Necesario conocer ¿para qué piden datos?.
En un mundo cada vez más digital, la protección, resguardo y manejo de los datos personales es fundamental para evitar delitos como el robo o suplantación de identidad, que sólo en 2017 generó a los delincuentes más de 11 mil millones de pesos; sin embargo, el área de oportunidad en esta materia es tan amplia que aún hay quien piensa, «a mí no me pasará».
En opinión de los especialistas de Optimiti Network, la respuesta a la interrogante de ¿quién es responsable de cuidar los datos personales?, la respuesta es simple: Todos. Tanto las empresas que los solicitan para mejorar sus servicios, los gobiernos que los requieren para atender mejor a los ciudadanos, y por supuesto los propios dueños de la información.
En la medida que exista conciencia clara de la importancia de los datos personales, los riesgos relacionados con su mal uso y los derechos que las personas tienen sobre ellos, en México se podrá desarrollar una cultura de protección adecuada, opina Alejandra Pineda, Consultora Ejecutiva de Optimiti Network.
El nombre completo, número telefónico, dirección, datos sobre la licencia de conducir y el comprobante de domicilio son algunos de los documentos que de manera cotidiana son solicitados por empresas, entidades de gobierno y prestadores de servicio; sin embargo, la ausencia de políticas claras sobre el uso y cuidado de esta información abre diversos frentes de riesgo para todas las partes involucradas.
Para desarrollar una cultura efectiva de protección de datos personales, el primer paso es saber que se trata de aquella información que se relaciona con las personas, las identifica y las describe en forma precisa como la edad, domicilio, número telefónico, correo electrónico personal, trayectoria académica, laboral o profesional, patrimonio o el número de seguridad social y la CURP, entre otros.
Sin embargo, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, destaca que también son datos personales aquellos que se relacionen con un individuo identificado o identificable como las bases de datos de clientes, proveedores, empleados, alumnos, padres de familia, formularios de retroalimentación llenados por clientes, contenido de correo electrónico, fotos, grabaciones de circuitos cerrados de televisión, calificaciones y evaluaciones, entre otros.
«Tiene que haber más sentido común cuando se trata de proporcionar nuestros datos personales, no se trata de no dar información así porque sí, sino de saber para qué la piden y cómo la cuidan quienes la están solicitando, así como tener claro con quién estamos relacionándonos a través de los datos personales que ya dimos».
Para Juan Carlos Calderón, Consultor en Cumplimiento Legal en Optimiti Network, leer los avisos de privacidad que por ley las empresas que solicitan datos personales deben proporcionar a sus clientes y usuarios, identificar para qué y quién los pide, son pasos básicos para poder exigir alguno de los Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
«Preguntar si los datos que están siendo solicitados son realmente necesarios para la relación comercial o jurídica que se establecerá, de esta manera se evita dar información de más, nosotros pensamos que tanto para los usuarios como las empresas el manejo de los datos debe tener un aspecto minimalista, es decir, entre menos se otorgue y menos se maneje, es mejor».
Para las empresas, contar con información y datos de sus clientes y usuarios es una pieza clave en su operación; sin embargo, si no existen controles administrativos, físicos y tecnológicos que les permitan garantizar la adecuada protección de esa información, pueden incurrir en faltas graves a la regulación en la materia, sufrir pérdidas económicas y perder confianza y credibilidad en el mercado.
En ese sentido, al interior de las organizaciones la cooperación y trabajo en equipo entre áreas clave como la jurídica, operación y de Tecnologías de la Información (TI) es fundamental para lograr la protección de los datos personales en todos sus ciclos.
«Desde que el dato personal entra a la organización hasta que sea borrado debe existir un ciclo bien definido y esa trazabilidad implica políticas, gestión de accesos, procedimientos adecuados, respuesta a incidentes de seguridad, prevención y capacidad de reacción”.
C$T-GM