Comienzo con un par de noticias que me hacen reflexionar sobre la cantidad de información y datos personales que se comparten con terceras partes, ya sea por Outsourcing, por ‘tercerizar’ servicios, o alguna otra razón, como la del viernes 30 de marzo donde información de millones de tarjetahabientes fueron robados tras hackeo a Global Payments afectando a clientes de VISA, MasterCard y American Express o esta última: “Empleado roba 228,000 registros de pacientes y los manda a su mail personal”.
Particulares (LFPDPPP) ayudará bastante a regular, pero por sí sola no pasarán las cosas y seguramente no en el corto o mediano plazo. Platicando con personas de diferentes niveles, en distintos contextos, se percibe una sensación de el tema se ha estado diluyendo. “Primero porque no salía el reglamento, después porque la fecha llegó y a nadie le pasó nada a nadie, ni una multa, ni un periodicazo.”
banco o bancos, tu escuela o tu trabajo, médicos y hospitales donde hayas estado, créditos donde hayas aplicado, la lista puede ser tan grande como tu memoria te dé. Hace un par de semanas paseaba en un parque donde mucha gente lleva a sus mascotas y me abordó una persona ofreciendo un producto natural y orgánico para perros, me regaló una muestra y me pidió datos para llevar un registro y poder hacer marketing. Entre los datos que pedía estaban: nombre, dirección, teléfono, email. Quizás algunos piensen que no tiene nada de malo tener esos datos y concuerdo (parcialmente). Con cuántas personas o compañías compartiremos nuestros datos, así, de manera “casual” porque “no tiene nada de malo”. Es altamente probable que esta vendedora no vaya a hacer mal uso de mi información, pero la realidad es que no podemos darlo por hecho y sobre todo, no sabemos dónde estarán nuestros datos, con quién serán compartidos y con que otros posibles fines.
o certificación, etc.? Uno no tiene control sobre esto. Recibir llamadas o correos electrónicos sin que tú lo hayas solicitado explícitamente. Hay datos e información que nosotros mismos hemos decidido hacer públicos en Internet; sin embargo hay otros donde nosotros no tuvimos la oportunidad de decidir. Me llamó la atención algo que leía: “Algunos expertos señalan que los datos que circulan en internet, en la nube, redes
sociales, emails, smartphones o sistemas de geo-localización, conforman una extensión de nuestro propio cerebro, de nuestra alma, y en su conjunto una inteligencia colectiva digital.” O sea, que habría una extensión de nuestro propio cerebro, de nuestra alma, en la red. ¿Será? O_o
podría ponerse en duda sin los controles adecuados. Vivimos en mundo globalizado donde el intercambio de información es masivo, rápido y transfronterizo. Las empresas hoy en día subcontratan personal u otras empresas para que realicen, usualmente, actividades que no son el “core” del negocio, como limpieza, infraestructura, reclutamiento, etc. Y aquí es donde comienza a ver intercambio de datos e información de usuarios, empleados, clientes, socios y otros.
- èSi una persona X, hace un contrato bancario o hipotecario con Banco A.
- èBanco A tiene subcontratados algunos servicios como Infraestructura con empresa B y además procesa y almacena los datos con su matriz en otro País C
- èEmpresa B, a su vez, subcontrata con Empresa D servicios de personal y tienen su sitio de procesamiento con Empresa E
- èAdemás, Banco A venderá otro tipo de servicios por lo que subcontrata a Empresa F quien hará la labor de venta a través de diferentes medios por lo que requiere “outsourcear” servicios con otra empresa, la G y H por los diferentes perfiles que manejará.
persona X tiene sólo un crédito bancario, sus datos probablemente están siendo accedidos, almacenados, procesados, transferidos, por las empresas A, B, C, D, E, F, G e incluso fuera del país… Quizás este escenario es normal, hoy en día; pero los controles de información entre las empresas mencionadas, posiblemente diverjan.
Es todo un inception de datos. ¡Ja!
Si la empresa A es con quien el usuario X tiene una relación, aunque A tenga outsourcing con B y B tenga subcontratados a las empresas C y D y éstas sean manejadas con persona de E… los datos del usuario X son responsabilidad, ante el usuario, de la empresa A, quien tendrá que asegurarle al usuario y a las autoridades que los controles de privacidad y seguridad, son los mínimos requeridos tanto en la propia empresa A, como con en el resto de las empresas con quien los comparte, como B, C, D, E, F, G, Sodoma y Gomorra; y es responsabilidad también de Empresa A, asegurarse, hacer revisiones y auditar que éstas últimas tengan dichos controles.
CISM, CISA, CRISC, CBCP
Sigue a Alberto en Twitter en @cyberpostpunk
Image: renjith krishnan / FreeDigitalPhotos.net
Abogada y Maestra en Comercio Electrónico
Dedicada al estudio de la relación entre Tecnología y Derecho desde 1999.
Escribo y también doy clases y conferencias de este tema además de ser consultora y Directora en IT Lawyers SC.
Auditor Líder ISO 27001:2013
Related posts
1 Comment
Deja un comentario Cancelar respuesta
Categorías
Suscríbete
Recibe nuestras noticias e información de forma diaria
Considero que la confidencialidad de los datos debe ser primordial, para ello el estado como entre regulador debe legislar y estructurar normas para regular el manejo de la información confidencial que los clientes y usuarios de instituciones privadas dan a conocer.