La Transferencia de Información es más que un contrato y un acuerdo de confidencialidad

Hoy en día es muy habitual que las organizaciones hagan tercerización de una buena parte de sus procesos, esto a raíz que es más importante enfocar los esfuerzos en el objeto propio de la organización que en procesos rutinarios que otras organizaciones pueden realizar de forma más rápida y eficiente. Por ejemplo, es muy común hacer tercerización de la selección y contratación del personal, de las actividades de servicio al cliente, servicio postventa  y Call center, o de los procesos de transporte entre muchos otros.

Si observamos detenidamente la tercerización en términos de implementación, es fácil deducir que requiere un buen proceso de selección en el que se contemple experiencia, habilidad, idoneidad, capacidad para realizar el trabajo, y solidez económica, un contrato bien elaborado que establezca deberes, derechos  y una entrega de resultados con un grado de calidad por parte del encargado, más un acuerdo de confidencialidad que de alguna manera restrinja la divulgación de la información recibida.

Pero lo anterior, bajo la lupa de la Ley 1581, parece no ser suficiente; pues, ahora la Ley exige que además de restringir la divulgación de los datos por parte de los involucrados se debe garantizar la total confidencialidad y seguridad de los datos entregados, lo cual no se puede lograr tan solo con unos acuerdos; esto requiere de diversos controles con un enfoque proactivo en donde se prevengan los incidentes en lugar que se busque contar con herramientas para corregirlos.

Siendo así las cosas, entonces, ¿qué controles se deben considerar?

Las empresas responsables de tratamiento de datos que tercerizan actividades de captura, almacenamiento y uso de la información deberán desarrollar protocolos y procedimientos específicos que incluyan al menos los siguientes seis controles:

• Registros de tratamiento: Se deberá contar con registros detallados acerca de la información transferida y las tareas a realizar sobre los datos que recibe el encargado. El responsable entonces deberá documentar exhaustivamente qué datos comparte, con qué frecuencia y con qué propósito, y deberá contar con mecanismos de supervisión de los mismos cuando los reciba el encargado, permitiendo así la trazabilidad efectiva de las actividades realizadas; pues, dicha traza es el elemento más adecuado para atender cualquier auditoría futura.
• Actualización de Registros con traza de realización: Los registros, además de listar las transacciones, deberán incluir fechas, horas y acciones específicas realizadas por el encargado en relación con los datos transferidos. Esta información proporcionará transparencia y facilitará la detección de posibles anomalías o incumplimientos en los procesos.
• Control de tiempo de permanencia: Por Ley, los datos deben contar con una temporalidad; entonces, el responsable deberá exigir al encargado de tratamiento establecer o cumplir los plazos para la retención de la información, con esto no solo se garantizará que los datos en poder del encargado no existan más allá de su ciclo de vida, sino que se reducirá el riesgo de acceso no autorizado y se cumplirá con la obligación de minimizarlos.
• Controles de acceso a la información: La implementación de controles eficientes para el acceso a los datos es fundamental, tal implementación deberá estar documentada y requerirá de  medidas de seguridad a cargo del encargado; por ejemplo, autenticación de acceso de factor múltiple, escalas de privilegios, o auditorías regulares para monitorear y evaluar los accesos, entre otros.
• Control de Almacenamiento: El lugar en donde el encargado almacena los datos debe ser conocido a plenitud por el responsable, quien deberá entender, como mínimo, el entorno de seguridad que se aplica sobre la información; de esta manera habrá claridad entre las partes, evitando así conflictos legales, y facilitando que se conozcan los riesgos asociados con la jurisdicción de almacenamiento.
• Verificación Periódica: La supervisión permanente será clave para mantener la seguridad de los datos entregados. El responsable deberá establecer un proceso de revisión periódica para asegurarse de que el encargado cumple con todas las condiciones establecidas tanto en el contrato como en los acuerdos de confiabilidad. Se deberá incluir al menos auditorías virtuales, presenciales, revisiones de las políticas de seguridad y pruebas de vulnerabilidad.

Así las cosas, podemos concluir que establecer un contrato y una serie de cláusulas de confidencialidad en los acuerdos de transferencia de datos no es suficiente para garantizar la seguridad de la información; será entonces menester del responsable, adoptar mecanismos específicos, que sean adecuados y eficientes, para que de ninguna manera se deje de supervisar el tratamiento de datos que realiza el encargado.