad extendida:
La responsabilidad de mantener la confidencialidad de los datos personales se extiende más allá de la duración del empleo o del contrato de quienes los manejan, enfatizando la importancia de la privacidad a largo plazo.
Uso limitado:
La ley prohíbe el uso de datos personales para fines diferentes a aquellos para los cuales fueron recolectados, especialmente en el contexto de marketing o cuando no se basa en necesidades legítimas y objetivas.
Sanciones por incumplimiento:
Las sanciones pueden incluir multas significativas y, en casos más graves, procesos penales contra los responsables del incumplimiento.
Este marco promueve la protección efectiva de la información personal y refuerza la confianza entre los consumidores y las empresas, fomentando un entorno de negocio más seguro y responsable.
Relación entre la Ley 19628 y la ISO 27001
La Ley 19628 y la ISO 27001, aunque abordan la seguridad y la privacidad de los datos desde diferentes perspectivas y ámbitos, se complementan entre sí de manera que juntas ofrecen un marco para la gestión de la seguridad de la información. Aquí te explicamos cómo estas dos regulaciones se relacionan:
Gestión de riesgos:
Tanto la Ley 19628 como la ISO 27001 enfatizan la importancia de evaluar y gestionar los riesgos asociados al tratamiento de datos personales. Mientras la Ley 19628 se centra en proteger los derechos de los individuos y asegurar la confidencialidad, integridad y acceso a sus datos personales, la ISO 27001 proporciona un marco estructurado para mejorar la seguridad de la información en general. Esta normativa no solo cubre datos personales, sino que también protege cualquier tipo de información confidencial, ampliando su alcance a todos los aspectos de seguridad de la información en una empresa.
Medidas de seguridad:
Ambas normativas requieren que las organizaciones implementen medidas de seguridad adecuadas. La ISO 27001 detalla controles específicos y sistemáticos que ayudan a asegurar la confidencialidad, integridad y disponibilidad de la información. La Ley 19628 complementa esto exigiendo que las medidas de seguridad protejan específicamente los datos personales contra el acceso no autorizado y otros riesgos.
Responsabilidad y cumplimiento:
La ISO 27001 ayuda a las organizaciones a cumplir con requisitos legales y reglamentarios como los establecidos en la Ley 19628. Implementando un SGSI conforme a ISO 27001, las organizaciones pueden demostrar que han tomado las precauciones necesarias para proteger los datos personales y, por ende, cumplir con la ley.
En la siguiente tabla, se observan los requisitos de la Ley 19628 con los controles correspondientes de la ISO 27001, en sus versiones de 2013 y 2022:
Diferencias entre la Ley 19628 y la ISO 27001
Aunque la Ley 19628 y la ISO 27001 se complementan en muchos aspectos, también presentan diferencias en su enfoque y aplicación. A continuación, veremos estas diferencias:
Ámbito de aplicación:
La Ley 19628 es específica de Chile y se centra en la protección de datos personales y la privacidad de los individuos. Por otro lado, la ISO 27001 es una norma internacional aplicable a cualquier tipo de información y es relevante para organizaciones de cualquier país.
Enfoque legal vs. enfoque de gestión:
La Ley 19628 tiene un enfoque legal y reglamentario, imponiendo requisitos legales específicos y sanciones por incumplimiento. La ISO 27001, en cambio, proporciona un marco para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI), centrado en la mejora continua y la gestión de riesgos.
Detalles de implementación:
Mientras que la Ley 19628 establece principios generales y derechos específicos que deben ser protegidos, no proporciona una guía detallada sobre cómo implementar estas protecciones. La ISO 27001 ofrece un conjunto de controles y prácticas recomendadas que las organizaciones pueden adaptar a sus necesidades para gestionar la seguridad de la información.
Certificación:
La ISO 27001 permite a las organizaciones obtener una certificación reconocida internacionalmente que demuestra el cumplimiento de sus prácticas de seguridad de la información, lo cual es un recurso valioso para aumentar la confianza de clientes y stakeholders. La Ley 19628 no ofrece un mecanismo de certificación, sino que se enfoca en el cumplimiento legal y las consecuencias del incumplimiento.
La siguiente tabla resalta los keypoints de las diferencias:
Conclusión
La integración de la Ley 19628 y la norma ISO 27001 proporciona un enfoque robusto hacia la protección de datos personales y la seguridad de la información. La Ley 19628 pone énfasis en proteger los derechos de privacidad de las personas en Chile, mientras que la ISO 27001 establece un marco sistemático para la gestión de seguridad de toda la información a nivel organizacional y global.
Cuando implementas efectivamente ambas normativas, no solo aseguras que tu empresa cumpla con las obligaciones legales y mejore la seguridad de los datos, sino que también construyes una base sólida de confianza con tus clientes y socios, algo invaluable en nuestra era digital. Esto es fundamental si tu empresa opera en múltiples jurisdicciones, donde mantener coherencia en las prácticas de seguridad puede simplificar el cumplimiento legal a través de las fronteras.
En Hackmetrix, comprendemos la importancia de la seguridad de la información y el cumplimiento normativo para la operatividad y reputación de tu empresa. Nuestra plataforma de seguridad y cumplimiento está diseñada para ayudarte a lograr la certificación ISO 27001 de manera eficiente. Si estás listo para fortalecer la protección de tus datos y asegurar el cumplimiento con las normativas vigentes, ¡contáctanos!
