02 Nov 2016
Proteccion de datos personales

Cuando desarrollé sistemas para Diconsa, fue necesario colaborar de forma estrecha con el IFAI, para asegurar la protección de datos personales.

Legalmente entiendo la necesidad de asegurar que la información no sea expuesta más allá de las funciones para las que fueron permitidas, sin embargo, el hecho de que existan leyes de protección de seguridad, no significa que exista privacidad de datos.

La mayoría de las empresas, incluso actualmente, no miden los impactos que estos derechos tienen en sus operaciones diarias.

Es muy común que se protejan los datos, ya que incluso, la legizlación, no aplica ninguna reestricción en cuanto al flujo de estos, y, pensando en sistemas, el traslado, suele ser cifrado. Pero eso no asegura su privacidad.

Volviendo al caso de Diconsa, la información recopilada por los sistemas, se almacenaba para el uso y visibilidad que por permisos se tenían en la estructura, es decir, a quien resultaba ser operativo en campo, le era más que suficiente visualizar el nombre y fotografía de algún beneficiario, pero, a quienes realizaban el empadronamiento, les era requerido conocer el domicilio, fecha de nacimiento, parientes, etc.

Idealmente puedes pensar que eso cubre con lo estípulado por la ley, sólo quienes lo necesiten pueden acceder al dato, es decir, se cumple el principio de privacidad. Pues no en su totalidad.

La ley exige que se realice un contrato (el aviso de privacidad) que detalle el uso que se dará a esos datos, el cómo y quiénes podrán utilizarlos, lo que deriva en el primer 'hueco', ¿el encargado de sistemas debe acceder al dato?. Tu respuesta puede ser 'si', por que se necesita para dar soporte al uso que el aviso detalla, sin embargo, ese soporte no necesita el dato en si para asegurar que el sistema funciona.

Piensa en esto, ¿es requerido el dato cómo tal para reproducir el error? ó ¿sólo es necesario conocer las características que conforman el mismo para hacerlo?.

En un segundo escenario, el aviso proteje el dato siempre que la relación contractual exista, es decir, mientras ese beneficiario lo fuera. ¿Qué hay que hacer con la información cuando ya se ha dado de baja?

Tú, como desarrollador de aplicaciones, sabes que siempre se necesita el registro histórico, siempre se necesitará mirar al pasado para hacer comparativas y demás flujo de información, por tanto, asumirás (cómo yo lo hice) que ese dato no debe ser eliminado, pero la relación contractual ya no existe, entonces la privacidad es un tema que ya no ampara ese aviso y por tanto ¿qué hacer con el dato?.

La respuesta simple puede ser, avisar que el dato se destruye cierto tiempo después, cierto, pero la ley sólo te permite mantenerlos durante 90 días después de terminada la relación, un tiempo muy pequeño para cualquier comparativa, pues cualquier cliente quiere que su sistema pueda comparar semestres o años completos.

Piensa en algo aún más divertido, los datos que has dado a tus empleadores se almacenan en algún lado (seguro en un sistema), y no pueden desaparecer 90 días despúes de que dejaste de trabajar con ellos, por que tienen que hacer declaraciones anuales, ¡si saliste en marzo, para diciembre el tiempo es más que expirado!.

Todavía mejor, la ley ARCO otorga el privilegio de cancelar el uso de datos en cualquier momento al terminar la relación contractual, ni siquiera en los 90 días que el aviso pudo haber específicado.

Podrías pensar que entonces el dato se cancele, pero eso no cumple con la ley, pues el dato sigue existiendo, y aún cancelado, ¿cómo lo haces sin que sea visible en el flujo del sistema, pero si en las necesidades históricas que ya ejemplificamos?.

Llegar a un acuerdo que legalmente y en desarrollo, fuera viable, me llevó semanas de reuniones, estudio de derecho informático y planeación de estructuras que nunca había pensado, pero que, en proyectos posteriores, me ha permitido auxiliar a mis clientes/usuarios en el manejo de datos personales.

Y es que, se da por hecho que por poner un aviso de privacidad en el sitio es suficiente, sin pensar que en cualquier momento, la ley le da la posibilidad al dueño de los datos (por que esa base de datos que tanto cuidas no es tuya ni de tu cliente) entrar y revisar si en realidad nadie puede ver lo que te ha cedido salvo quien lo necesita según lo pactado... piensalo

Artículos anteriores