En otras columnas he abordado la “seguridad de la informaciónâ€, tema que mucha gente sigue pensando que es opcional o un asunto de “mejores prácticasâ€, pero no obligatorio. Esta creencia no podrÃa estar más apartada de la realidad. Un gran número de leyes en México nos obligan a mantener la confidencialidad y/o seguridad de la información, para muestra los siguientes casos:
- Si eres profesionista, la Ley General de Profesiones te obliga a guardar estrictamente el secreto de los asuntos que tus clientes te confÃen;
- Si eres empleado, la Ley Federal del Trabajo te obliga a guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurras directa o indirectamente, o de los cuales tengas conocimiento por razón del trabajo que desempeñas, asà como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa;
- A toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, la Ley de la Propiedad Industrial lo obliga a abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.
- Si eres una persona fÃsica o moral y contratas a un trabajador que esté laborando o haya laborado, o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, la Ley de la Propiedad Industrial establece que serás responsable del pago de daños y perjuicios que le ocasione a dicha persona (fÃsica o moral).
- Si tienes una página web (incluyendo sitios móviles) en donde se realizan transacciones comerciales electrónicas, la Ley Federal de Protección al Consumidor te obliga a:
- Utilizar la información proporcionada por el consumidor en forma confidencial, por lo que no podrás difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente;
- Utilizar alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informarás a éste, previamente a la celebración de la transacción, de las caracterÃsticas generales de dichos elementos.
- Si eres persona fÃsica o moral y tienes una base de datos o das tratamiento a datos personales, tanto en el plano fÃsico como electrónico, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares te obliga a establecer y mantener medidas de seguridad administrativas, técnicas y fÃsicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
- La misma ley establece que:
- Si eres responsable o tercero que interviene en cualquier fase del tratamiento de datos personales, deberás guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
- Si los datos personales son vulnerados (si se te pierden, si hay un acceso no autorizado, si te hackean), deberás informar de forma inmediata a los titulares de los datos, a fin de que ellos puedan tomar las medidas correspondientes a la defensa de sus derechos.
¿Cómo puede fugarse, compartirse o copiarse indebidamente información de la empresa? Las posibilidades son casi tan ilimitadas como nuestra imaginación:
- Salvo los dispositivos móviles de la manzana, casi todos los smartphones y muchas tabletas cuentan con ranura para insertar tarjetas microSD de hasta 64 gigas de memoria.
- Las memorias USB (pen drives) tienen capacidades tan amplias como 128 gigabytes de memoria.
- Los servicios de almacenamiento en la nube (discos duros virtuales) pueden ofrecer de manera gratuita entre 5 y 50 gigabytes de espacio.
- Los correos electrónicos gratuitos permiten el envÃo y recepción de archivos de gran tamaño, y la capacidad del inbox puede ser en algunos casos ilimitada (gmail).
- Existen discos duros miniatura (más pequeños que una cartera) que tienen hasta 500 gigas de capacidad de almacenamiento.
- Por más controles de acceso y “seguridad informática†que tengamos en nuestra empresa, siempre existirá la posibilidad de que un empleado tome fotos a la pantalla de su computadora con su teléfono celular.
Entonces, ante un panorama informático con tantas posibilidades ¿cómo podemos cuidar la información de la empresa no solo para cuidar nuestros secretos o información valiosa, sino para poder cumplir cabalmente con las leyes que nos obligan a hacerlo? Pese a que no existe una fórmula mágica para detener toda filtración o fuga de información, podemos tomar las siguientes medidas para mitigar estos riesgos a gran escala:
- Implementa campañas de concientización al interior de tu organización. Realiza una campaña de concientización entre todos tus empleados, desde los guardias de seguridad hasta los directores, que tenga por objeto que tu fuerza laboral: (a) entienda qué es información confidencial, secreta, sensible o clasificada, y por qué dicha información guarda tal clasificación, (b) conozca las consecuencias legales que pueden surgir si comparte, copia o divulga dicha información, las cuales pueden ir desde una simple amonestación (acta administrativa), hasta el despido o inclusive penas económicas (daños y perjuicios) o corporales (prisión).
- Revisa o elabora contratos con cláusulas de protección. Todo empleado, sea directo o indirecto (outsourcing), debe tener en su contrato individual de trabajo dos cláusulas: la de confidencialidad de la información y la de protección de datos personales. Igualmente importante es tener estas cláusulas en los contratos con tus proveedores de servicios y socios de negocios. No olvides tener tus Avisos de Privacidad (integral, simplificado y corto).
- Desarrolla polÃticas laborales en torno a estos temas. Elabora polÃticas en tu empresa que regulen el uso de recursos informáticos, redes sociales, información confidencial y privacidad. Estas polÃticas deben estar ligadas al Reglamento Interior de Trabajo o idealmente al contrato individual de trabajo de cada empleado. Ellos deben manifestar conocer dichas polÃticas y obligarse a su cumplimiento.
- Adopta medidas de seguridad. Toda empresa (incluyendo particulares) está obligada por ley a tener medidas de seguridad técnicas, fÃsicas y administrativas para proteger sus datos contra robo, destrucción, alteración, uso o acceso no autorizado.
- Elabora un plan de reacción en caso de incidentes. Si existe una vulneración a tu información o bases de datos, debes tener formulado un plan de reacción que incluya al menos: (a) la detección de la información vulnerada, (b) medidas correctivas y preventivas, (c) dar aviso a los titulares cuyos datos personales pudieran haber sido comprometidos, y (d) aplicación de sanciones laborales en caso de que exista responsabilidad, dolo o negligencia por parte de empleados.
- Si se cometió un delito, presenta la denuncia o querella correspondiente ante el Ministerio Público. La gente suele pensar que “no pasa nada†si violenta sus deberes de confidencialidad o seguridad de la información. Mientras no promovamos una cultura de la legalidad, este tipo de acciones seguirán quedando impunes.
Como lo he comentado con anterioridad: ¡la seguridad y confidencialidad de la información es obligación de todos! No importa si tienes o no firmado un contrato o cláusula de confidencialidad, la ley te obliga en la mayorÃa de los casos a proteger la confidencialidad, disponibilidad e integridad de la información.