Una de las grandes preocupaciones ante el uso de la tecnología, es la exposición de la información personal a riesgos que puedan afectar la intimidad de las personas.  Y es por esto, que cada vez vemos más países comprometidos con el uso adecuado y seguro de los datos personales, a través de la definición de normas que regulen el manejo de la información personal.  

Para garantizar que se dé cumplimiento efectivo a dichas normas de protección de datos personales, un elemento fundamental, es la aplicación del principio de Accountability o de Responsabilidad Demostrada o Proactiva.

La aplicación de dicho principio, no solo requiere el cumplimiento de las normas vigentes aplicable a cada país; sino que también, nos exige apegarnos a los principios para la protección de los datos personales y aplicar medidas técnicas y organizativas apropiadas para garantizar los derechos, libertades y garantías de las personas.

Es por lo anterior, que la protección de la información personal, no se resume nada más en definir medidas de seguridad para el manejo de la información, como tampoco el tener solo canales físicos y digitales para recolectar la autorización del titular de usar sus datos; Sino que, requiere de la gestión de riesgos derivados del uso de la información.

Y es que la gestión de riesgos no solo es el punto partida para la definición de una estrategia de protección de datos personales, sino que es la herramienta que nos permitirá continuamente evaluar los potenciales impactos a las personas a consecuencia de los tratamientos.

De esta manera, es de vital importancia que los responsables del tratamiento, involucren en su estrategia de protección o manejo de datos personales, tanto la gestión de riesgos asociados a la seguridad de la información, como las Evaluaciones de Impacto a la Protección de Datos Personales o EIPD.

Diferencia entre riesgos de seguridad de la información y las EIPD

Ahora, es fundamental que los responsables no cofundan los objetivos de la Gestión de Riesgos de Seguridad de la Información, con los de las EIPD. Recordemos que la gestión de riesgos de seguridad de la información busca  identificar y mitigar los riesgos y el impacto en la información y los sistemas de información; por su parte la Evaluación de Impacto a la Protección de Datos Personales nos permite evaluar de manera anticipada los potenciales riesgos a los que se exponen los datos personales en relación a los tratamientos que se les efectúen y como estos afectan a las personas. En resumen, ambas son necesarias y ninguna de las dos puede ser omitida, ya que para los responsables de los tratamientos, son el insumo necesario para decidir qué medidas se deben implementar y con qué prioridad, a fin de no incumplir la normatividad vigente y no afectar los objetivos organizaciones y los derechos y libertades de las personas.