Por: Joel Gómez
Twitter: @JoelGomezMX
Email: [email protected]
En otras columnas he abordado la āseguridad de la informaciónā, tema que mucha gente sigue pensando que es opcional o un asunto de āmejores prĆ”cticasā, pero no obligatorio. Esta creencia no podrĆa estar mĆ”s apartada de la realidad.
Un gran número de leyes en México nos obligan a mantener la confidencialidad y/o seguridad de la información, para muestra los siguientes casos:
ā¢Ā Ā Ā Si eres profesionista, la Ley General de Profesiones te obliga a guardar estrictamente el secreto de los asuntos que tus clientes te confĆen;
ā¢Ā Ā Ā Si eres empleado, la Ley Federal del Trabajo te obliga a guardar escrupulosamente los secretos tĆ©cnicos, comerciales y de fabricación de los productos a cuya elaboración concurras directa o indirectamente, o de los cuales tengas conocimiento por razón del trabajo que desempeƱas, asĆ como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa;
ā¢Ā Ā Ā A toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeƱo de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, la Ley de la Propiedad Industrial lo obliga a abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.
ā¢Ā Ā Ā Si eres una persona fĆsica o moral y contratas a un trabajador que estĆ© laborando o haya laborado, o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de Ć©sta, la Ley de la Propiedad Industrial establece que serĆ”s responsable del pago de daƱos y perjuicios que le ocasione a dicha persona (fĆsica o moral).
ā¢Ā Ā Ā Si tienes una pĆ”gina web (incluyendo sitios móviles) en donde se realizan transacciones comerciales electrónicas, la Ley Federal de Protección al Consumidor te obliga a:
ā¢Ā Ā Ā Utilizar la información proporcionada por el consumidor en forma confidencial, por lo que no podrĆ”s difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente;
ā¢Ā Ā Ā Utilizar alguno de los elementos tĆ©cnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informarĆ”s a Ć©ste, previamente a la celebración de la transacción, de las caracterĆsticas generales de dichos elementos.
ā¢Ā Ā Ā Si eres persona fĆsica o moral y tienes una base de datos o das tratamiento aĀ datos personales, tanto en el plano fĆsico como electrónico, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares te obliga a establecer y mantener medidas de seguridad administrativas, tĆ©cnicas y fĆsicas que permitan proteger los datos personales contra daƱo, pĆ©rdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
ā¢Ā Ā Ā La misma ley establece que:
ā¢Ā Ā Ā Si eres responsable o tercero que interviene en cualquier fase del tratamiento de datos personales, deberĆ”s guardar confidencialidad respecto de Ć©stos, obligación que subsistirĆ” aun despuĆ©s de finalizar sus relaciones con el titular o, en su caso, con el responsable.
ā¢Ā Ā Ā Si los datos personales son vulnerados (si se te pierden, si hay un acceso no autorizado, si te hackean), deberĆ”s informar de forma inmediata a los titulares de los datos, a fin de que ellos puedan tomar las medidas correspondientes a la defensa de sus derechos.
¿Cómo puede fugarse, compartirse o copiarse indebidamente información de la empresa? Las posibilidades son casi tan ilimitadas como nuestra imaginación:
ā¢Ā Ā Ā Salvo los dispositivos móviles de la manzana, casi todos los smartphones y muchas tabletas cuentan con ranura para insertar tarjetas microSD de hasta 64 gigas de memoria.
ā¢Ā Ā Ā Las memorias USB (pen drives) tienen capacidades tan amplias como 128 gigabytes de memoria.
ā¢Ā Ā Ā Los servicios de almacenamiento en la nube (discos duros virtuales) pueden ofrecer de manera gratuita entre 5 y 50 gigabytes de espacio.
ā¢Ā Ā Ā Los correos electrónicos gratuitos permiten el envĆo y recepción de archivos de gran tamaƱo, y la capacidad del inbox puede ser en algunos casos ilimitada (gmail).
