Aunque anticipamos en este espacio la importancia de proteger la información confidencial (o crítica) en las empresas de cobranza , que reciben de sus clientes o mandantes con un único fin exclusivo, las exigencias son aplicables a corporaciones o empresas de cualquier naturaleza.
La pregunta siguiente es sobre cuáles serían los pasos necesarios para asegurar la integridad, la confidencialidad y la disponibilidad de los datos que se gestionan como “responsables del tratamiento” de datos nominativos, esencialmente de los deudores. Mucho habrá que comprometer cumplirse por quienes presten servicios en base al procesamiento de datos en el encargo de cobranza que se celebra con el acreedor y cliente, porque (i) hay normas legales específicas que establecen pasos concretos –aplicables a cualquier tratamiento- a las cuales sumarse, y, en otro nivel normativo, porque (ii) hay estándares concretos y reconocidos oficial y formalmente en Chile –por el INN- como las Normas ISO 27001 y ss.
Estos estándares de las mejores prácticas que son consensuados internacionalmente, carecen del mérito y el peso de una norma legal general, pero eso no significa que puedan desconocerse. En concreto, no son leyes sino recomendaciones auto-establecidas por la industria informática y de la seguridad, y no son rígidas o permanentes sino que están en constante evolución, en la medida que van cambiando y modernizándose las tecnologías de seguridad.
La norma ISO 27001 define los dominios de seguridad de la información para establecer, implementar y mantener un sistema de gestión de seguridad. Sus objetivos esenciales son salvaguardar “activos” (un concepto esencial), reducir riesgos, asegurar la confidencialidad, integridad y disponibilidad de datos sensibles y proteger los espacios físicos donde se gestionan o almacenan datos sensibles (críticos). Y el estándar fue creado para proporcionar un modelo que permita establecer, implementar, monitorear, revisar y mantener un sistema de gestión de seguridad de la información o SGSI.
Hoy en concreto, se volvió de la mayor importancia la ISO 27701, referida al sistema de gestión de privacidad (léase “de confidencialidad”) de la información. Por apoyarse mediante ella el cumplimiento del RGPD Europeo del 2016/2018 –y su exigencia basal de implementarse medidas técnicas y administrativas de seguridad- y por ser una extensión de las ISO 27001 y 27002, jugará un rol preponderante en Chile con las modificaciones a la actual Ley N°19.628 aprobadas el 2024 y que entrarán en vigencia el año 2026.
En el contexto de los Sistemas de Gestión de Seguridad de la Información (SGSI) y sus controles, la finalidad general de la ISO es proporcionar los requisitos para establecer, implementar, mantener y mejorar de manera continua un sistema de gestión de seguridad de la información, y los sistemas desplegados bajo esta norma (i) buscan mantener la confidencialidad, integridad y disponibilidad de la información (ii) mediante un proceso de gestión de riesgos. Para una organización se trata de realizar una integración en su sistema de gestión que recoja los requisitos comunes y específicos de cada una de las normas.
Como la existencia de amenazas, de posibles riesgos y de que existan brechas de seguridad en los sistemas de información gestionados vía redes es un contexto conocido y abordable, ello debe hacerse siempre preventivamente para ser diligentes, donde las mejores prácticas y los catálogos de medidas de seguridad que pueden adoptarse, para minimizar lo más posible los riesgos, también son conocidos.
¿Acciones concretas?: son múltiples y deben traducirse en “Políticas”. Así por ejemplo, se debe mantener un proceso de autorizaciones que identifiquen y autentiquen los diferentes roles y responsabilidades, y para acciones claves tales como el uso de instalaciones, la entrada de equipos y aplicaciones en producción, las interconexiones y enlaces de comunicaciones, el uso de medios de comunicación y de soportes de información, y para todo, considerándose diversas responsabilidades, según los accesos al sistema sean remotos y desde un dispositivo portátil, o no.
