Fortalecimiento del Modelo de Protección de Datos Personales en Instituciones Financieras

Los principios, derechos y deberes que rigen la protección de datos personales en Panamá, suponen colocar en perspectiva las interacciones que mantienen las organizaciones con sus distintos grupos de interés, en donde la experiencia y privacidad de clientes, así como la credibilidad de la marca pueden verse impactadas, si no se cuenta con un modelo de protección de datos personales debidamente controlado y monitoreado.

La Ley 81 de 2019 de Protección de Datos Personales entró en vigor en Panamá mediante el Decreto Ejecutivo 285 del 28 de mayo de 2021. La misma confiere a prospectos, clientes, colaboradores y proveedores (naturales y jurídicos) de las empresas, derechos de acceso, rectificación, cancelación, oposición y portabilidad, así como deberes irrenunciables sobre los datos personales. También, surge la figura del Oficial de Protección de Datos.

La revisión, incorporación y alineación de prácticas de protección de datos personales correspondiente con las disposiciones mencionadas, supone la aplicación de un enfoque estructurado que promueva y facilite una interacción ágil y consistente entre los actores que soportan el modelo, manteniendo el debido apego a los principios que gobiernan la protección de datos personales. Particularmente en el caso de la banca, en febrero de 2022, la Superintendencia de Bancos de Panamá liberó el Acuerdo 01-2022 que reglamenta la Ley 81 para las entidades supervisadas por esta superintendencia y unifica las disposiciones dispersas en los acuerdos vigentes anteriores.

Este artículo busca desde la práctica y desde las experiencias obtenidas al trabajar con diversas organizaciones, presentar un compendio de aspectos que podrían interpretarse como retos para la puesta a tono con respecto a las leyes y regulaciones vigentes, y otros rasgos que al irse adoptando suponen un manejo responsable y adecuado de los datos.

Uno de los retos iniciales con los que se han encontrado diversas instituciones, radica en cómo impulsar adecuadamente la articulación  de la figura del Oficial de Protección de Datos Personales, conociendo que, en ciertos sectores de actividad, existen ciertas restricciones en cuanto a las dependencias que podrían acoger en su estructura a esta figura.

Superado este punto y entendiendo que el posicionamiento del Oficial de Protección de Datos en la estructura organizacional, también puede considerar aspectos estratégicos y de la propia operación de la empresa, el DPO debe empezar a perfilarse, con el debido patrocinio e inyección de recursos, como un orquestador y promotor de buenas prácticas en el uso y protección de datos personales, entendiendo que las dinámicas e interacciones que habitualmente ocurren entre diversos departamentos a nivel interno y con actores externos a la organización, como lo son proveedores y procesadores externos de datos, invariablemente presentarán oportunidades de mejora encaminadas  a velar por el tratamiento responsable de los datos. Esto nos lleva a indicar que durante el proceso de evaluación y selección de la figura del DPO, se sugiere ponderar las capacidades de comunicación asertiva y habilidades personales como la empatía y capacidad de resolución, fundamentales para lidiar con situaciones relativas a la gestión de reclamaciones y/o de posibles discrepancias que se pueden producir entre los criterios empresariales y la interpretación normativa.

Pero ¿cómo puede ir el Oficial de Protección de Datos desplegando y promoviendo acciones de manera ordenada y estructurada, en apego a las leyes, regulaciones y principios que rigen esta materia?

Nuestra participación en diversos proyectos relacionados nos ha permitido acompañar a un número importante de clientes a nivel local y regional, en la definición de una hoja de ruta que le ayude a cerrar posibles brechas de cumplimiento, así como a plantear un horizonte de maduración que sea cónsono con su actividad y dinámica de negocio. Un ejercicio inicial de entendimiento de la ley y de acuerdo(s) vigente(s), frente a la naturaleza del negocio y en apego a doce dominios de maduración, le ayuda a las empresas a moverse de la legislación a la acción.

Estos doce dominios de maduración obedecen a los siguientes temas: Gobierno del Modelo; Mapeo de Datos; Riesgos y Controles; Gestión de la Regulación; Gestión del ciclo de vida de la información; Políticas; Procesos y procedimientos; Seguridad y Privacidad de la Información; Gestión de Terceras Partes; Capacitación y Sensibilización; Monitoreo y Gestión de Incidentes.

Cada uno de estos dominios es soportado por una serie de capacidades específicas que pueden ser monitoreadas y gradualmente integradas y puestas en práctica para el modelo de protección de datos, en alineación a las leyes, regulaciones vigentes y a otras prácticas reconocidas a nivel global.

Con el propósito de presentar una guía práctica que decanta de estos dominios y que ayuda a priorizar sobre aquellos temas que deben ser llevados a la operación, el Oficial de Protección de Datos debe orquestar e impulsar lo siguiente:

• Espacios y métodos de sensibilización dirigidos a alinear a los diversos equipos sobre lo que indican la ley y la regulación al respecto de protección de datos personales.
• Mapeo de políticas y procedimientos existentes relacionados que pueden funcionar como base o verse impactados a la luz de la integración y adopción del modelo de protección de datos.
• Impulsar iniciativas para el mapeo de datos en la organización.
• Identificar proveedores que mantengan esquemas de tratamiento de datos personales.
• Definición de políticas y procedimientos relativos a la protección de datos personales, incluyendo gestión de derechos ARCOP.
• Revisión y ajuste de avisos de privacidad existentes en alineación a leyes y regulaciones en materia de protección de datos.
• Monitorear e impulsar la normalización de estatus de consentimientos de los titulares de datos personales.
• Promover gradualmente la adopción de un enfoque sobre el impacto a la privacidad en el marco de iniciativas de transformación del negocio.

Como se puede observar, la protección de datos no recae solamente en la figura del Oficial de Protección de Datos. El tratamiento responsable de la información personal es deber de cada uno de los colaboradores de una organización y en contextos de alta dependencia digital, donde los datos se convierten en un gran activo, la responsabilidad en el tratamiento puede observarse como un gran diferenciador al momento de hacer negocio y sostener relaciones comerciales.

Nota: las ideas y opiniones expresadas en este escrito son de quienes firman el artículo y no necesariamente representan las ideas y opiniones de KPMG Panamá.

Prohibida la reproducción parcial o total sin la autorización expresa y por escrito de KPMG

###

La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias de ningún individuo o entidad en particular. Aunque procuramos proveer información correcta y oportuna, no puede haber garantía de que dicha información sea correcta en la fecha en que se reciba o que continuará siendo correcta en el futuro. Nadie debe tomar medidas con base en dicha información sin la debida asesoría profesional después de un estudio detallado de la situación en particular.