Dialogamos con el Dr. Abel Revoredo, especialista en derecho de Tecnologías de la Información y Protección de Datos. En el marco de la COVID -19 donde muchos centros de contacto están operando bajo la modalidad de teletrabajo, compartió con nosotros, la normativa vigente en lo referente a la protección de las Bases de Datos en el Perú, según la Ley vigente (29733), y qué aspectos son necesarios considerar respecto a la misma de cara al cliente y al trabajador.
¿Quién es responsable de las bases de datos de los clientes?
Abel Revoredo: De acuerdo con las normas peruanas, lo que se entiende es que la empresa contratante del centro de contacto es además titular del Banco de Datos personales de los clientes a ser contactados, es el responsable a nivel legal, tiene la obligación de cuidarla y es su responsabilidad que estos datos no sean accedidos o estén circulando sin control.
¿Qué sucede con esta normativa en el caso de que el empleado realice trabajo remoto?
Abel Revoredo: En principio, cuando se está trabajando en una oficina todas las computadoras están conectadas a una red y a un banco de datos que controla el centro de contacto al cual se le provee seguridad y sobre el cual se tiene información de acceso y actividades de tratamiento. Todo esto en línea con la directiva de seguridad aprobada por la Autoridad de Protección de Datos Personales.
Este concepto se tiene que replicar igual en el teletrabajo. Si se permite que las personas tengan acceso a la Base de Datos desde su casa, las empresas tienen que cuidar que este acceso sea en las mismas condiciones en las que estaba inicialmente. Esto va a depender de la arquitectura tecnológica de cada call center, porque una cosa es que se tengan los datos en la nube y solo se pueda acceder a la misma con usuario clave y a través de una conexión segura, en cuyo caso diría no hay nada más que hacer porque la protección está dada por la misma nube y por el control que existe allí.
Todo esto siempre y cuando no permita que los trabajadores descarguen los datos en sus discos duros. Allí no le vería mayor problema.
¿Y a qué se debería prestar más atención en estos casos?
Abel Revoredo: Si los datos no están centralizados en una nube a los cuales pueden acceder los trabajadores, sino que están fragmentados en planillas Excel, ahí sí podría haber un problema. Porque a pesar de que se entregue el archivo para que lo trabaje desde su casa, la empresa es responsable de que estos datos estén circulando y no es posible tener control de lo que cada trabajador haga con ese Excel. Entiendo que la mayoría de los call centers en el mundo están más bien en el grupo uno, que son mucho más seguros desde el punto de vista tecnológico.
¿En el caso de que la empresa contratante sea un banco, está reglamentado en la Ley?
Abel Revoredo: Sí en ese caso si un call center recibe una Base de Datos del banco se convierte en un “Encargado del Tratamiento”, es decir le presta un servicio al banco. Por el lado del banco no es necesario un trámite ni consentimiento para transferir los datos al call center, no obstante, hay algunas cosas que deberían contemplarse.
¿Cuáles son las cosas que deberían contemplarse?
Abel Revoredo: La primera es que, en el contrato con los bancos, este debería declarar que es el dueño del Banco de Datos, que los consiguió con consentimiento y que tiene autorización de los clientes para enviarles publicidad o para el tipo de servicio que se va a dar. Con todo esto el call center se convierte en “Encargado de Tratamiento” y puede utilizar esos datos para cumplir el encargo del banco. En ese sentido la obligación sería: proteger esos datos, evitar accesos indebidos, que se pierdan o se modifiquen sin autorización. La otra es cuidar estrictamente el encargo del banco. Cuando hablo de la parte de seguridad esto implica seguridad informática, que los tenga en una nube o servidor que los proteja.
¿Cómo se pueden asegurar las empresas que no se vulneren esos datos? ¿Existe una norma?
Abel Revoredo: Sí, en el Perú tenemos tres grandes normas. Una es la ley, otra es el reglamento y la tercera es la directiva de seguridad. En esta última hay una serie de reglas a cumplir dependiendo de la seguridad de la base de datos. Estas se dividen en tres tipos: seguridad legal, organizativa y medidas técnicas.
¿Podemos ampliar cada una de ellas?
Abel Revoredo: En las técnicas, la norma establece una serie de medidas que se deben implementar para proteger las bases de datos. Por ejemplo, si son sistemas, obliga a que tenga una política de passwords, accesos, quién puede entrar, qué puede ver y si puede o no modificar los datos. Eso por el lado técnico del sistema. También obliga a tener un registro de actividad de cada cosa que se hace con los datos. Por lo tanto, debería estar en capacidad de detectar si alguien está haciendo un uso indebido.
En el mundo de las medidas técnicas tampoco se debería dejar que los trabajadores tomen screen shots. En el caso del trabajo remoto no voy a tener el control del ingreso de cámaras, pero entiendo que tecnológicamente existe la posibilidad de impedir screen shots. Debiéramos establecer además en la política que eso está prohibido y que podría ser causal de sanción o despido.
¿Qué sucede en el caso de trabajo remoto?
Abel Revoredo: En este mundo lo importante es que se tome el toro por las astas y se apruebe una política para lo que es protección de datos en trabajo remoto. Lo que sugeriría es que haga una Directiva de Trabajo Remoto con los puntos que deben cumplirse y especificar que el incumplimiento es causal de despido. También, que se haga en una directiva interna de la empresa, donde se les informe a todos los trabajadores cuáles son las medidas de seguridad que hay que tomar.
¿Algún otro punto que debamos considerar?
Abel Revoredo: En el mundo de los call centers y que dan servicio a los dueños de las bases de datos, desde el punto de vista del call, que el cliente declare que es titular de la base de datos, que tiene consentimiento para hacer tratamiento de los datos y que las actividades que va a realizar el call center se encuentran establecidas en la finalidad declarada al recoger el consentimiento.
Del mismo modo, sugeriría que se regule en el contrato que cualquier reclamo vinculado a la base de datos será responsabilidad del cliente Titular de la misma, que haya un compromiso de indemnidad mediante el cual no se deje sola al Call Center frente a reclamos de un cliente del Titular y que cualquier daño será cubierto por el cliente. Sería una buena práctica que el call center le informe a su cliente cuáles son las medidas de seguridad desplegadas para el trabajo remoto y la política de privacidad específica para que los clientes las conozcan.
