Veritas Online

Opinión

Diagnóstico de la gestión y cultura organizacional para la eficaz protección de datos personales

noviembre 01
00:00 2014

Los individuos y organizaciones tendemos por regla general a minimizar el nivel de riesgo presente en nuestra vida diaria.

Los individuos dentro de las organizaciones son esenciales para gestionar el riesgo de forma eficaz. La gestión de riesgos es inherente a toda actividad, específicamente en la protección de datos personales no se realiza mediante robots o máquinas, sino por personas, que actúan de forma individual y en grupos.

Las actitudes adoptadas por los individuos son un factor determinante que influye en el resultado final del proceso de gestión de riesgos, estas afectan  cada aspecto del proceso de riesgo incluso si no se es consciente de ello. Entender y gestionar la actitud ante el riesgo incrementa de forma significativa la efectividad de la gestión de riesgos en la organización – por tanto se debe determinar ¿cuales son y qué las afecta?

¿Por qué es recomendable realizar un diagnóstico?

El primer paso para incrementar la eficacia de la Gestión de Riesgos para la Protección de datos Personales consiste en realizar un Diagnostico Integral del estado real del modelo de gestión que ha adoptado la organización, visualizando el nivel de alineación que existe entre la precepción organizacional y los resultados reales del modelo de la gestión.

En forma de ejemplo presentamos datos de cinco procedimientos, que derivaron en sanciones económicas para los responsables por parte del IFAI por la falta alineación entre la percepción de organizaciones e individuos y el nivel Real del modelo de gestión PDP (En todas estas contaban con aviso de privacidad que les permitía percibir encontrarse dentro del  área de seguridad).

  • Responsable: Cadena Farmacéutica; Importe de las multas: $2’000,045.04
  • Responsable: Institución Bancaria; Importe de las multas: $16’155,936.00
  • Responsable: Centro Deportivo; Importe de la multa: $1’246,600.00
  • Responsable: Caja de Ahorro; Importe de la Multa: $2’181,550.00
  • Responsable: Médico Particular; Importe de la multa: $41,874.00  

(Fuente:  Informe del IFAE año 2013 al Congreso de la Unión respecto a la Protección de Datos Personales).

 

Diagnóstico integral del estado actual del modelo de gestión de protección de datos personales en la organización

Un diagnostico integral debería considerar tres etapas:

  1. Nivel de cumplimiento  organizacional en la protección de datos personales (Nivel normativo).
  2. Nivel de eficacia del modelo de gestión de protección de datos personales de las áreas comerciales y de contacto con clientes (Titulares externos) y Titulares internos.
  3. Actitudes y percepciones de riesgos de Individuos y grupos y su alineación entre  los niveles organizacionales (alta dirección Vs. Dirección y encargados de Protección de Datos personales.

Estos aspectos pueden ser evaluados por la organización de forma conjunta o de forma individual, la decisión depende directamente de las expectativas, requerimientos y sobre todo del nivel de percepción y actitud de riesgo presente en los responsables del tratamiento de datos personales.

1. Diagnostico del nivel de cumplimiento  organizacional en la protección de datos personales (normativo):

Objetivo:

Verificar el nivel de cumplimiento normativo y operacional referente a tema de protección de datos personales, dando a conocer las áreas de oportunidad actuales que de ser implementadas disminuyen el riesgo organizacional a posibles sanciones por parte de la autoridad (IFAI).

Metodología:

Herramienta de evaluación que incluya a detalle cada uno de los elementos requeridos por la normatividad vigente en el área de protección de datos personales. Estas áreas en México son:

  • Ley Federal en Protección de Datos Personales en Propiedad de los Particulares.
  • Reglamento de la Ley Federal en Protección de Datos Personales en Propiedad de los Particulares.
  • Lineamientos emitidos por la Secretaria de Economía.
  • Lineamientos y documentos emitidos por el Instituto Federal de Acceso a la Información.
  • Normas internacionales a las cuales se adhiere el estado Mexicano.

Aspectos de evaluación:

Nivel de cumplimiento normativo y operacional de las áreas de la organización que efectúan tratamiento de datos personales.

2. Diagnóstico del nivel de eficacia del modelo de gestión de protección de datos personales de las áreas comerciales y de contacto con clientes y/o titulares externos.

Objetivo

Verificar el nivel de cumplimiento normativo y operacional de las áreas comerciales y/o de contacto con clientes y/o Titulares externos referente a tema de protección de datos personales, dando a conocer las áreas de oportunidad actuales que de ser implementadas disminuyen el riesgo organizacional a posibles sanciones por parte de la autoridad (IFAI).

 

Metodología:

  • Estudios bajo la metodología de Mistery shooper,
  • Sesiones de grupo e
  • Investigación de mercado Cuantitativa y cualitativas.

 

Aspectos de evaluación:

Nivel de eficacia del cumplimiento normativo y operacional de las áreas comerciales y/o de contacto con clientes y/o Titulares externos referente a tema de protección de datos personales.

 

3. Diagnóstico de actitudes y recepciones de riesgos de Individuos y Grupos y de alineación de las mismas entre niveles organizacionales (Alta Dirección vs. Dirección y Encargados de Protección de Datos Personales).

El comportamiento humano en presencia de incertidumbre no siempre es racional, al contar con una mayor comprensión se puede mejorar la eficacia en los resultados de los sistemas de gestión de riesgos que han sido adoptados por la organización. El propósito de esta etapa del diagnostico es contribuir a la creación de dicho entendimiento, abordando cuestiones específicas de las actitudes de riesgo.

El elemento humano introduce una capa adicional de complejidad en el proceso de gestión de riesgos, con una variedad de influencias explícitas o encubiertas. Las cuales actúan como fuentes de sesgo para el proceso de toma de decisiones, las cuales contribuyen a crear actitudes de riesgo preferentes que afectan a todos los aspectos de la gestión de riesgos organizacional.

Siempre existen actitudes de riesgo a nivel individual y de grupos, el evaluarlas y describirlas permite diagnosticar las fuentes de sesgo, dejando al descubierto su influencia en el proceso de gestión de riesgo. El resultado del diagnóstico da lugar a la adopción de medidas tendientes a modificar actitudes de riesgo en las que la situación actual de la organización no es propicia y alineada las mismas al marco de referencia establecido para lograr una eficaz gestión del riesgo.

Objetivo:

  • Verificar el Nivel de eficacia del modelo gestión y cultura organizacional para la protección de datos personales, detectando áreas de oportunidad que incrementen la eficacia del modelo de gestión de protección de datos personales, que de ser implementadas disminuyen el riesgo organizacional a posibles sanciones por parte de la autoridad (IFAI).
  • Detectar actitudes y percepción de riesgo de los individuos y grupos relacionados con del modelo gestión de protección de datos personales y la alineación de las mismas conforme al requerimiento de la Dirección General y/o consejo de administración vs. los niveles directivos y encargado de Protección de Datos personales.

Metodología:

  • Entrevistas personales
  • Sesiones de grupo

Aspectos de evaluación:

  • Nivel de eficacia del modelo gestión organizacional y de la cultura organizacional para la protección de datos personales.
  • Detección de  actitudes y percepción de riesgo de los individuos y grupos relacionados con del modelo gestión de protección de datos personales.

 

Lic. Sergio Salom Posselt

Socio Director de Neural Risk

ssalom@neuralrisk.com

Facebook Comments

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

A %d blogueros les gusta esto: