La Ley de Protección de Datos Personales exige a hoy que todas las organizaciones, así tengan un solo empleado, dispongan de un sistema de gestión adecuado que mantenga controlada y segura toda la información personal que esté bajo su cuidado.
Ahora bien, no siempre dicha información es exclusivamente manejada por la organización responsable de los datos; pues, en innumerables ocasiones sucede que es tratada por terceros que prestan algún tipo de servicio, como sucede por ejemplo con los proveedores de correo electrónico o los de almacenamiento en la nube quienes tienen total acceso a información por el único hecho de ser los propietarios de los dispositivos dónde se alojan los datos; también están los proveedores de mantenimiento de computadores los cuales directamente pueden acceder a los medios físicos de la organización; y por último tenemos a aquellos que suministran plataformas digitales para tareas organizacionales como podrían ser las contables, las de administración de clientes, o las de salud y seguridad en el trabajo; y ello ocurre porque la información circulante en su totalidad es procesada por su propios códigos de programa.
Situaciones como las descritas anteriormente derivan en riesgos a la seguridad y el control de la información; pues, claramente se observa que los datos son manejados por terceros quienes en algún momento podrían exponerlos a un sinnúmero de violaciones sin que el responsable se entere.
Pensar en lo anterior supone una generación de estrés para la organización; dado que, como responsable ante los Titulares y ante la Superintendencia de Industria y Comercio es deber de ella crear suficientes controles para evitar que se produzca alguna fuga o pérdida de información; de no hacerlo así podría hacerse acreedora de onerosas multas y de nocivas sanciones administrativas. No obstante, es posible disipar dicho estrés si se entiende que al hacer acuerdos con terceros que involucren el manejo de datos personales la responsabilidad del tratamiento se puede trasladar al contratista.
Consideremos un ejemplo: usted tiene quizás diez mil clientes a los que requiere contactar para actualizarle sus datos y ofrecerle de forma promocional para el mes en curso algún tipo de producto o servicio de su portafolio, por supuesto que contactar a diez mil clientes en un mes supone una carga operativa para su organización por lo que usted decide contratar a un Contact Center para que realice dicha labor; como consecuencia de su decisión usted tendrá que entregar una base de datos al Call Center para que sea este quien la procese y gestione su tratamiento, entonces aquí usted se preguntará: ¿Copiarán ellos mi base de datos de clientes?, ¿Contactarán a las personas solo para ofrecerles mis productos o también para ofrecer los de otros? ¿Venderán la base de datos a otras organizaciones o quizás se la entreguen a mi competencia?
En esta instancia usted debe comprender que las empresas que usted contrate para que procesen sus bases de datos tanto en forma total como parcial se consideran » Encargados del Tratamiento de Datos » y deben cumplir a cabalidad y en forma continua con las normas establecidas por la Ley para la Protección de Datos Personales; no obstante, que las empresas estén obligadas a cumplir con la Ley no es suficiente, usted tiene que corroborar que efectivamente gestionen los datos en forma segura; pues usted, como líder empresarial, debe asegurar todos los beneficios que esa práctica.
Entonces ¿Qué hacer?
- Usted solo debe contratar servicios de procesamiento de datos con terceros que certifiquen que tienen implementado un sistema de gestión para la protección de los datos personales.
- Asegúrese que las personas autorizadas para procesar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal adecuada. Contemple multas y sanciones en caso de incumplimiento.
- Dentro del contrato, usted debe establecer aspectos técnicos y organizativos obligatorios que garanticen la seguridad de la información.
- Establezca que los datos personales se procesen siguiendo solo las instrucciones documentadas por usted como responsable.
- Establezca cláusulas para evitar que el contratista no contrate a terceros sin autorización previa de su organización.
- Establezca una manera para que se elimine y/o se devuelvan todos los datos personales que tiene el encargado del procesamiento al usted como responsable al finalizar la prestación de los servicios de tratamiento de datos.
- Introduzca reglas dentro del contrato para que el contratista demuestre las obligaciones establecidas se puedan realizar auditorías e inspecciones.
Siempre considere que usted es el responsable de los datos personales que entregan los Titulares; por lo tanto, si requiere ayudarse de terceros contrate solo a aquellas organizaciones que ofrezcan medidas técnicas y administrativas adecuadas, así como garantías suficientes para que el tratamiento de datos que realizarán cumpla tanto con la Ley como con sus expectativas.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
