Muchas organizaciones luchan por mantener seguros los datos personales que llegan a su manos, unas lo hacen por sostener su estatus corporativo, otras por proteger los intereses de los titulares y otras porque esa información representa un activo muy valioso que de ninguna manera permitirán que caiga en manos de competidores, por tal motivo han desarrollado ciertas técnicas de manejo de la información, permitiendo que hoy en día se utilicen dos términos: información personal e información personal identificable.
A través del siguiente caso podremos fácilmente entender a qué se refiere cada uno: se parte del hecho que una cadena de supermercados de una ciudad comercializa todo tipo de artículos y desea conocer los hábitos de consumo de sus clientes con la finalidad de crear estrategias de mercadeo focalizadas; su anhelo es segmentarlos por rango de edad, género, barrio, estrato social, frecuencia de compra y preferencias de productos. Para lograr lo anterior se hace uso de un método rápido y eficiente que consiste en dar acceso a promociones a los clientes habituales, ello a cambio que se inscriban en un sistema de fidelidad basado en puntos, de esa manera la cadena de supermercados obtendrá rápidamente la información deseada mientras desarrolla su plan comercial.
Si bien es cierto que, todo hasta aquí parece andar bien, resulta que esa cadena de supermercados comienza a experimentar un problema logístico con los datos capturados, dado que estos fácilmente se convierten en sensibles, ello producto de realizar reiteradamente análisis de los hábitos de consumo a cada una de las personas inscritas. Aconteciendo esto y con el ánimo de resolver este dilema, la cadena de supermercados realiza una maniobra e incluye la expresión «información personal identificable« dentro de los términos y las políticas de protección de datos. Esta categorización no se crea en vano, pues obliga a las áreas de informática a dividir el procesamiento de las bases de datos personales, creando protocolos y esquemas de seguridad diferentes para cada una.
Para poder comprender qué es lo que sucede en ese proceso primero debemos pensar en la definición de “información personal identificable”, que es nada más que aquella que por sí sola sirve para reconocer, ubicar con precisión a una persona, o para ponerse en contacto con ella de forma directa, siendo las formas más habituales de presentación: el número de cédula, los nombres y apellidos, direcciones de correo electrónico, domicilio, números telefónicos y las coordenadas de GPS.
Partiendo de lo anterior se puede intuir que, cuando un analista comercial del supermercado requiere acceder a ciertos datos relacionados con hábitos de consumo, pero las políticas de protección de datos personales impiden que se le entregue información personal identificable, entonces se plantea como solución imposibilitar la lectura de tales datos y más bien dar acceso al resto, facilitando así la ejecución de la labor. En el caso expuesto, no se podrá tener acceso a herramientas de búsqueda que individualiza a las personas y, no se podrán tabular datos que incluyan los campos anteriormente mencionados, permitiendo que no solo se cumpla con la Ley, sino que se restrinja el acceso a la información privada identificable de cualquier persona registrada en la base de datos.
Pero ¿Técnicamente cómo se puede lograr esto? La solución consiste en crear dos esquemas de búsqueda ligados siempre por un número. En el primer esquema se asociarán los datos identificables de los titulares de la información a la factura, a una cantidad de puntos y a un monto de impuestos pagados, en la segunda se asociarán los productos, los demás criterios de análisis y por supuesto el número de factura, y será este último esquema el que quedará disponible para el analista comercial, de esa manera él nunca podrá así lo intente de diversas maneras, identificar a alguna persona en particular. Y mientras todo eso sucede, la base de datos de información identificable se mantendrá separada, resguardada y con un nivel de circulación nulo o marginal que dificultará enormemente la ocurrencia de algún ataque informático, ello en virtud a que su acceso solo se logra a través de los sistemas automáticos de facturación e intercambio de puntos.
Así las cosas, una buena opción para las organizaciones es realizar esta división de los datos y manifestarla en sus políticas, todo con la finalidad de tener un mejor manejo de la información, de segmentar la seguridad y de cumplir eficientemente con las políticas de protección de datos, pero siempre teniendo en cuenta que ambas, tanto la información personal identificable como la no identificable hacen parte de lo que es definido como dato personal dentro de la Ley 1581, por lo que en ambos casos se deberá cumplir con todas las disposiciones que esta Ley establece.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
