Privacidad en la nube: cómo cumplir con las normativas de protección de datos 

Trabajar en la nube puede significar valiosas ventajas, como mayor escalabilidad, menores costos y acceso a avanzadas herramientas. Ahora bien, también implica importantes responsabilidades. Una de las más relevantes es cumplir con la efectiva protección de datos privados para resguardar los derechos de las personas. Esto requiere aumentar la seguridad de la información, entre otras medidas que te invitamos a conocer. 

Principales normativas de protección de datos aplicables a la nube 

A diferencia de la información pública, los datos de carácter privado demandan una gestión particular en tu empresa. De hecho, al 50% de los chilenos les preocupa un posible mal uso de su información. Por lo tanto, cada vez surgen más leyes en esta materia, con el fin de respetar la vida privada de las personas. 

¿Qué normativas protegen los derechos fundamentales de tus usuarios? Toma nota de estos reglamentos: 

Ley N° 19.628 o Ley de Protección de Datos 

Actualmente, la Ley de Protección de Datos Personales es el principal reglamento para asegurar una óptima gestión de esta información. Aplica tanto en organismos públicos, regulados por el Consejo para la Transparencia, como en las empresas privadas. 

La regla general de la Ley N° 19.628 implica que el tratamiento de datos personales solo puede realizarse cuando esta normativa lo autoriza o si se ha obtenido consentimiento. Igualmente, define cómo se debe gestionar la información de una persona natural, los derechos del titular, las obligaciones de quienes almacenan registros privados y las sanciones que se aplican por un mal uso de ellos. 

Ley N° 21.719 o nueva Ley de Protección de Datos Personales 

Publicada en el Diario Oficial el 13 de diciembre de 2024, viene a reemplazar a la Ley 19.628, y su entrada en vigor será el primero de diciembre de 2026. Desde que era proyecto de ley, esta normativa busca aumentar los derechos de las personas con respecto al uso de su información y crea la Agencia de Protección de Datos Personales. Institución encargada de fiscalizar su cumplimiento y de aplicar sanciones. 

Para comprender la nueva Ley de Protección de Datos Personales es necesario conocer los siguientes conceptos: 

• Dato personal: información vinculada a una persona natural identificable. Por ejemplo, su nombre, cédula de identidad, características físicas, psicológicas o económicas. 

• Dato personal sensible: datos físicos o morales de las personas que pueden llegar a revelar su origen étnico, convicciones políticas, situación económica, identidad de género u orientación sexual, entre otros. 

• Tratamiento de datos: conjunto de procedimientos técnicos que permiten la recolección, procesamiento, transmisión y uso de datos personales. 

• Anonimización: proceso irreversible en el que los datos son transformados para evitar su relación directa con una persona. 

• Seudonimización: gestión de datos que evita la vinculación explícita con una persona, siempre que no se utilice información extra. 

Relación con el Reglamento General de Protección de Datos (RGPD) 

En busca de alcanzar los más altos estándares internacionales, la nueva Ley de Protección de Datos Personales se alinea con el Reglamento General de Protección de Datos de la Unión Europea (RGPD).  

Su promulgación aumenta la seguridad de la información y deja a Chile como un país con un nivel de protección de la vida privada y los datos personales adecuado. Este estatus ante la Comisión Europea viene con los beneficios de facilitar el flujo internacional de datos y mejores prácticas, como regular a las empresas extranjeras que operan en nuestro territorio.  

Requisitos clave para el cumplimiento de la nueva ley 

En el Artículo 19 de la Constitución Política de Chile, se asegura el respeto y protección de la vida privada de las personas, así como de sus datos personales. Este es el fundamento legal de la Ley 21.719. Para respetarlo, debes cumplir los siguientes requisitos: 

1. Establecer una base legal del tratamiento de datos 

Inicialmente, necesitas el consentimiento informado y específico de los usuarios para el uso y gestión de datos de carácter personal. Con esto, obtienes la legitimidad requerida para su tratamiento. 

