Finding The Hidden InfoSec Story

La Política de Privacidad debe encajar como un guante

Photo Credit: Brenda Anderson via Compfight cc
Photo Credit: Brenda Anderson via Compfight cc

De conformidad con la legislación Europea de Protección de Datos, las empresas que tratan datos personales deben implantar las medidas técnicas y organizativas que sean necesarias para garantizar su seguridad, confidencialidad, continuidad e integridad.

No obstante, un programa de privacidad y seguridad debe estar especialmente diseñado para cada empresa o negocio. Como norma general, no hay una única solución para todos los casos.

Las políticas de privacidad y seguridad deben confeccionarse a medida, teniendo presentes diferentes factores, como por ejemplo:

  • El sector de negocio
  • El tipo de datos objeto de tratamiento
  • La visión de la empresa sobre la privacidad y seguridad
  • Las finalidades y medios del tratamiento
  • El volumen que tiene la empresa
  • La red informática
  • El flujo de datos internacionales
  • El puesto o perfil de los empleados
  • Etc.

Si contamos con un programa de privacidad y seguridad individualmente diseñado en consonancia a unas determinadas características, no solo nos ayudará a cubrir nuestras necesidades, facilitando su implantación y haciéndolo duradero en el tiempo sino que también, nos aportará otros beneficios como por ejemplo, optimizar la empresa a nivel organizativo, mejorando el compromiso de los trabajadores y al mismo tiempo, fortaleciendo la confianza de los clientes.

Ejemplo 1

Recientemente, visité una empresa que estaba preocupada por el tratamiento interno de sus datos ya que, hacia poco habían sufrido un uso no autorizado de datos por parte de un antiguo trabajador. Éste se había apoderado ilegalmente  de copias con datos de los clientes de la sociedad  y les intentaba hacer competencia desleal.

La empresa trataba datos personales de sus empleados, clientes y proveedores. En este caso, su principal preocupación eran los datos de sus clientes, pero al ser personas jurídicas y no personas físicas, esta información no se consideraba “Dato personal” y en consecuencia, la normativa sobre protección de datos no era aplicable. Incluso si los trabajadores hubieran firmado una cláusula de confidencialidad, legalmente no sería suficiente para evitar un uso no autorizado de estos datos. En España y otros países Europeos, para evitar la competencia desleal de los empleados, las compañías les hacen firmar un acuerdo de no competencia y les tienen que remunerar con prima durante y después de la relación contractual.

En consecuencia en este caso, algunas de las recomendaciones fueron:

  • Mejorar su red informática con el fin de delimitar los controles de acceso a la información por parte de los usuarios, así como sus privilegios. Por ejemplo, impidiendo la ejecución de copias no autorizadas, bloqueando la utilización de dispositivos personales o memorias, filtrando la utilización del correo electrónico e internet, etc.
  • Todos los empleados firmaron una política de privacidad y seguridad con la finalidad de que conocieran la existencia de todas estas medidas de control y monitorización, sus derechos y obligaciones y las consecuencias derivadas de un mal uso de los datos.
  • También se realizó una evaluación con el fin de determinar qué trabajadores debían firmar la cláusula de no competencia.

Ejemplo 2

Un escenario diferente fue un centro de salud que, trataba datos médicos de sus pacientes y algunos de los terapeutas del centro eran externos, siendo subcontratados. El problema en este caso, no era un tema de competencia desleal sino de riesgo de fuga de datos ya que, cada terapeuta utilizaba libremente sus propios recursos informáticos para tratar los datos.

Además, en relación al tratamiento de datos de salud hay una normativa sectorial que igualmente resulta de aplicación en el tratamiento de datos, derechos de los afectados, en cuanto a la organización de los datos, periodos de retención, etc.

En este caso, las recomendaciones fueron:

  • Establecer un protocolo uniforme para poder acceder a los datos de los pacientes y almacenarlos en un fichero centralizado, conforme la normativa especial referente a datos de salud.
  • Implantar una política estricta de BYOD.
  • Organizar programas de formación para el personal y terapeutas externos, con el fin de advertirlos sobre las cuestiones e incidencias relacionadas con la privacidad.
  • Firmar un contrato entre el responsable del fichero (el centro de salud) y cada encargado del tratamiento (terapeutas subcontratados) detallando las finalidades y medios del tratamiento, derechos y obligaciones de ambas partes y estableciendo importantes consecuencias en caso de incumplimiento.
  • Etc.

Por todo ello, la Política de Privacidad ha de encajar como un guante; cada empresa tiene sus propios problemas, características y sector de actividad. Si la Política de Privacidad no se confecciona a medida, hay un riesgo de que su aplicación práctica acabe siendo mínima o nula. Además, siempre merece la pena intentar mirar más allá y visualizar los problemas relacionados con la privacidad desde un nivel más elevado con el fin de mejorar no solo la política de privacidad, sino también toda la empresa, su organización, efectividad, su reputación, el compromiso del personal y la fidelidad de sus clientes.

 

This analogy was originally published on July 28th and is available in the following alternative languages.

Union_Jack1 Catalan Flag

Author: Laura Vivet

Share This Post On