CyberSession #7 | «Sólo un 30% de las compañías logra aprobar y sacar adelante un proyecto de gobierno de datos». Entrevista con Andrés Pumarino, abogado especializado en tecnología

Las CyberSessions de ITSitio tienen como objetivo entregar información sobre ciberseguridad de la mano de especialistas en la materia en contexto de la entrada en vigencia en Chile de la nueva Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información. En este episodio, Andrés Pumarino, abogado especialista en tecnología, habló de la importancia del gobierno de datos para hacer frente a nuevas regulaciones como la Ley Marco de Ciberseguridad y la Ley de Protección de Datos Personales.

El 2025 será para las organizaciones chilenas un año para prepararse ante nuevos marcos regulatorios. El año pasado, en septiembre, la nueva Ley de Delitos Económicos sumó otra pieza al escenario conectando los delitos económicos con los informáticos y poniendo como relevante el desafío que enfrenta el mundo de hoy: los ciberataques y el robo digital de información.

Además, durante 2024 se aprobaron y publicaron dos leyes que apuntan a preparar al país para este escenario actual: la Ley Marco de Ciberseguridad y la Ley de Protección de Datos Personales.

«Esto es un proceso que está en marcha, que después de un ataque que sufrió un banco del país, un banco de cobertura nacional, significó una reforma en diversas temáticas», explicó el abogado sobre la puesta en marcha de la Ley Marco de Ciberseguridad. Otra de las novedades legislativas de 2024 fue la aprobación y publicación de la Ley de Protección de Datos Personales, un cuerpo normativo que estuvo siete años en discusión. Esa ley, entrará en vigencia en 2026, representando un cambio de paradigma en la forma de tratar datos para todas las organizaciones, independiente de su tamaño o rubro.

«Teníamos una responsabilidad como país, había compromisos ante la OECD, ante la Unión Europea de poder tener esa ley ya aprobada y publicada y ahora viene lo más difícil, que es la preparación y la instalación a nivel nacional», sostuvo Pumarino acerca de esta regulación. «Estamos viendo que hay un proceso de transformación y adecuación institucional, tanto en el sector público como en el sector privado», agregó.

Modelo de prevención: un desafío para la protección de datos en organizaciones chilenas

En diciembre de 2026, entrará en vigencia la nueva Ley de Protección de Datos Personales. La misma, establece categorías y protocolos para el tratamiento de este tipo de datos en los distintos estamentos de las organizaciones y cambia el paradigma local en esta materia.

«Es un gran proyecto instalar un modelo de prevención de infracciones en materia de protección de datos personales», explicó Pumarino sobre una de las estrategias que se espera que las empresas implementen. «Esto va a significar, primero, el entendimiento por parte de las empresas de que hoy sus activos no solamente son activos físicos, sino que hay también activos de información», detalló.

«Esto obliga a entender, desde la dirección, la importancia de los datos. Los directores de empresas tienen que especializarse, entender hoy la responsabilidad que tienen de comprender que la compañía no solamente tiene activos físicos, sino también datos», especificó el abogado acerca de la relevancia de que esta cultura permee primero en los altos cargos.

«Sólo un 30% de las compañías logra aprobar y sacar adelante un proyecto de gobierno de datos». Este dato, aportado por el especialista, es un punto importante a la hora de advertir los puntos u oportunidades de mejora en las organizaciones, en vistas de las nuevas leyes. «Terminan desarmándose las áreas, se venden como grandes proyectos y caen también como se venden», puntualizó el abogado.

CyberSession #7 ¿Cómo lograr una cultura de ciberseguridad en las organizaciones?

Al ser consultado sobre este tópico el abogado fue claro. La mirada debe partir desde el directorio. «El conocimiento, la formación que necesitan es fundamental ¿Y cómo se puede generar? A nivel de capacitación al directorio», sostuvo.

En esta línea el abogado manifestó que, de acuerdo al nivel dentro de la compañía, son los tiempos disponibles para capacitar a los equipos. «A nivel de capacitación al directorio te dan 15 o 20 minutos para poder hablar.Para nivel gerencial, puede haber un poco más (de tiempo), pueden ser 30 o 40 minutos. A nivel de equipos operativos tácticos,  se puede tener ya un plazo mayor, de tal manera de generar un plan de trabajo que les permita prepararse. Y ese plan de trabajo va a estar asociado a las áreas o departamentos», especificó sobre cómo se lleva a cabo el trabajo de formación en estas áreas.

Una de las cuestiones centrales de estas regulaciones es que impactan de forma transversal a las compañías. No se restringen únicamente a los departamentos TI sino que cascadean y se hacen parte de todas las áreas. Un ejemplo de esto son los equipos de Marketing o las agencias que trabajan con datos o leads. Para profundizar sobre el tema, Pumarino explicó: «Los departamentos que manejan marketing, con todo el marketing digital y los datos, los departamentos a nivel de operaciones, dependiendo si gestionan leads, datos, gente o call centers, todo lo que dice relación también con las operaciones de tratamiento de datos y ahí vienen actividades en todas las anteriores, de registro de tratamiento de datos o de preparación a nivel del cumplimiento».

Y finalizó con una aclaración respecto a los puntos que requiere la Ley Marco de Ciberseguridad. «Lo que pide la Ley Marco de Seguridad es la preparación técnica desde la (norma) ISO 27001, pero también cumplimiento, contratos, cláusulas, reglamentos internos para los que deben prepararse las compañías para hacer frente a eventuales fiscalizaciones».