Del mismo modo, en determinados casos, como la ejecución de contratos u obligaciones legales, puedes apoyarte en normas de la legislación vigente que permitan y justifiquen el libre uso de datos personales, sin necesidad de obtener consentimiento. 

2. Cumplir con los principios de tratamiento 

La próxima ley de protección de datos demanda cumplir diversos principios en el tratamiento de datos, entre ellos: 

• Principio de proporcionalidad: solo debes utilizar datos que se ajusten a los fines que buscas satisfacer.  

• Principio de seguridad: debes implementar medidas de protección que impidan un uso malicioso de los datos, así como su filtración, daño o destrucción. 

• Principio de responsabilidad: como gestor de los datos, debes demostrar el cumplimiento de la ley y asumir la responsabilidad ante los titulares. 

3. Respetar los derechos de los titulares 

También tienes la obligación legal de seguir medidas para la protección de los derechos de los usuarios: 

• Derecho de acceso: los usuarios tienen derecho a saber si sus datos están siendo utilizados, cuáles son y para qué fines. 

• Derecho de rectificación: las personas pueden solicitar la corrección de datos inexactos o incompletos. 

• Derecho a la portabilidad: este derecho implica que los usuarios pueden recibir sus datos de forma estructurada para facilitar su lectura. Asimismo, pueden solicitar el mismo tipo de envío a otros organismos. 

• Derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado: este principio implica que las personas no se pueden ver afectadas por un uso automatizado de sus datos. 

El rol de los proveedores de servicios en la seguridad y conformidad 

Tu proveedor de servicios cloud debe promover un contexto adecuado de trabajo al gestionar datos de carácter personal. Para esto, tiene que ofrecer las siguientes prestaciones: 

Avanzadas medidas de seguridad 

Es fundamental que un proveedor integre una gran barrera de protección en su infraestructura. Con esto, consigue respaldar eficazmente la información que procesan sus clientes en los entornos cloud. Por ejemplo, es indispensable que quien presta servicios de forma remota ofrezca soluciones de seguridad como encriptado, sistemas de autenticación y firewall. 

Comunicación inmediata 

En caso de sufrir un incidente, es clave que el proveedor se comunique inmediatamente con sus clientes, ya sean empresas privadas o instituciones bajo la administración del Estado. De esta forma, las organizaciones pueden tomar medidas que minimicen los riesgos de pérdida o filtración de datos personales, reduciendo al máximo los posibles daños. 

Responder a los requerimientos del cliente 

Las empresas que quieran comprobar el cumplimiento de cada obligación legal que establece la normativa sobre datos personales deben poder obtener respuesta de su proveedor cloud sobre los procedimientos y políticas que aplica para administrar estos recursos en la nube. Así, es posible verificar la confidencialidad e integridad de la información personal que se gestiona.  

Cómo prepararse para los cambios normativos en protección de datos  

¿Cómo puedes prepararte eficazmente ante los cambios normativos que trae la nueva ley? Pon en práctica los siguientes consejos: 

Profundo conocimiento 

Es esencial que comprendas en profundidad el contenido de esta nueva normativa. Esto implica tener claridad sobre las definiciones ya presentadas, como los datos sensibles, la anonimización, los derechos de acceso y rectificación, y los principios que rigen el tratamiento de datos personales, entre ellos la proporcionalidad, la seguridad y la responsabilidad. Asimismo, es importante conocer las sanciones contempladas por la ley, que pueden ir desde advertencias hasta multas económicas, según la gravedad de la infracción. 

Evalúa tu situación actual e identifica brechas 

¿Qué tan lejos estás de cumplir con la nueva normativa? Para respetar su fundamento legal, es indispensable que hagas un diagnóstico de la gestión de datos que desarrollas en la nube. Esto incluye analizar procesos de recopilación, tratamiento, almacenamiento y distribución.  

Así, sabrás en qué ámbitos debes avanzar para una óptima preparación de tu negocio ante el nuevo reglamento general de protección de datos. Al mismo tiempo, podrás reconocer aquellos procesos que quedarán obsoletos y demandan un cambio para el eficaz cumplimiento de la ley. 

