Cómo Proteger la Información Personal — Conozca las Razones [In English]

Por Burke Kappler

Miles de ejecutivos de empresas ya han leído la nueva publicación de la Comisión Federal de Comercio titulada, Cómo Proteger la Información Personal: Una Guía para Negocios, que está disponible en ftc.gov/infosecurity. Estos ejecutivos han tomado en consideración las recomendaciones prácticas de la FTC para que sus compañías puedan preservar y proteger la información personal que mantienen en archivo. Pero hay algunos propietarios de negocios que todavía se están preguntando por qué deberían darle prioridad al tema de la seguridad de datos. Existen dos razones que demuestran por qué su compañía debe esforzarse en proteger la información personal.

Primero, por que un buen sistema de seguridad simplemente es una cuestión de buen sentido comercial. Los clientes de hoy en día están enterados de los riesgos del robo de identidad y por lo tanto, están preocupados por su privacidad. Tal como lo saben aquellos negocios que han experimentado un incidente de violación de seguridad informática, los clientes prefieren tratar con compañías que demuestran un compromiso con la seguridad. Por estas mismas razones, los clientes se lo pensarán dos veces antes de tratar con una compañía que haya experimentado una falla de seguridad. Ante esta alternativa, muchos negocios creen que es más conveniente proteger la información mantenida en archivo que reparar el perjuicio y reconstruir la confianza de los consumidores después de que se produzca una pérdida de datos o una violación de seguridad informática.

La segunda razón para tomar medidas preventivas para proteger los datos de información personal es que las leyes federales y estatales pueden requerir que las compañías implementen prácticas razonables para proteger la información. Dependiendo del tipo de negocio que opere y la clase de información que mantenga, las leyes que se listan a continuación pueden aplicarse a su caso:

Ley Fair Credit Reporting — Esta ley, también conocida como FCRA, ha sido diseñada para proteger la privacidad de lo que se denomina información o datos del “informe del consumidor” — o sea, los detalles contenidos en el informe de crédito de un consumidor — y para garantizar que la información suministrada por las compañías de informes de los consumidores sea lo más exacta posible. Un informe de consumidor contiene información sobre las características personales y de crédito de un individuo, su perfil y su reputación general. Para que un informe de este tipo esté cubierto por la ley FCRA debe estar preparado por una “compañía de informes de los consumidores” que es una entidad que compila los informes para otras compañías. Por ejemplo, si como parte de su rutina de contratación de empleados, usted verifica los antecedentes de los candidatos, es muy posible que tenga archivados sus informes de crédito. O es probable que tenga archivados informes de los consumidores si ha tenido que examinar los antecedentes de crédito de sus clientes. Usted está obligado legalmente a mantener esta información segura mientras la tenga en su poder. ¿Pero qué sucede cuando usted ya no tiene una necesidad comercial legítima para guardar este tipo de información? Una excelente idea, es reducir la cantidad de datos en sus archivos, con la condición de que elimine cuidadosamente toda la información delicada, como por ejemplo los informes de los consumidores. En el marco de la ley FCRA, la FTC ha expedido una regla que establece que las compañías deben tomar precauciones para eliminar los informes de los consumidores o la información derivada de los mismos cuidadosamente. Esta regla, llamada Disposal Rule, establece que los negocios que posean información cubierta por la ley FCRA deben tomar medidas lógicas para desecharla. Los negocios que recolectan información de crédito de los consumidores, informes de crédito o antecedentes laborales de los empleados deben estar familiarizados con esta regla y garantizar su acatamiento. (Por cierto, en el año 2005 se introdujo una enmienda a la ley FCRA por medio de la sanción de otra ley llamada Fair and Accurate Credit Transactions Act o FACTA. Es posible que escuche hablar indistintamente de la ley FCRA o FACTA, pero ambos acrónimos refieren a la misma ley.)

Ley Gramm-Leach-Bliley — Esta ley, también conocida como GLB, se aplica a las “instituciones financieras”. Es necesario que las compañías sepan que la definición legal del término “instituciones financieras” es amplio y que no solamente incluye a los bancos. Este término se aplica a los negocios involucrados en una amplia variedad de actividades financieras, que comprenden, por ejemplo, a los concesionarios de automóviles, liquidadores de impuestos, y hasta en algunos casos, a los servicios de correo privado. Aquellos negocios que son considerados instituciones financieras y que no están regulados por otras agencias pueden estar abarcados por la regla de la FTC llamada Safeguards Rule. Entre otros requerimientos, esta regla establece que los negocios deben implementar políticas y procedimientos razonables para garantizar la seguridad y confidencialidad de la información de los clientes.

Ley de la Comisión Federal de Comercio — La Ley de la FTC prohíbe las prácticas comerciales engañosas o desleales. Bajo lo dispuesto por la Ley de la FTC, los negocios deben manejar la información de los consumidores de manera consistente con las promesas que les hagan a sus clientes (por ejemplo, de acuerdo a lo que expresan en sus políticas de privacidad en línea) y deben evitar aquellas prácticas de seguridad que generen un riesgo irrazonable de daño a los datos personales de los consumidores.

Otras leyes federales — Existen otras leyes federales que pueden afectar los requerimientos aplicables a la seguridad de datos de una compañía, entre las que se incluyen la ley llamada Health Insurance Portability and Accountability Act (HIPAA), que se aplica a los datos de salud; la ley Family Educational Rights and Privacy Act (FERPA), que rige para los registros de los estudiantes y la ley Driver’s Privacy Protection Act (DPPA) que es aplicable a la información mantenida por los departamentos estatales de vehículos motorizados.

Leyes estatales — Como resultado de las crecientes preocupaciones planteadas por el robo de identidad y la seguridad de los datos personales, varios estados han promulgado leyes o han establecido regulaciones para proteger a sus ciudadanos. Además de cumplir con lo dispuesto por las leyes federales, los negocios deben consultar la legislación estatal y garantizar su acatamiento.
Si le parece complicado, no se preocupe. Aunque existen diferentes reglas, la FTC ha intentado desarrollar un estándar básico unificado que logra un equilibrio entre suministrar orientación concreta y conceder flexibilidad para las distintas necesidades comerciales. Es un estándar simple y directo: las compañías deben mantener procedimientos razonables para proteger la información delicada. La racionabilidad de sus prácticas de seguridad de la información personal dependerá de las características y tamaño de su negocio, los tipos de información que mantenga en archivo, las herramientas de seguridad a su alcance de acuerdo a sus recursos y los riesgos que podría enfrentar.

Si tiene alguna pregunta sobre la forma en que estas leyes afectan a su negocio, considere efectuar una consulta con su abogado. Para aprender más sobre las leyes ejecutadas por la FTC, visite en Internet ftc.gov. Por último, asegúrese de conseguir su copia de la publicación Cómo Proteger la Información Personal: Una Guía para Negocios disponible en ftc.gov/infosecurity.

Burke Kappler es un abogado especializado en investigaciones de seguridad de datos personales y cumplimiento de los requerimientos legales aplicables que se desempeña en el Buró de Protección del Consumidor de la FTC.

Octubre 2007