Desafíos de Compliance en la era de los datos masivos-Parte 1

Junto a la explosión en el volumen de datos que manejan las organizaciones, su diversidad y la velocidad con que se genera y utilizan los datos, emerge un universo desconocido de riesgos en el manejo de información crítica de las organizaciones. Conocer técnicamente esta temática, adoptar una cultura de cumplimiento normativo e integrar cada vez más el trabajo de Data Scientist con el de Compliance Officer, resultan nuevos e interesantes desafíos para los profesionales del Siglo XXI.

El cumplimiento normativo -o Compliance- hace referencia a los esfuerzos puestos en marcha para garantizar el pleno ejercicio de las compañías por medio de diferentes políticas y procedimientos para que estos sean legítimos y éticamente correctos.

En este sentido, a partir de la transformación digital y auge del Big Data en diversas empresas, los desafíos en Compliance están a la vuelta de la esquina: desde la privacidad y la protección de datos personales de sus usuarios y/o clientes hasta los problemas éticos inherentes a los posibles y diversos usos de los datos, más allá del consentimiento informado para el uso de datos personales.

Ahora bien, ¿cuáles son las problemáticas de cumplimiento normativo que deben tener en cuenta quienes trabajan con datos masivos?

Por un lado, independientemente del volumen de los datos procesados, en Argentina el tratamiento de los datos personales deberá cumplir con la normativa contenida en la Ley 25.326/2000 de Protección de Datos Personales, cuya creación estuvo inspirada mayormente en la legislación española  (LORTAD y LOPD).

Prácticamente cualquier actividad que se realice en un archivo, registro, base o banco de datos que contenga información de carácter personal está alcanzada por la normativa. Al mismo tiempo, en virtud a lo dispuesto por el segundo párrafo del artículo 25 del Decreto  Reglamentario 1558/2001, el tratamiento de datos personales por cuenta de terceros debe estar regulado por un contrato entre dos partes: el contratante o cliente que encarga el servicio y el contratista o prestador del servicio que se compromete a realizarlo.

Tanto el artículo 25 de la Ley 25.326 como el artículo 25 del Decreto 1558/2001, establecen algunas de las cuestiones esenciales que debe contemplar el contrato, que se traducen en distintos deberes del Encargado del tratamiento de los datos:

A) Deber de respeto a la finalidad para la cual fue creado el archivo, registro, base o banco de datos: la información debe tratarse con un objetivo específico que debe conocerse antes de su creación e informarse en el momento que los datos son recolectados.

B) Deber de respeto a las instrucciones impartidas por el Responsable del archivo, registro, base o banco de datos: quien presta el servicio actúa siguiendo las instrucciones por cuenta de quien lo encarga, de modo que el riesgo o beneficio de los resultados del servicio siempre recaerá sobre el Responsable del archivo o registro.

C) Imposibilidad de ceder los datos sujetos a tratamiento: el tratamiento de datos de carácter personal requiere, además del consentimiento libre y expreso del titular de los datos, que quien pretenda recabar datos personales específicamente de una persona, le informe previamente con qué finalidad serán tratados los datos recabados y quiénes pueden ser sus destinatarios o clase de destinatarios.

D) Deber de no conservar los datos más allá de lo necesario: una vez cumplida la prestación contractual, el Encargado del tratamiento deberá destruir los datos de carácter personal tratados, salvo cuando razonablemente se presuma la posibilidad de ulteriores encargos y medie autorización expresa del Responsable.

E) Deber de confidencialidad: el contrato debe reservar un apartado al deber de secreto profesional para el Encargado del tratamiento de los datos y la confidencialidad debe subsistir aún después de finalizada la relación contractual.

F) Deber de seguridad: el artículo 9 de la Ley 25.326 prohíbe que se registren datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad, y exige que el Responsable del tratamiento adopte medidas técnicas y organizativas adecuadas a los riesgos que presenta el tratamiento, que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, etc.

G) Especial referencia a las entidades financieras: se establece una exigencia de suscribir un contrato con el tercero prestador del servicio, que tiene como antecedente la Comunicación “A” 3198 del Banco Central de la República Argentina , la cual en su Sección 5º permite que las entidades financieras tercericen en proveedores externos las actividades relacionadas con tecnología informática o sistemas de información, siempre y cuando suscriban un contrato que fije, como mínimo, el alcance de las actividades, niveles y procedimientos del servicio. Al mismo tiempo, no deben existir limitaciones de acceso y consulta por parte de la Superintendencia de Entidad Financieras y se deben poder realizar auditorías periódicas con normalidad.

Una adecuada gestión del Compliance aplicada en los procesos de generación de datos permitiría disminuir algunos de los riesgos señalados, en la medida que pueda medirse el impacto derivado del incumplimiento normativo y efectuar un análisis del sector al que pertenece la entidad que trata los datos. En este aspecto, conviene detenerse no sólo en el nivel de calidad de los datos –datos precisos y actualizados cuyo tratamiento no puede ser desproporcionado ni exceder las finalidades para las cuales fueron obtenidos-  sino también en el nivel de seguridad de los datos, el cual puede ser:

  • Básico: cuando se tratan datos meramente identificativos, por ejemplo e-mail, nombre, apellidos, teléfono, etc.
  • Medio: datos a partir de los cuales se establezcan perfiles de las personas basados en las características del usuario, tales como el análisis de los hábitos de clientes/usuarios.
  • Alto: si adicionalmente el perfil obtenido hace referencia a una ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

Por otro lado, más allá del conocido consentimiento informado para el uso de datos personales, los procesos detrás de Big Data podrían generar nuevas categorías de riesgos inherentes de Ética y Compliance. Estas problemáticas se analizarán en detalle a continuación (en la parte 2 del post).

Facebooktwitterlinkedin

Dejá un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *