La privacidad de la información es un aspecto de vital importancia para el desarrollo de una organización; pues, adicional a que previene que se ocasionen perjuicios a clientes, proveedores, contratistas o a sus mismos funcionarios, minimiza la posibilidad de afectación a la reputación y a la credibilidad de la misma organización. Esta conclusión nace de observar los diferentes intercambios de información que ocurren dentro de una empresa, ya que en un importante número de situaciones los datos son de alta sensibilidad y confidencialidad, por lo que se exige que se garantice por cualquier medio su reserva y su no divulgación.
Situaciones tan habituales como la elaboración de un contrato implica ligar los datos personales de las partes a ciertas cláusulas que atañen tan solo a un pequeño grupo de personas de la organización y al contratista; o como la solicitud de los estados financieros y de ciertos expedientes específicos del proveedor cuya visualización solo es de interés de las áreas logísticas y legales quienes son las interesadas en verificar que éste cuenta con la capacidad económica, técnica y organizacional para suministrar el bien o servicio a adquirir; o cuando se contrata a un tercero para que envíe a personas en misión a realizar ciertas labores dentro de la organización, en cuyo caso se requieren datos identificativos de los funcionarios autorizados para efectuar la labor, sus afiliaciones de ARL, AFP y EPS, datos de idoneidad técnica, etc.
Derivado de lo anterior se puede concluir que es una obligación de los funcionarios adscritos a las áreas de adquisiciones tomar todas las medidas necesarias para proteger la información personal que llega a sus manos procedentes de sus proveedores, y que es un deber contrarrestar las diferentes amenazas a la seguridad de dichos datos. Pero… ¿Qué medidas se deben tomar como área para que eso ocurra?
Primero que todo se debe entender que la responsabilidad de la seguridad de la información no está sólo asignada al área de tecnología sino al responsable del manejo de los datos, y es justo él, en primera instancia, quien detecta los riesgos y expone a las áreas de seguridad los peligros a que está expuesta la información y las probabilidades de que ésta caiga en manos de personas no autorizadas. Medidas como la de almacenamiento seguro, la de disponer de métodos de cifrado de datos, la de contar con firewalls y/o de controles de acceso son producto de un análisis de los riesgos que ha planteado dicho responsable de la información.
Ahora bien, los funcionarios responsables de los datos dentro del área de compras tienen una segunda intervención en la seguridad, la cual consiste en recibir una solución técnica en seguridad, recibir la correspondiente capacitación de uso y ponerla en práctica; es decir, se debe seguir al pie de la letra todas las recomendaciones dadas por el capacitador para que dicha solución cumpla su objetivo.
Por supuesto que acatar las medidas técnicas no es lo único que se debe hacer, ya que se necesita seguir los estándares administrativos establecidos dentro del gobierno de datos de la organización y cumplir con regulaciones vigentes en protección de datos (Ley 1581 de 2012, decretos reglamentarios y circulares de la SIC); ello no solo mejorará los procesos internos de la empresa sino que evitará acceder a multas y/o sanciones por parte del ente regulador que opera en Colombia. Adicional a lo anterior, cuando las organizaciones dan prioridad a la protección de datos personales generan una imagen positiva tanto en sus clientes como en el gremio al cual pertenecen.
Las acciones más habituales en protección de datos personales que son establecidas en las áreas de adquisiciones y contratación son las siguientes:
- Realizar con todo detalle la verificación de los antecedentes del proveedor cuando éste va a ser un tercero que actuará como encargado de la información que recopila la organización. Aquí se debe constatar que dicho proveedor cuenta con un sistema de gestión PDP debidamente implementado, además se le debe exigir al representante legal de dicha empresa que certifique que todos los procesos de tratamiento de datos personales se realizarán en conforme a las reglas establecidas por la Ley y los estándares técnicos vigentes.
- Redactar contratos con cláusulas entendibles por las partes, elaborando una por cada proceso de tratamiento de datos; en cada cláusula se deben incluir las obligaciones de confidencialidad y protección de la información por parte los funcionarios involucrados que trabajan para el contratista.
- Limitar el acceso a los datos compartidos por la organización dejándolos accesibles tan solo a aquellos funcionarios que el proveedor ha reportado y que el contratante ha aceptado dentro del contrato; esto es indispensable para minimizar el riesgo de exposición accidental o mal uso por parte de los empleados de la empresa contratada.
- Implementar soluciones tecnológicas seguras para el intercambio de información con el proveedor, además de mecanismos de ciberseguridad que protejan los datos estáticos o circulantes manejados por el área de adquisiciones.
- Capacitar a los funcionarios del área en forma periódica, ejerciendo el control del cumplimiento de las prácticas y de las medidas de seguridad implementadas por la organización.
Aquellas empresas que realizan las acciones antes mencionadas y que ejercen su labor conforme a las disposiciones establecidas por la Ley minimizan la exposición de los datos que están en su poder, garantizan un mayor nivel de confidencialidad de los mismos, y reducen la probabilidad de acceder a sanciones producto de un mal manejo de la información recopilada.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
