¿Cuáles son las fallas comunes de las áreas comerciales frente a la protección de datos personales?

La protección de datos personales en el ámbito comercial es una responsabilidad esencial dentro de cualquier organización, especialmente en un entorno donde la información personal se maneja de manera constante; es por ello que la dirección, el oficial de cumplimiento, el  área de calidad y el área técnica se enfocan en que se garantice la privacidad y la seguridad dentro de todos los procesos de la organización. Los errores habitualmente cometidos por los funcionarios reflejan las debilidades de las diferentes áreas y nos guían en la toma de acciones correctivas que nos permitan optimizar nuestros procesos; por lo anterior, en este Blog detallamos las fallas comunes y al final las acciones clave a tomar, que son necesarias para la optimización del área comercial.

Fallas comunes: 

• Capturar datos personales sin un consentimiento expreso, previo e informado por parte de los Titulares (Índice de ocurrencia: Alto): 

En este caso, algunos funcionarios comerciales no obtienen un consentimiento físico de los titulares de los datos, o lo obtienen sin acatar los principios de legalidad y finalidad informada. En innumerables auditorías se ha observado que los asesores o agentes comerciales disponen de información privada de los clientes que no es relevante para la relación comercial con la organización, por ejemplo almacenan la dirección de residencia del cliente, el nombre de su pareja y sus hijos así como sus fechas de cumpleaños. De las entrevistas practicadas a esos funcionarios se detecta que no existen mecanismos para separar los datos derivados de la relación privada que tiene el vendedor con el cliente, y los datos exclusivos de la relación empresa – cliente, por lo que no se conoce qué datos le pertenecen a la organización y cuáles no, y que información cuenta con autorización de uso y cuál no.

• Falta de seguridad de datos (Índice de ocurrencia: Moderado):

Se ha evidenciado la falta de medidas de seguridad adecuadas por parte de los funcionarios comerciales quienes hacen circular la información en un entorno sin cifrado de datos, sin medidas que eviten el robo o la adulteración de los mismos, y sin restricciones al acceso a los sistemas de información. Esto sucede generalmente con Laptops que suelen estar por fuera de las instalaciones de la organización y con los teléfonos inteligentes que usan los funcionarios, los cuales carecen de restricciones de acceso adecuadas, cuentan con contraseñas débiles, y realizan malas prácticas de gestión de conexión a redes, lo que abre la posibilidad de exponer los datos almacenados en ellos a la ciberdelincuencia.

Retención excesiva de datos (Índice de ocurrencia: Moderado):

Algunos funcionarios pueden retener datos personales durante más tiempo del necesario, incumpliendo con las regulaciones de retención y creando riesgos innecesarios.

Uso no autorizado de datos (Índice de ocurrencia: Bajo):

En ocasiones, los funcionarios pueden utilizar datos personales para fines no autorizados, lo que constituye una violación de la privacidad de los titulares. Se ha observado que un vendedor puede compartir su base de datos con otro que no hace parte de la misma organización pero que es un amigo. Esta transferencia de datos personales a terceros sin garantizar que cumplan con las regulaciones de privacidad expone enormemente a la empresa a sanciones

Falta de notificación en caso de violación de datos (Índice de ocurrencia: Bajo):

Es entendible que la organización se intente proteger a sí misma, y que a menudo tienda a no divulgar las infracciones cometidas por sus mismos funcionarios; sin embargo, no notificar a las autoridades y a los titulares de datos en caso de una brecha de seguridad puede tener consecuencias graves para la empresa.

Falta de transparencia (Índice de ocurrencia: Moderado):

La falta de información clara y transparente sobre cómo se utilizan los datos personales de los titulares puede llevar a la desconfianza de los mismos, y al incumplimiento de las regulaciones.

Por supuesto que después de una auditoría este tipo de errores son corregidos de una manera tajante, generalmente a través del régimen sancionatorio; sin embargo, es necesario prevenir que no sucedan, actuando así desde una posición proactiva; ello en lugar de las habituales posiciones reactivas que buscan identificar culpables de acciones que en la gran mayoría de los casos no tienen intención dolosa. Por lo anterior, aquí planteamos una serie de medidas que necesariamente deben ser implementadas, que en términos generales garantizan la no ocurrencia de ese tipo de fallas, y que se hacen parte de las buenas prácticas dentro de la gestión de tratamiento de datos personales, éstas son:

• Concientizar y capacitar al personal en temas de protección de datos personales.
• Desarrollar políticas y procedimientos claros y documentados que regulen la recopilación, uso, almacenamiento y eliminación de la información personal.
• Divulgar en forma generalizada esas políticas y procedimientos de la organización.
• Establecer un proceso de revisión y aprobación para nuevas prácticas relacionadas con datos personales.
• Implementar el registro de actividades de tratamiento en cada área
• Realizar los inventarios periódicos de las bases de datos que tiene cada funcionario que participa en el tratamiento de información personal.
• Mantener un registro de todas las actividades de tratamiento de datos personales, que incluya información sobre la base legal, la categoría de datos, los propósitos, la retención y la transferencia de datos.
• Implementar medidas técnicas y organizativas para proteger los datos personales contra accesos no autorizados, divulgación, alteración o destrucción.
• Encriptar datos confidenciales y establecer contraseñas seguras, así como autenticación de dos factores para acceder a sistemas que contienen datos personales.
• Realizar evaluaciones periódicas de riesgos de seguridad de datos para identificar posibles amenazas y vulnerabilidades en el manejo de datos personales.
• Tomar medidas proactivas para mitigar riesgos identificados.
• Establecer un sistema de monitoreo continuo para garantizar el cumplimiento de las políticas y procedimientos de protección de datos.
• Realizar auditorías internas periódicas y, si es necesario, contratar servicios externos de auditoría.

Después de todo lo anterior podemos concluir que la prevención de errores y la planeación frente a contingencias son las tareas fundamentales en las que debemos enfocarnos como actores dentro la protección de datos personales.