Los organismos gubernamentales, contratistas y subcontratistas tienen obligaciones específicas de protección de la información personal.

En las últimas décadas ha proliferado la información sobre las personas recopilada, almacenada y compartida gracias a los avances tecnológicos. Junto con esto, ha aumentado la preocupación por la recopilación, agregación y uso por parte del gobierno de EE.UU. de información personal sobre ciudadanos y otras personas. No sólo los ciudadanos están preocupados por la forma en que el gobierno maneja esta información, sino también por el aumento de los piratas informáticos y las formas de explotar la información personal robada.

En lo que respecta a esta información personal, el gobierno de EE.UU. tiene el deber de, en el mejor de los casos, servir a sus ciudadanos, y en el peor, no perjudicarlos intencionada o inadvertidamente a través de malas prácticas de seguridad de la información. Lo mismo cabe decir de los contratistas gubernamentales en los que debe confiar cuando comparte estos datos.

El Reglamento

Se han instituido normas específicas para proteger esta información personal. La Ley de Privacidad de 1974 estipula las obligaciones del gobierno de EE.UU., sus agencias y contratistas gubernamentales en relación con la correcta recogida, agregación y uso de información personal al servicio de los ciudadanos estadounidenses. Esta ley funciona junto con las adiciones al Reglamento de Adquisiciones Federales (FAR) que rigen a los contratistas y subcontratistas del gobierno de EE.UU.; establece condiciones específicas para que estas partes recopilen, trabajen y compartan información personal como parte de un contrato gubernamental.

La información personal y sus riesgos

Según la normativa, la información personal puede referirse a una amplia gama de datos; por ejemplo, el nombre, el correo electrónico, el número de la Seguridad Social, los datos demográficos raciales y la información financiera de una persona. Esta información puede ser objeto de uso indebido o abuso de dos maneras principales:

• Un organismo público puede utilizarlo para denegar a una persona sus derechos, como la libertad de expresión.
• Un nefasto hacker puede robar la identidad de una persona, normalmente para estafarle dinero

Recogida y uso

Por estas razones, la información personal debe estar sujeta a control. Debería:

• Sólo se recopilarán con fines adecuados y específicos
• Sólo se conservarán durante el tiempo necesario para cumplir la finalidad de su recogida
• Sólo se divulgará o compartirá con otras personas que estén autorizadas a recibirla, ya sea por ley o por contrato
• Estar siempre a salvo de una divulgación accidental o intencionada.

Además, el gobierno no debe intentar agregar datos personales que no estén destinados a servir al individuo; en otras palabras, no deben crearse bases de datos secretas para rastrear a las personas.

Estas normas también abordan los requisitos relativos al tratamiento de la información personal cuando la tecnología que mantiene esta información puede verse comprometida o los datos corren el riesgo de filtrarse, ya sea de forma inadvertida, intencionada o por robo.

Como se ha mencionado, no sólo los organismos públicos están sujetos a estas normas, sino que los contratistas y subcontratistas que les prestan servicios también deben adherirse a una protección adecuada de los datos personales. En general, los contratistas y subcontratistas deben mantener un programa de protección de datos personales, que incluya una política y procedimientos para la recogida, mantenimiento, divulgación e intercambio adecuados, entre otros elementos.

Un aspecto central de este programa es garantizar que todos los empleados que trabajan con información personal en el marco de un contrato gubernamental conozcan las normas, comprendan el protocolo de tratamiento adecuado y estén informados sobre qué hacer si surgen determinados riesgos para los datos.

Estos empleados deben tener estas competencias:

• Los riesgos que corren los datos personales debido a los avances tecnológicos
• Qué datos deben protegerse en virtud de la legislación y los contratos públicos
• Cómo recopilar, utilizar y proteger adecuadamente estos datos
• Cuándo está permitido divulgar o compartir los datos con terceros
• Cuándo saber y qué hacer si la tecnología en la que residen estos datos sufre un incidente que pueda comprometer su seguridad.
• Cuándo saber y qué hacer si los datos pueden ser vulnerables a un acceso y divulgación inadvertidos o indebidos.

El uso y la divulgación indebidos de estos datos pueden acarrear elevadas sanciones para los contratistas de la Administración, incluida la suspensión o inhabilitación para participar en contratos públicos.

La información personal de los ciudadanos no son secretos nucleares, cifrados avanzados o tecnología de misiles que haya que proteger a toda costa. Sin embargo, son datos cuya protección significa mucho para las personas a las que se refieren. Y quienes trabajan con ellos deben cumplir normas estrictas para protegerlos.

Syntrio has been providing harassment and other compliance training for over twenty years and is the industry leader. Our innovative approach focuses on ensuring that employers learn not just how to avoid liability but also a method of treating others inside and outside of work that will go a long way toward improving relationships and mitigating the stress of disrespect and bullying in the workplace. According to our research, doing so has a much greater impact than adhering to the states’ and municipalities’ training laws, which call for training on the bare minimum concepts. We look forward to speaking with a member of your organization soon to show you how we can benefit your culture, one employee at a time.