Capacitación del personal 

La nueva agencia de protección de datos personales, que reemplazará en el ámbito público al consejo para la transparencia en labores de fiscalización, y que también vigilará el comportamiento de organizaciones privadas, será un exigente guardián en la óptima gestión de información personal. 

Por ende, si no quieres tener problemas ante este organismo, es muy importante que prepares de buena forma a tu personal. Mediante talleres y reuniones informativas, es necesario que eduques a tus empleados sobre el contenido de la Ley 21.719, para gestionar los datos de manera prudente y apropiada. 

Herramientas y certificaciones que ayudan al cumplimiento de la ley N° 19.628 

Puedes buscar obtener respaldos calificados para fortalecer la regla general, así como hacer uso de herramientas avanzadas que demuestren tu real compromiso con la protección de datos de tus usuarios. Entre ellas: 

Norma ISO 27001 

ISO 27001 es una norma elaborada por ISO (Organización Internacional de Normalización) que se enfoca en ayudar a gestionar la seguridad de la información en entornos corporativos. 

Este estándar internacional promueve la adopción de procesos formales para tratar la información, asignar responsabilidades claras, establecer planes y protocolos de seguridad y mantener antecedentes documentados como forma de respaldo. Así, una empresa que tenga esta distinción tiene mayores posibilidades de proteger a sus usuarios, resguardando sus derechos fundamentales definidos en la Constitución Política de Chile. 

Tecnologías avanzadas 

Existen múltiples herramientas tecnológicas que facilitan la protección de los derechos de tus usuarios. Por ejemplo: 

• Sistemas de gestión de identidades y accesos (IAM): con estas herramientas consigues que solo personal autorizado manipule la información pública y privada que gestionas en servicios cloud. 

• Plataformas de gestión de consentimiento: estas tecnologías, que funcionan bajo el marco regulatorio, facilitan el proceso de consentimiento por parte de los titulares de los datos. 

• Herramientas de cifrado: mediante estas soluciones puedes agregar una capa adicional de seguridad de la información en los datos que almacenas en la nube, sobre todo cuando están en tránsito. 

Impacto de la Ley de Protección de Datos en Chile en la nube 

La actualización de esta normativa tendrá un fuerte impacto en la forma en que las organizaciones privadas o bajo la administración del Estado gestionan los datos personales que recopilan. Este nuevo marco legal tiene como prioridad reforzar la seguridad de dicha información, por lo que eleva los estándares conocidos en la materia. 

Quienes usen bases de datos en la nube tendrán la misión de respaldar de mejor forma esta información, con el fin de no comprometer la privacidad de sus usuarios. Por supuesto, esta labor demanda la implementación de medidas de seguridad más avanzadas. Solo así podrán resguardar la integridad de los registros que almacenan. 

La reciente ley publicada en el Diario Oficial implica mayores desafíos de protección, que se ajustan a un mundo mucho más digitalizado. Por lo tanto, la gestión en la nube de información personal representa una nueva prioridad para los entornos corporativos, con el propósito de no afectar a sus usuarios. 

Ley de protección de datos: la importancia de ajustar tu funcionamiento 

Desde que el proyecto de ley se aprobó y fue publicado en el Diario Oficial, su entrada en vigor es inminente. Lo cual es un avance significativo en materia de protección de datos personales.  

En ese contexto, tanto organismos públicos como privados deben ajustar sus procedimientos en la gestión de esta información a la futura legislación vigente. Esto les permitirá respetar el nuevo reglamento e incorporar sus mejoras. 

Si utilizas grandes bases de datos en la nube que almacenan información confidencial de tus usuarios, es muy importante que refuerces el escudo de seguridad de tu ecosistema de trabajo.  Con esto, podrás estar en cumplimiento de la legislación (evitando sanciones), asegurar el normal desarrollo de tus operaciones y mejorar la reputación de tu empresa.