El cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de lo Particulares (LFPDPPP) debe seguir un flujo tan lógico como un proceso dentro de una organización.
Inicialmente, debemos ubicar todos aquellos archivos, tanto físicos como lógicos, en los que se empleen datos personales; clasificarlos y hacer un proceso lógico para cada uno de ellos. Técnicamente, se deben asociar tanto a activos, como a funciones específicas de los operadores de los diferentes sistemas por los que transcurra la información.
Con ello podemos dotar a los abogados expertos de un cúmulo de datos, para poder establecer la necesidad de un convenio, contrato o clausulado que permita a la organización sobrevivir en caso de una revisión por parte de las autoridades.
Mucho se ha hablado de este tema de las revisiones, y resulta que como puede ser que se den, puede ser que no; pero antes de cerrar la carpeta, debemos ver qué tan responsables somos -como empresa o individuos- de la protección de los datos personales de quienes nos los confían.
Veamos algunos ejemplos de lo que puede pasar si no los manejamos adecuadamente.
Imaginemos una empresa en la que se manejan datos personales, tanto en el área de recursos humanos (INTERNA), como en lo que se refiere a clientes y proveedores (EXTERNA). En esta empresa, los datos personales de recursos humanos se llevan en cuestionarios impresos, que posteriormente se ingresan a los sistemas para ser procesados. ¿Quién es el responsable de estos datos? Comúnmente diremos que sistemas, cuando la realidad es que la información es responsabilidad de quien la recaba.
Luego entonces, ¿eximimos a informática de su responsabilidad? La respuesta es no, ya que el administrador del sistema será responsable de la captura de los datos en el sistema, el responsable de la base de datos –ya que, por cierto, es el administrador de TODAS las bases de datos de la empresa- y será el responsable de los movimientos que se realicen en las bases de datos.
Para ello, debemos tener un control de cambios que nos indique quién, cuándo, por qué y bajo qué autorización se realizaron.
Ahora imaginemos que esta base de datos es respaldada en Texas, en instalaciones que no son propias de la empresa, sino en las de un tercero contratado para este fin. Estas bases de datos se envían en “caliente” a través de un enlace de VPN, recolectando en las sucursales, centralizando en oficinas centrales y enviando a la compañía de Texas, que a su vez tiene su “espejo” en Inglaterra… Ahora, ¿quién es responsable de los datos? La respuesta es TODOS. Ahora surge la pregunta: ¿Y cómo los responsabilizo? ¿Las leyes internacionales son compatibles? Y un largo etcétera de preguntas…
Lo más importante es saber cómo administrar todos estos cambios y autorizaciones para que, en el momento de una pérdida, tengamos los elementos necesarios para emitir un reporte a las autoridades y personas involucradas.
Veamos otro ejemplo del flujo de los datos personales. Ahora un cambio de oficinas obliga a etiquetar cajas con documentos, estos documentos son solicitudes de cambio de cuenta bancaria para el depósito de los empleados en un nuevo banco. Si bien el encargado por parte del área de recursos humanos los marcó adecuadamente, la caja desapareció en el trayecto. No llegó a su destino final. ¿Quién es ahora el responsable de esta pérdida de datos? ¡Los datos no son informáticos! No podemos culpar a informática; son datos físicos, capturados manualmente. ¿Quién tiene el inventario de cuántos formatos se perdieron y de quiénes son estos archivos? ¿Quién será el encargado de dar aviso a las autoridades? ¿Y quién dará aviso a los afectados? Nuevamente, son muchas preguntas.
Un ejemplo más… Ahora una importante empresa recaba información de las transacciones de venta, vía telefónica. Esta información es guardada en bases de datos de una aplicación comercial, desarrollada internamente por los técnicos de la empresa. Las bases de datos las administra un solo técnico. Mientras, el ejecutivo que atiende al teléfono anota el nombre y número de tarjeta del cliente en una libreta. Todos los días, cada uno de los 20 agentes capturan en promedio 300 registros, lo cual nos hace un cálculo de 6,000 registros diarios, que nos arrojan un cálculo de 42,000 registros de transacciones con tarjeta de crédito, por semana. Estas libretas no tienen control alguno y son consideradas artículo personal de cada ejecutivo. ¿Cómo llevar el control de tal volumen de información? ¿Cómo responsabilizar a cada uno de los actores en estas operaciones?
Con todo lo anterior, queda patente que el cumplimiento de la LFPDPPP es algo más que un sistema de cifrado, una certificación en ISO-27000 o PCI, o un aviso de privacidad en internet. Implica la revisión profesional de procesos de negocio que nos arrojen información sobre la forma de tratar cada uno de los datos personales que vayamos a manejar dentro de nuestra institución.
Aquí es donde cobran relevancia soluciones profesionales, basadas en la implementación de un “Modelo de Gestión de Protección de Datos Personales” que además incluye el uso de herramientas en la nube o integración con un GRC, para llevar los controles de forma automatizada. Quedo a sus órdenes en caso de que deseen mayores informes al respecto.