Procesamiento de datos: buenas prácticas empresarias como mitigación del riesgo
Indiscutiblemente nos encontramos inmersos en una sociedad atravesada y sesgada por la tecnología. La actividad de todo usuario de redes genera una huella digital, un camino que provee de forma constante e ininterrumpida de datos a diversas organizaciones privadas las cuales los recopilan y procesan con el fin de perfilar al usuario con fines comerciales.
Estos datos, que el usuario, consumidor o titular (se aplica cualquiera de los términos de forma indistinta) brinda de forma tanto consciente como inconsciente son esenciales, pues los mismos, una vez procesados e interconectados generan información, conformando un importante activo económico, siendo en varias ocasiones el mismo, el principal dentro de la actividad económica que desarrolla una empresa más allá de su objeto social.
La seguridad a la hora de resguardar estos datos es uno de los temas centrales de debate contemporáneo.
Sin perjuicio que las empresas han comenzado a prestar especial atención a efectos de implementar técnicas de seguridad por defecto y diseño al procesar datos, los incidentes acaecidos continúan afectando gravemente a los titulares de los mismos, como así también a las empresas responsables de procesamiento, las cuales son pasibles de severas sanciones.
Dentro del derecho interno, conforme la naturaleza riesgosa de la actividad de procesamiento de datos la responsabilidad atribuible será objetiva[1]. Es necesario entonces abordar un exhaustivo análisis legislativo armónico entre:
- 1) los Art. 42 y 43 de la Constitución Nacional como principios rectores en la materia,
- 2) lo normado en el Código Civil y Comercial de la Nación,
- 3) lo regulado en la Ley de defensa del Consumidor 24.240 y
- 4) la Ley de Protección de Datos Personales 25.326 (Art. 2)[2].
Las normas descriptas son de total aplicación ante un reclamo elevado por la eventual víctima de un hecho dañoso. Esto impacta de forma directa sobre la estructura de gastos y costos de la organización sobre la cual recae la solicitud de indemnización.
Siendo que los preceptos jurídicos de las mencionadas leyes, establecen la aplicación de la norma más favorable al titular damnificado y agravando esto los costos que deberá soportar el sujeto responsable, recomendamos a las empresas del sector llevar a cabo aquellas buenas prácticas de "Compliance" en la materia.
Esto responde a dos cuestiones insoslayables: a) en primer término coloca a la organización en un mejor posicionamiento de mercado, siendo más atractiva al momento de evaluar su contratación y b) se mitiga el riesgo de ser pasible de sanciones y/o se disminuye el costo de las mismas.
Surge del sitio web de IBM[3]: "Los costos de brechas de seguridad de datos aumentaron de u$s3.86 millones a u$s4.24 millones, el costo total promedio más alto en los 17 años de historia de este informe".
Ahora bien, conforme lo informado por la entidad referenciada: "La inteligencia artificial (IA) de seguridad y automatización, cuando se implementó completamente, proporcionó la mayor mitigación de costos, de hasta USD 3.81 millones menos que las organizaciones sin ella… ( )… Las organizaciones más avanzadas en su estrategia de modernización de la nube contuvieron la brecha en promedio 77 días más rápido que aquellas en las etapas tempranas de su ruta de modernización."
Es posible arribar a la conclusión de que, aplicando entonces las medidas de seguridad necesarias y atacando los incidentes acaecidos de forma rápida, directa y eficaz, los montos disminuyen sensiblemente.
El promedio de costo por brecha sobre incidente de datos personales, en América Latina, ha alcanzado la cifra promedio en 2021 de u$s1,82 millones por incidente[4].
Conforme las cifras descriptas, no pueden permitirse las organizaciones, entendiendo el desafiante contexto económico internacional en el cual se halla inmersa su actividad económica, soportar erogaciones que afectan severamente el desempeño del normal y habitual giro comercial.
No se debe normalizar el costo de las sanciones que recaen ante un "data breach" como un mero gasto más, ya que el mismo es evitable.
Para concluir, aprovechando que, a la fecha, aún se encuentra en estudio la eventual reforma de la ley 25.326, lo cual podría acarrear un aumento considerable en las sanciones, se recomienda a las compañías nacionales adaptar su operatoria a los requerimientos internacionales, con el objeto de no perder competitividad en primer término, y asimismo evitar el aumento de costos ante daños producto de incidente que involucren fugas de datos.
[1] La Protección De Los Datos Personales Del Consumidor Y Su Importancia Cardinal En Nuestro Sistema Jurídico Argentino. Johanna Caterina Faliero. Revista Luso-Brasileira de Direito do Consumo - Vol. VII | n. 27 | setembro 2017
[2] : La protección de datos personales y los consumidores Autor: Wajntraub, Javier H. Fecha: 2-feb-2005 Cita: MJ-DOC-2826-AR | MJD2826. MicroJuris.com
[3] https://www.ibm.com/ar-es/security/data-breach
[4] https://www.americaeconomia.com/articulos/el-costo-de-las-filtraciones-de-datos-alcanzo-su-maximo-durante-la-pandemia-en-america