Uno de los efectos del vertiginoso desarrollo de la tecnología informática es el uso no autorizado de la información corporativa. ¿Qué datos la empresa debe y tiene derecho de controlar para evitar fugas de información confidencial? ¿Qué leyes, actos y, normas reglamentan la protección de los datos en América Latina?
Diego Fernández afirma: ‘Como principio general, las empresas son dueñas de la información que obra en su poder. Si esta información además es secreta, por este hecho, tiene un mayor valor y la empresa toma medidas para protegerla y evitar que se haga pública, normalmente estará protegida bajo algún régimen de información confidencial. Como consecuencia lógica, la empresa puede controlar la información que está en su poder, que se almacena y viaja en sus sistemas y redes’.
‘No obstante, pueden existir algunas restricciones sobre dicha información como por ejemplo las leyes que protegen los datos personales o la privacidad de las personas y empleados’.
‘Sin embargo, con políticas de privacidad claras y que hayan sido consentidas por los empleados, en principio, la empresa podría llevar adelante los controles necesarios sin que el empleado pueda tener alguna expectativa de invocar invasión a la privacidad’.
Continua: ‘Por otro lado, una gran mayoría de países ya cuenta con legislaciones de protección de datos personales, Argentina, Uruguay y Colombia están a la cabeza, ahora también se suman Chile y Brasil, con leyes más recientes. Estas leyes generan derechos para de los titulares de los datos personales y obligaciones en quienes los controlan, en este caso las empresas. Por ejemplo, reconocen los derechos de acceso, rectificación, cancelación y oposición respecto de sus datos personales, e imponen obligaciones en relación a cómo se procesan los datos, incluyendo cómo se colectan y transfieren (incluyendo condiciones para las transferencias internacionales), y obligaciones de confidencialidad y seguridad de los datos’.
‘Desde el punto de vista laboral, al empleador le asisten las facultades de organización y dirección que deberán ejercerse con carácter funcional, atendiendo los fines de la empresa. Vale decir, en la medida que esa facultad se encuentre destinada a verificar y controlar el cumplimiento de sus directivas y, en general, el cumplimiento de parte de los empleados de todas sus obligaciones, en principio, el empleador se encuentra facultado a efectuar ciertos controles, siempre protegiendo la intimidad y dignidad del empleado’.
Ricardo Martínez, jefe de la Representación de SearchInform en América Latina, agrega: ‘Recientemente entró en vigor el GDPR, que tiene alcance extraterritorial y obliga a las empresas a notificar a los reguladores cualquier violación relacionada con datos personales dentro de las 72 horas del incidente. Para estas alertas, se necesita una solución de Seguridad de la Información moderna, que funcione en tiempo real y analice automáticamente los flujos de información, monitoree las violaciones de políticas y que las notifique a los expertos de la seguridad informática’.