Una cadena de farmacias tuvo que pagar más de un millón de pesos en multas por pedir el nombre de los clientes que surtían medicinas sin tener un aviso de privacidad adecuado. Eso fue en 2010. Dos años después, hubo más multas millonarias por no manejar bien la información. Una institución financiera tuvo que pagar más de 13 millones de pesos y una cadena de gimnasios, alrededor de 1.2 millones.

Casos como esos son puestos como ejemplos por directores jurídicos, que quieren que en sus empresas haya más consciencia sobre la responsabilidad de manejar datos. Pavel Villegas, director jurídico del grupo financiero Actinver, señala que hay que difundir “una gran verdad”: No basta con entregar un aviso de privacidad a los clientes.

Actinver ya cumplía con las disposiciones de las autoridades financieras, para proteger la privacidad de sus clientes, pero al ver lo que le pasó a otras empresas, desde 2010 reforzó sus medidas de protección de datos, como parte de una estrategia de seguridad. Es importante que tanto la empresa como sus clientes entiendan qué tan protegidos están los datos y quién es responsable de la seguridad, dice Villegas.

León Felipe Sánchez, abogado experto en propiedad industrial y protección de datos en internet, confirma que muchas empresas creen que basta con haber firmado un aviso de privacidad con los clientes, pero señala que esa es apenas una de las medidas para proteger la información.

Al manejar datos de empleados, clientes y proveedores hay que cuidar dos aspectos, explica Sánchez.

- La privacidad de los datos. Porque el robo de información puede resultar en robo de identidad y de recursos.

- El secreto industrial. Se necesita proteger las fórmulas de los productos o los procesos de producción y también la seguridad de los procesos. Si alguien mal intencionado tiene acceso a la información de una empresa, puede atacarla. Por ejemplo, si alguien sabe las rutas de los camiones de reparto, puede organizar un robo o un atentado terrorista.

Sánchez, coordinador en la Maestría de Negocios Digitales (MIB) del Instituto Superior para el Desarrollo de Internet (ISDI), señala que estas son las cinco medidas que deben tomarse para proteger la información.

1. Definir cuál es la información sensible

Encontrar cuáles son los datos personales de los clientes, proveedores y empleados, así como los secretos industriales que deben protegerse.

2. Determinar el flujo de información

Saber quién tiene acceso a qué información. Por ejemplo, Villegas señala que, en una institución financiera, un asesor podría pedir el número de whatsapp de un cliente y a partir de ahí obtener datos. La empresa tiene que dejar claro cuál es su política respecto a eso e informar al cliente de los riesgos que corre al compartir su información fuera de los canales adecuados. “Es como advertirle que nunca debe dar dinero en efectivo a su asesor, y que todo debe hacerse por transferencia”, dice Villegas.

3. Establecer claramente el marco jurídico para la protección de datos

Esto incluye:

- El aviso de privacidad, que debe ser aceptado y firmado por aquellos que entreguen datos a la empresa, ya sean empleados, clientes o proveedores.

- Convenios de confidencialidad. Sirven para dejar clara la responsabilidad sobre la información que asumen los empleados y los proveedores de la empresa.

- Política de uso de dispositivos electrónicos. Muchas empresas pasan por alto los riesgos de dar equipos móviles a sus empleados, explica Sánchez. Puede ser que la compañía le entregue una laptop o un teléfono celular al empleado y este se lo preste a su esposa, al hijo, a los amigos del hijo. Al no establecer la política de uso, se abre el riesgo de que entren virus o programas de malware a los dispositivos, que pueden afectar los datos.

- Revisión de los contratos laborales. En los contratos, los empleados deben tener clara su responsabilidad sobre los datos que manejan.

4. Monitorear el manejo de la información

La empresa necesita establecer rutinas para asegurarse de que se cumplen las normas legales de protección de datos. Debe haber auditorías sobre el uso de dispositivos y el manejo de la información en poder de los colaboradores de la compañía.

5. Definir consecuencias

Sánchez recomienda dejar muy claro que la computadora portátil o el teléfono celular de la empresa son para la empresa. Pero eso no basta. Un mal uso podría ser causal de rescisión de contrato, dice el abogado. Solo si se establecen consecuencias por no cumplir con los contratos se logrará una efectiva protección de la información.

Al definir qué información se maneja y cómo se va a proteger, la empresa tiene más claro quién será el responsable en caso de que se dé mal uso a los datos. Cuando se define cuál es la información sensible, también habrá que determinar cuáles datos no deben siquiera pedirse. Por ejemplo, Actinver se esfuerza por reducir la información que solicita a sus clientes. “Uno de los esfuerzos que hacemos es disminuir la carga de documentación e información para abrir contratos, limpiando la información que no es necesaria”, dice Villegas.

En el caso de empresas en industrias reguladas, como la financiera, la protección de datos tendría que incluir métodos para encriptarla y para reducir el acceso, como la validación de la identidad de los clientes mediante la biometría, es decir reforzar las contraseñas con el reconocimiento de huellas digitales o del iris.

Las cinco medidas podrían resumirse en una sola recomendación: Nunca hay que asumir que lo malo no puede suceder. Hay que dejar claro qué información se maneja, quién es responsable y qué consecuencias tendrá hacer mal uso de ella.

