Protección de la información en el ámbito laboral

relaciones-laborales

Por Ines Tornabene

A medida que avanza la concientización sobre la necesidad de proteger la información que se maneja a diario en las oficinas, sean éstas públicas o privadas, se comienzan a tomar medidas tendientes a evitar su vulnerabilidad. Al terminar el día de trabajo se cierran los ficheros y se guardan los papeles en cajones con llave, se apagan las computadoras y se evita dejar claves o cualquier tipo de información sobre los escritorios… o al menos se debería tender a que esto ocurra y se realice como una práctica cotidiana.

Sin embargo, hay muchos mecanismos para transportar información. Una memoria portátil como las que usamos en los celulares, o un pendrive, puede transportar el equivalente a la información contenida en toneladas de papel. No es una exageración. En 8 gigas de memoria se puede archivar información que, si tuvieramos que volcarla en papel, requeriría 300 toneladas del mismo.

Esto no es todo; la utilización de las permanentemente en desarrollo tecnologías de la información, TICs, implica el intercambio de datos y de protocolos en forma permanente, dentro del propio entorno y sistema y fuera del mismo. La pregunta que toda oficina, sea pública o privada, debe hacerse es: ¿estamos trabajando en un entorno seguro en cuanto a los datos personales? Esta pregunta debe extenderse a los hogares, dado que son los niños y los jóvenes los más vulnerables y propicios a difundir información sensible para la seguridad familiar aún sin saber que lo están haciendo.

A poco que se comience a investigar se descubre que, en la mayoría de las organizaciones laborales, los empleados reconocen que en algún momento han enviado información sensible a destinos equivocados, sea por mail, sea por chat o simplemente por equivocarse al ingresar los datos del destinatario en una red interna. Estas situaciones no son intencionadas y seguramente no pueden calificarse como hechas a drede; ocurren tanto con las herramientas digitales como con el papel. En nuestra recorrida por distintas oficinas gubernamentales hemos descubierto algunas prácticas que necesariamente deben erradicarse, como ser la falta de destrucción de papeles que contienen datos personales de todo tipo de los ciudadanos que concurren a la repartición: fotocopias de documento de identidad, de partidas de nacimiento, de legajos completos, etc.

Una de las formas de luchar contra esta fuga permanente de datos que luego pueden ser utilizado con propósitos ajenos a aquellos por los cuales fueron requeridos, es la permanente y continua capacitación de los empleados y agentes, que permitan la toma de conciencia y la puesta en práctica de conductas facilitadoras de la protección de la información. Otra de las herramientas es el desarrollo de sistemas más seguros, tanto físicos como digitales, que hagan que ya no sea tan trascendente dónde se guarden los datos ni a quien se los envíe. Me refiero, por ejemplo, a los métodos de encriptación.

Sin dudas, no hay como la prevención. La capacitación puede hacerse formando agentes dentro de la estructura que puedan reproducir la capacitación a sus propios grupos de trabajo, adaptándolo a las necesidades específicas de cada sector. No es lo mismo un ámbito donde se utilizan sistemas de chat, donde las precauciones serán específicas, que aquellas dónde sólo se archiva información. La seguridad de los datos personales no pasa sólamente por los bits, sino también por el papel que se tira a los cestos de basura y que puede ser revisado por cualquier persona. Cada ámbito debe ser evaluado en cuanto a los riesgos que presenta, para desarrollar políticas y estrategias específicas. Es necesario establecer una categoría que divida en acceso a la información, propagación indebida de la misma, tipos de riesgos y, por supuesto, la forma de evitar estos riesgos.

Si se cuenta con una oficina específica de seguridad de la información, es altamente recomendable que la misma difunda boletines de seguridad, donde se ponga sobre aviso a los usuarios no sólo las principales alertas de seguridad, sino también los distintos mecanismos que pueden utilizarse para acceder a nuestros datos, como ser programas de captura de pantalla. También es necesario que se informe y se recuerde cuáles son los mecanismos de intercambio de información de la oficina, tanto para el funcionamiento interno como para el intercambio de datos con el exterior y, no menos importante, difundir y recordar en forma permanente cuál es la normativa que rige en materia de protección de datos personales, en especial en todos aquellos agentes que tengan trato directo con el público.

En una oficina u organismo que progresivamente va adaptando la seguridad de la información como una política interna y como parte de su cultura, sus empleados deberían estar debidamente capacitados en materia de control de programas no autorizados, modificación y cambio de sus claves de seguridad, encriptación de datos y no utilización de programas potencialmente dañinos.

En caso que la utilización de sistemas de chat, que en muchas empresas forma parte de la modalidad de trabajo, sea inevitable o incluso necesaria, debería suministrarse información mucho más específica sobre los problemas de seguridad de los mismos y el tipo de información que se puede brindar en linea y qué información requiere una autorización previa.

La información no se difunde por si sola, ni porque se utilice más o menos algún tipo de

herramienta informática o manual en particular. La información se filtra, mayoritariamente, por el mal uso de ella que hace el factor humano. Cada sector debe contar con algún referente específicamente capacitado que pueda difundir su propia capacitación y que sea un nexo entre su sector y la oficina de seguridad, si existe la misma, o el sector de sistemas informáticos, y que sepa, incluso, como actuar en una situación de emergencia. Para eso también es necesario que quienes manejan los sistemas informáticos adecúen su comunicación a los usuarios que no poseen conocimientos técnicos específicos, dado que otra de las barreras existentes entre los usuarios y los sistemas es lo ininteligible que muchas veces se torna la utilización de herramientas y vocabulario específico.

Para esto último también es necesario un cambio de postura en quienes administran los sistemas informáticos de una oficina, sea ésta pública o privada.

Tengamos en cuenta que siempre será más productivo dirigir los esfuerzos a la prevención que a la subsanación de los daños causados por la mala utilización de la información. También es necesario no perder de vista que, se trate de una oficina privada o pública, la manipulación de datos personales acarrea siempre responsabilidad, y esta implica el responder por la difusión indebida de la misma o por los errores que contenga.

Publicado por la autora el 3 de julio de 2009 en la página del Centro de Protección de Datos Personales de la Defensoría del Pueblo de la Ciudad de Buenos Aires.