ā¢Ā Ā Ā Existen discos duros miniatura (mĆ”s pequeƱos que una cartera) que tienen hasta 500 gigas de capacidad de almacenamiento.
ā¢Ā Ā Ā Por mĆ”s controles de acceso y āseguridad informĆ”ticaā que tengamos en nuestra empresa, siempre existirĆ” la posibilidad de que un empleado tome fotos a la pantalla de su computadora con su telĆ©fono celular.
Entonces, ante un panorama informÔtico con tantas posibilidades ¿cómo podemos cuidar la información de la empresa no solo para cuidar nuestros secretos o información valiosa, sino para poder cumplir cabalmente con las leyes que nos obligan a hacerlo? Pese a que no existe una fórmula mÔgica para detener toda filtración o fuga de información, podemos tomar las siguientes medidas para mitigar estos riesgos a gran escala:
ā¢Ā Ā Ā Implementa campaƱas de concientización al interior de tu organización. Realiza una campaƱa de concientización entre todos tus empleados, desde los guardias de seguridad hasta los directores, que tenga por objeto que tu fuerza laboral: (a) entienda quĆ© es información confidencial, secreta, sensible o clasificada, y por quĆ© dicha información guarda tal clasificación, (b) conozca las consecuencias legales que pueden surgir si comparte, copia o divulga dicha información, las cuales pueden ir desde una simple amonestación (acta administrativa), hasta el despido o inclusive penas económicas (daƱos y perjuicios) o corporales (prisión).
ā¢Ā Ā Ā Revisa o elabora contratos con clĆ”usulas de protección. Todo empleado, sea directo o indirecto (outsourcing), debe tener en su contrato individual de trabajo dos clĆ”usulas: la de confidencialidad de la información y la de protección de datos personales. Igualmente importante es tener estas clĆ”usulas en los contratos con tus proveedores de servicios y socios de negocios. No olvides tener tus Avisos de Privacidad (integral, simplificado y corto).
ā¢Ā Ā Ā Desarrolla polĆticas laborales en torno a estos temas. Elabora polĆticas en tu empresa que regulen el uso de recursos informĆ”ticos, redes sociales, información confidencial y privacidad. Estas polĆticas deben estar ligadas al Reglamento Interior de Trabajo o idealmente al contrato individual de trabajo de cada empleado. Ellos deben manifestar conocer dichas polĆticas y obligarse a su cumplimiento.
ā¢Ā Ā Ā Adopta medidas de seguridad. Toda empresa (incluyendo particulares) estĆ” obligada por ley a tener medidas de seguridad tĆ©cnicas, fĆsicas y administrativas para proteger sus datos contra robo, destrucción, alteración, uso o acceso no autorizado.
ā¢Ā Ā Ā Elabora un plan de reacción en caso de incidentes. Si existe una vulneración a tu información o bases de datos, debes tener formulado un plan de reacción que incluya al menos: (a) la detección de la información vulnerada, (b) medidas correctivas y preventivas, (c) dar aviso a los titulares cuyos datos personales pudieran haber sido comprometidos, y (d) aplicación de sanciones laborales en caso de que exista responsabilidad, dolo o negligencia por parte de empleados.
ā¢Ā Ā Ā Si se cometió un delito, presenta la denuncia o querella correspondiente ante el Ministerio PĆŗblico. La gente suele pensar que āno pasa nadaā si violenta sus deberes de confidencialidad o seguridad de la información. Mientras no promovamos una cultura de la legalidad, este tipo de acciones seguirĆ”n quedando impunes.
Como lo he comentado con anterioridad: Ā”la seguridad y confidencialidad de la información es obligación de todos! No importa si tienes o no firmado un contrato o clĆ”usula de confidencialidad, la ley te obliga en la mayorĆa de los casos a proteger la confidencialidad, disponibilidad e integridad de la información.
MƔs notas relacionadas:
Tendencias marcadas por el consumidor
La gigante WPP compró Brandigital
Atiende mejor a tu cliente social: Elabora un Playbook