Así como las buenas prácticas en la gestión de captura, tratamiento, almacenamiento y resguardo son importantes para la protección de datos también lo es la ética con un valor preponderante en cualquier proceso de administración de la información; ésta va más allá de la simple necesidad de cumplir con la Ley y se concentra en buscar sobrepasar las expectativas de los individuos que entregan libremente su información personal dado que cuando un titular suministra sus datos lo hace con un sentido de confianza en la institución que se los solicita y esto sucede porque su mente no presume una mala intención o una posibilidad de fraude tal como si sucedería con una entidad que no inspira credibilidad; como consecuencia a esa confianza otorgada la organización que captura los datos deberá seguir una serie de principios éticos que permitan cumplir con esas expectativas de confidencialidad y privacidad que tiene dicho titular.
Tales principios éticos se enfocan en cuatro aspectos esenciales:
1) la transparencia de la información suministrada a los titulares la cual conlleva una comunicación veraz, simple y entendible
2) el respeto a la naturaleza de los datos personales y la protección reforzada que merecen los datos sensibles
3) el rechazo hacia la usurpación de funciones entre el encargado y el responsable del tratamiento de la información personal
4) el interés legítimo en tratar los datos personales.
Tales principios éticos son la base sobre la cual la Superintendencia de Industria y Comercio inspecciona y responsabiliza a las organizaciones actoras dentro del proceso de tratamiento de los datos personales, buscando en cada infracción castigar más la mala fe y la negligencia que el simple error.
A continuación se pueden ver algunos casos:
Los avisos de privacidad son importantes debido a que informan a los titulares cuándo y cómo se procesarán sus datos; en virtud de lo anterior la administración de un edificio decidió colocar un aviso en la recepción para notificar a las personas que llegan allí que cada una está siendo grabada en una un sistema de CCTV, considerando con esto que cumplía con lo exigido por la Ley.
Aunque el aviso en mención indicaba quién procesaba los datos, cuál era la finalidad de la captura, qué derechos tenía el titular y cómo se podía acceder a esos derechos, no indicaba la permanencia de los datos, esto originó que un visitante decidiera denunciar al edificio en vista a que nunca le indicaron el tiempo de permanencia del registro de su visita.
La administración al intentar demostrar a la SIC algún grado de responsabilidad con los datos capturados no pudo entregar un registro de las actividades de procesamiento, no tenía implementados procedimientos para tratar las solicitudes de cada persona que es grabada, no contaba con políticas de retención y eliminación de las grabaciones, tampoco con política para el control de la compañía de seguridad quien era la que realmente verificaba las imágenes. En este caso se pudo verificar que se violaron los principios éticos de honestidad no existiendo transparencia ni veracidad en los datos suministrados a los titulares.
Un segundo ejemplo tiene que ver con la naturaleza de los datos personales capturados dado que se entiende que la organización que los recopila realmente los necesita, aquí entonces aparece en la escena una fábrica que mediante sistemas de video vigilancia busca detectar actividades de fraude o de tipo delictivo dentro de su planta de empleados cuando ellos están en sus instalaciones.
Hasta aquí todo se muestra muy normal, sin embargo, en un proceso de depuración la gerencia de la fábrica buscó personal con tendencia sindical para así cesarlos de su cargo y fue con los audios de las grabaciones con los que se pudo identificar la ideología que tenía cada funcionario. Aquí entonces se violó no solo el principio de finalidad sino que no se respetó el acceso a información sensible razón por la cual la administración de la fábrica cometió en una grave infracción.
Un último caso se relaciona con la diferenciación entre el responsable y el encargado de los datos personales, siendo en la práctica el encargado quien realiza el tratamiento de los datos personales por cuenta del responsable. En el caso expuesto un vendedor hizo el registro de los datos de su cliente tal como lo indicaban los procedimientos, sin embargo con el ánimo de mantener una buena relación con el cliente decidió también registrar los datos personales de los hijos y de la esposa tanto del gerente como del comprador, todo ello para poder ofrecerles detalles los días que correspondieran a los cumpleaños o enviarles tarjetas de agradecimiento.
Hasta ahí todo parecía normal sin embargo la esposa del gerente comenzó a recibir varios correos publicitarios ofreciéndole artículos personales femeninos. En vista que esos correos fueron una sorpresa para ella entonces decidió denunciar el evento para que se investigara. En referencia al caso el vendedor se convirtió en responsable y encargado de la información personal a cuenta propia, no obstante los datos recolectados los obtuvo a nombre de la empresa para la que trabajaba por lo cual como encargado hizo responsable del mal uso de la información al representante legal.
Son ejemplos como los anteriores los que nos hacen concluir que en el ejercicio de la protección de datos personales, las políticas, las normas, procedimientos y la seguridad no son suficientes para garantizar los derechos a la privacidad por parte de los titulares de la información, requiriéndose integrar la ética dentro de la operación, buscando con ella poder anticipar diferentes tipos de circunstancias y eventos no habituales que generalmente se presentan en cualquier proceso.
Cuando un proceso es supervisado por sistemas organizaciones rigurosos fundamentados en principios éticos se minimiza la ocurrencia de infracciones a la ley de protección de datos, ello en virtud a que se impide que entren al escenario tanto errores como infracciones premeditadas.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
