Las agencias gubernamentales, los contratistas y los subcontratistas tienen obligaciones específicas para proteger la información personal.

En las últimas décadas, se ha producido una proliferación de información sobre personas recopilada, almacenada y compartida debido a los avances tecnológicos. Junto con esto, han aumentado las preocupaciones sobre la recopilación, agregación y uso por parte del Gobierno de los Estados Unidos de información personal sobre ciudadanos y otras personas. No solo preocupa a las personas el tratamiento que da el Gobierno a esta información, sino que también ha suscitado gran inquietud el auge de los piratas informáticos y las formas de explotar la información personal robada.

En lo que respecta a esta información personal, el Gobierno de los Estados Unidos tiene el deber, en el mejor de los casos, de servir a sus ciudadanos y, en el peor, de no perjudicarlos de forma intencionada o involuntaria mediante prácticas deficientes de seguridad de la información. Lo mismo se aplica a los contratistas gubernamentales en los que debe confiar cuando comparte estos datos. 

 El Reglamento 

Se han establecido regulaciones específicas para proteger esta información personal. La Ley de Privacidad de 1974 estipula las obligaciones del Gobierno de los Estados Unidos, sus agencias y los contratistas gubernamentales en lo que respecta a la recopilación, agregación y uso adecuados de la información personal al prestar servicios a los ciudadanos estadounidenses. Esta ley se complementa con las adiciones al Reglamento Federal de Adquisiciones (FAR) que rige a los contratistas y subcontratistas del Gobierno de los Estados Unidos; establece condiciones específicas para que estas partes recopilen, trabajen y compartan información personal como parte de un contrato gubernamental. 

Información personal y sus riesgos 

Según la normativa, la información personal puede referirse a una amplia gama de datos; algunos ejemplos son el nombre, el correo electrónico, el número de la Seguridad Social, los datos demográficos raciales y la información financiera de una persona. Esta información puede ser objeto de uso indebido o abuso principalmente de dos maneras:

• Una agencia gubernamental podría utilizarlo para negar a una persona sus derechos, como la libertad de expresión. 
• Un hacker malintencionado puede robar la identidad de una persona, normalmente con el fin de estafarla y quedarse con su dinero. 

Recopilación y uso 

Por estas razones, la información personal debe estar sujeta a control. Debe: 

• Solo se recopilarán con fines adecuados y específicos.  
• Solo se conservarán durante el tiempo necesario para cumplir con la finalidad para la que fueron recopilados. 
• Solo se divulgará o compartirá con otras personas que estén autorizadas a recibirla, ya sea por ley o por contrato.  
• Esté siempre protegido contra la divulgación accidental o intencionada. 

Además, el gobierno no debería intentar recopilar datos personales que no estén destinados a servir a la persona; en otras palabras, no se deberían crear bases de datos secretas para rastrear a las personas.

Estas normas también abordan los requisitos relativos al tratamiento de la información personal cuando la tecnología que mantiene esta información puede verse comprometida o los datos corren el riesgo de filtrarse, ya sea de forma involuntaria, intencionada o por robo.

Como se ha mencionado, no solo las agencias gubernamentales están sujetas a estas normas, sino que los contratistas y subcontratistas que prestan servicios para ellas también deben cumplir con las medidas adecuadas de protección de datos personales. En general, los contratistas y subcontratistas deben mantener un programa de protección de datos personales, que incluya una política y procedimientos para la recopilación, el mantenimiento, la divulgación y el intercambio adecuados, entre otros elementos.

Un aspecto fundamental de este programa es garantizar que todos los empleados que trabajan con información personal en el marco de un contrato gubernamental conozcan las normas, comprendan el protocolo de manejo adecuado y estén informados sobre qué hacer si surgen ciertos riesgos para los datos.

Estos empleados deben tener las siguientes competencias:

• Los riesgos para la información personal debido a los avances tecnológicos 
• ¿Qué datos deben protegerse en virtud de las leyes y los contratos gubernamentales? 
• Cómo recopilar, utilizar y proteger adecuadamente estos datos. 
• Cuando se permite divulgar o compartir los datos con terceros 
• Cuándo saberlo y qué hacer si la tecnología en la que residen estos datos sufre un incidente que pueda comprometer su seguridad. 
• Cuándo saberlo y qué hacer si los datos pueden ser vulnerables a un acceso y una divulgación involuntarios o indebidos. 

Las sanciones para los contratistas del gobierno pueden ser elevadas por el uso y la divulgación indebidos de estos datos, incluyendo la suspensión o la inhabilitación para participar en contratos gubernamentales.

La información personal de los ciudadanos no es un secreto nuclear, un cifrado avanzado ni tecnología de misiles que deba protegerse a toda costa. Sin embargo, se trata de datos cuya protección es muy importante para las personas a las que se refieren. Y quienes trabajan con ellos deben cumplir normas estrictas para protegerlos.

Syntrio has been providing harassment and other compliance training for over twenty years and is the industry leader. Our innovative approach focuses on ensuring that employers learn not just how to avoid liability but also a method of treating others inside and outside of work that will go a long way toward improving relationships and mitigating the stress of disrespect and bullying in the workplace. According to our research, doing so has a much greater impact than adhering to the states’ and municipalities’ training laws, which call for training on the bare minimum concepts. We look forward to speaking with a member of your organization soon to show you how we can benefit your culture, one employee at a time.