Quedan menos de siete meses para que entre en vigencia la nueva ley de protección de datos personales en Chile, y aunque muchas empresas creen que el desafío pasa por invertir en tecnología, el problema real es mucho más básico, y más riesgoso.
Hoy, el verdadero punto crítico no está en los sistemas, sino en el desorden.
Desde diciembre, cualquier organización que maneje datos personales, desde grandes compañías hasta emprendimientos, deberá cumplir estándares más exigentes.
Sin embargo, en la práctica, muchas ni siquiera tienen claridad sobre qué información recopilan o cómo la usan. Y ahí comienza el problema.
“El principal problema no es la falta de tecnología, sino la falta de control sobre procesos básicos. Muchas organizaciones no tienen claridad sobre qué datos manejan ni cómo se están utilizando”, señala David Pereira, gerente general de Inside Security.
Mientras tanto, el contexto no ayuda. Cada vez más personas almacenan información en la nube, y al mismo tiempo, la mayoría de las pymes sigue sin medidas mínimas de ciberseguridad. Es decir, más datos circulando, con menos control.
El riesgo no está en el hackeo: está dentro de la empresa
Aunque muchas veces se piensa en ataques sofisticados, los incidentes más comunes tienen otro origen, errores internos.
De hecho, un caso reciente en el sector público evidenció que una filtración no ocurrió por un hackeo complejo, sino por el robo de credenciales a un funcionario. Un acceso indebido, simple, pero suficiente para comprometer información sensible.
Ahí es donde la nueva ley de protección de datos pone el foco. Responsabilidad directa sobre cómo se gestionan estos.
Porque no basta con almacenarlos. Las empresas deberán justificar para qué los usan, limitar quién accede y asegurar que cada tratamiento tenga respaldo legal.
“El uso de datos para ejecutar un contrato no es lo mismo que su uso para otros fines, por ejemplo. Cualquier tratamiento adicional debe contar con autorización expresa”, advierte Pereira, añadiendo que “el consentimiento debe ser claro, específico y separado”.
En otras palabras, se acaba la lógica del “por si acaso”.
Partir por lo básico puede marcar la diferencia
Frente a este escenario, la recomendación no apunta a soluciones complejas, sino a ordenar lo esencial. Saber qué datos existen, dónde están y quién los utiliza puede ser más efectivo que cualquier software sofisticado.
Además, pequeñas acciones, como activar autenticación multifactor, actualizar sistemas o usar contraseñas robustas, pueden reducir de forma significativa los riesgos.
Pero hay un factor que sigue siendo el más débil, las personas.
“La ciberseguridad no es solo tecnología. Si las personas no entienden y manejan los riesgos, las brechas y vulnerabilidades seguirán existiendo”, enfatiza Pereira.
Por eso, la capacitación interna deja de ser opcional. Y para quienes no cuentan con equipos especializados, externalizar servicios aparece como una alternativa concreta para cumplir sin improvisar.
“No se trata de hacer todo de una vez, sino de partir por lo esencial y construir desde ahí”, concluyen desde Inside Security.