La privacidad de datos no es solo una serie de pasos o tareas que realizas; es una filosofía que guía lo que haces para implementar un programa de privacidad. Por lo tanto, adoptar esta filosofía es el punto de partida para que el profesional de la información supere los desafíos de cumplimiento que surgen a medida que crece el volumen de datos.
Actualmente, si trabajas en el campo del control de la información, y a menos que tu organización esté muy adelantada —o tan atrasada que ni siquiera sepa que esto es una preocupación—, probablemente haya mucha discusión sobre lo que se debe hacer para poner a la organización en cumplimiento con la normativa de privacidad.
El concepto principal detrás de la privacidad como una cuestión legal y de cumplimiento en Costa Rica es que prácticamente toda la información personal le pertenece al individuo, quien, dentro de márgenes muy amplios, tiene el derecho de controlar cómo se recopila, almacena, utiliza y comparte dicha información. Aunque este principio puede parecer sencillo, conlleva implicaciones legales profundas, especialmente desde la entrada en vigor de la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (Ley N.° 8968), la cual establece los derechos fundamentales de autodeterminación informativa, acceso, rectificación, cancelación y oposición al tratamiento de los datos personales.
Recuerda que cumplir con la privacidad y protección de datos no es un acto único, algo que haces o implementas y luego olvidas. La privacidad es más bien una postura filosófica que debes adoptar, y que dará resultados en una amplia variedad de procesos, tecnologías y repositorios de datos. Algunos son procesos y documentos estándar, como las políticas de retención de registros y las tablas de temporalidad.
Pero muchos otros, como la necesidad de proporcionar avisos de privacidad, obtener permisos antes de recolectar datos personales y definir períodos de retención, pueden ser nuevos para tu organización y requerir que desarrolles procesos desconocidos o implementes herramientas nuevas o revisadas.
No puedes simplemente conservar la información personal para siempre, almacenada en una base de datos o archivo; por eso, debes tener una tabla de temporalidad y un cronograma de retención. Tal vez necesites descubrir cómo aplicar ese cronograma en un sistema electrónico que no es muy eficiente en la gestión de retención o en un sistema de archivo físico sin control, en caso de no contar con un socio de gestión documental que pueda brindar soluciones eficientes.
Y luego está el tema del acceso: tu política de privacidad de datos debe incluir restricciones de acceso, especificando quién tiene permiso para revisar la información y por qué. La propia naturaleza de la información —por ejemplo, información médica personal o números de cuentas bancarias— puede implicar claramente la necesidad de restricciones de acceso, seguridad de los datos y similares. En cualquier caso, ahora es necesario crear o modificar procesos para garantizar protecciones razonables para esos datos. Para otros tipos de información personal, el acceso de autoservicio a los datos recolectados y el control granular sobre ellos pueden ser habilitados mediante tecnología.
Al final, hay algunos principios generales que deberían servir como marco para prácticamente todas las leyes de privacidad de datos:
Si puede vincularse a un ser humano específico, es información personal. Algunas leyes de privacidad contienen listas específicas de información considerada personal, pero muchas, incluyendo la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (Ley N.° 8968), son mucho más amplias y generales —y el panorama sigue cambiando. Por eso, no es buena idea suponer que cierta información personal no aplica a tu caso.
Menos es más y menos es mejor. Si no necesitas cierta información personal, no la recolectes. Si ya la usaste y no la necesitas más, elimínala. Esta noción de minimización de datos —reducir la cantidad de información personal que tienes— es un principio central en todas las leyes de privacidad de datos.
En caso de duda, informa y pregunta. No siempre es obligatorio informar por qué recolectas información personal ni pedir permiso, pero si el consentimiento es un requisito y no lo obtienes, puedes estar cometiendo un error muy costoso. Nunca está de más informar y pedir autorización.
Nadie debería tener acceso a los datos a menos que lo necesite. La privacidad consiste en mantener secretos, y no es muy secreto si todos en tu organización pueden acceder. Si ahora pueden verlo, eso debe cambiar.
Como puedes ver, garantizar la privacidad de los datos implica mucha ingeniería y reingeniería de procesos, y esto es solo el comienzo. Alinear el concepto básico de cumplimiento con la privacidad —pedir permiso y divulgar el uso de los datos— requiere un esfuerzo considerable y, posiblemente, un presupuesto significativo. Si estás implementando un programa de privacidad de datos, ten esto en cuenta. La filosofía puede parecer simple, pero su implementación rara vez lo es.
Por supuesto, implementar estos principios sencillos es inmensamente complejo. Mientras tanto, observa tu organización y pregúntate hasta qué punto estos principios ya están siendo implementados. Si hay brechas, ya tienes algunos puntos de partida claros para tu nueva iniciativa de privacidad.
Si tu organización desea alcanzar estos resultados, cuenta con Access. Somos especialistas en automatización y gestión documental, ofreciendo desde servicios de digitalización y almacenamiento seguro hasta plataformas de workflow e inteligencia artificial a medida. Contacta a Access y descubre cómo podemos ayudar a implementar estas estrategias, impulsando la productividad y la seguridad de la información en tu empresa. La evolución de la gestión documental empieza ahora – y Access está preparada para guiarte en este proceso.
Share