Esta semana tuve la oportunidad de ver un anuncio de empleo de una reconocida compañía que presta servicios de asistencia médica de urgencia a domicilio usando ambulancias, y la cual desarrolla proactivamente su negocio en la ciudad de Bogotá. Lo que llama la atención de la publicación de la oferta laboral, que se muestra al final de esta nota, es lo que pide a cambio para otorgar el trabajo ofrecido: “los candidatos deben contar con una base de datos de al menos 1000 registros de posibles clientes, registros que proceden de trabajos previos en los sectores de internet, tv, hogar, servicios funerarios, seguros, tarjetas de crédito, medicina pre-pagada o de créditos a personas naturales”.
El anuncio es claro y explícito: Los candidatos óptimos son los que han trabajado en los sectores anteriormente mencionados y que han obtenido de alguna manera la información personal de los clientes de las empresas en que laboran o laboraron y en las que muy probablemente, desempeñaron el cargo de tele mercaderistas o de asesores de Call Center. En la realidad disponer de una base de datos con 1000 registros de contactos a nivel personal es algo bastante complejo, que para una persona famosa a la que comúnmente le escriben muchos fans le presenta cierta dificultad, más aún para asesor de Call center para el que significaría una tarea titánica dado que se la pasa atendiendo llamadas de trabajo, sin embargo si la procedencia de tal información es de su misma actividad, no presentaría dificultad alguna, lo cual corresponde al interés mostrado en la publicación.
Ese particular anuncio tiene dos graves connotaciones: La primera se refiere a la empresa solicitante, la cual no tiene escrúpulos y considera que es lícito que un empleado sustraiga o copie los datos personales de los clientes de la empresa para la que trabaja, además considera correcto motivar para que empleados de diversas organizaciones procedan a robar los datos a su disposición porque más adelante los compensará con una oportunidad laboral. Esta empresa no solo participa en el ilícito aprovechando la información que entregan los nuevos empleados sino que promueve el delito.
La segunda tiene que ver con los aspirantes que aplican a esta perversa oferta porque se entiende que si aceptaron la propuesta es porque con alta probabilidad sustrajeron previo a su aplicación bases de datos de las empresas en las que trabajaron. Para conocer cuál fue la aceptación del aviso procedí a inscribirme como un aspirante, encontrando en el proceso que otras 52 personas más ya lo habían hecho. Es decir a un día de la publicación de la oferta aparecieron al menos 52.000 registros probablemente muy completos con información de ciudadanos que han depositado la confianza en las empresas de servicios con las que contrataron, dichos registros ahora van y vienen, y dada su procedencia pueden contener además de nombres, domicilio y teléfonos, datos como los patrimoniales, referencias bancarias, laborales, historial crediticio, calificación del riesgo financiero, etc.
Esta situación es demasiado grave para la privacidad de los titulares, y afecta también a los responsables del tratamiento de los datos personales dado que ahora sus bases de datos son controladas por personal que es ajeno a su organización.
Ahora bien, si analizamos profundamente yendo más allá del cometimiento de un posible cibercrimen, aparecen dos preguntas: ¿sobre quién recaerá la culpabilidad de esta situación que se está presentando?, ¿Quiénes responderán económica y penalmente por el uso indebido de los datos? Pues simple, los que justo ahora figuran como responsables de la captura y tratamiento de los datos personales de los titulares afectados porque no tomaron medidas de protección, o las medidas que implementaron fueron insuficientes para asegurar los intereses de cada propietario de la información. Así entonces, las organizaciones que normalmente realizaban su negocio pero que no tuvieron en cuenta las vulnerabilidades ni las brechas en seguridad se ven envueltas en un ilícito y son expuestas a sanciones producto de las violaciones a la privacidad que experimentarán los titulares en adelante.
Y ¿qué sanciones se impondrán? Las económicas y administrativas que proceden de la Superintendencia de Industria y Comercio, las civiles y penales producto de sentencias congruentes con las demandas de los titulares y el daño que se les cause. Sin embargo, los datos personales sensibles de muchas personas ahora se volverán públicos, por lo que la afectación, cualquiera que sea, será irreversible.
Aquí es necesario reiterar que actualmente la evidencia apunta a que los sistemas de seguridad de muchas organizaciones fallaron, facilitando que los ahora aspirantes cuenten con copias de bases de datos extensas a las que pudieron acceder, copiar y ahora distribuir en favor de terceros, pero podría suceder que tales sistemas de seguridad no existían lo que profundizaría el problema para las organizaciones que recopilaron inicialmente los datos, porque era su deber protegerlos, deber que no se limita a disponer de unas políticas, algunos avisos de privacidad y un listado de protocolos, sino que requiere de compromiso, acción y una serie de controles estrictos encaminados a hacer invulnerable su sistema de información o al menos a minimizar las posibilidades de incidentes como el aquí explicado.
Con esto que acontece se puede concluir que no es válido que la organización administre la información basada en principios de confianza sino que debe crear mecanismos precisos para que tal información surta un tratamiento sistemático dentro de los procesos de la empresa, tratamiento que incorpora varios anillos de seguridad distribuidos de tal forma que impidan que uno o varios funcionarios en asociación puedan tomar ventaja de su capacidad de acceso a las bases de datos, recordando que tal implementación se realiza porque es la organización la responsable por la información y no los empleados.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
