GDPR y el caso de Chile: ¿Cuánto sabes sobre la seguridad y el control de tus datos en las empresas?

GDPR y el caso de Chile: ¿Cuánto sabes sobre la seguridad y el control de tus datos en las empresas?

El desarrollo tecnológico de las últimas décadas ha producido una de las transformaciones más revolucionarias de la historia de la humanidad. Todo aspecto de nuestra vida cotidiana ha estado directa o indirectamente influido por las nuevas tecnologías de comunicación, almacenamiento y procesamiento de información.

La proliferación de estas tecnologías y múltiples medios comunicacionales que utilizamos en la actualidad son sistemas que recopilan nuestra información a través de cada acción que tomamos: cada click, cada compra, cada movimiento que realizamos mediante un medio digital, bajo estas circunstancias es importante realizarse una serie de preguntas en torno a este contexto: ¿Somos conscientes del uso de nuestros datos?, ¿sabemos el uso que se les da a nuestros datos?, ¿sabemos el impacto que usar nuestros datos tiene en las organizaciones? y por sobre todo: ¿Cuán informados estamos sobre lo que sucede con la seguridad y el control de nuestros datos en las organizaciones?.

Las personas poco a poco han descubierto la relevancia del uso de datos personales en las empresas: desde campañas de marketing, hasta el modelamiento de perfiles de consumo y publicidad dirigida. Es por esto que las autoridades han empezado a tomar cartas en el asunto: casos legales como el de la red social Facebook y la empresa británica Cambridge Analytics configuran un escenario a nivel global que sería impensable hace diez años atrás.

En relación al contexto organizacional los líderes en gestión de personas están llevando a cabo proyectos de transformación digital e inversiones en tecnología en RRHH, que precisamente trabajan con nuestros datos. Por lo mismo, un ingrediente clave para estas iniciativas es trabajar con un proveedor que pueda asegurar seguridad y confidencialidad de tu información en sus servicios y softwares.

En este contexto debemos tomar en cuenta el impacto de las iniciativas que buscan regular la situación de la información que se genera en la relación entre personas y organizaciones. Como lo es el caso de la GDPR recientemente aplicada por la Unión Europea.

 

¿Qué es la GDPR?

La GDPR, en español, “Reglamento General de Protección de Datos”, es una normativa aplicada en mayo de este año por la Unión Europea que regula el control y procesamiento de información de personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos.

Este reglamento afecta a empresas y empresarios autónomos, instituciones públicas y fundaciones que procesen datos personales de residentes en la  Unión Europea, inclusive si el tratamiento de estos datos se realiza fuera de la misma.

La GDPR regula y busca resguardar cualquier dato que vincula directa o indirectamente a una persona física identificada o identificable, lo que exige que aquellas entidades que procesan datos, adopten medidas técnicas y organizativas establecidas por el reglamento. Algunos ejemplos de los datos personales que regula la GDPR serían: Nombre, dirección IP, email, fotos o vídeos, origen étnico, datos médicos, orientación sexual, afiliación política, creencias religiosas, antecedentes penales, entre otros.

Si bien, muchas organizaciones están revisando sus procesos y sistemas para asegurar la cobertura de los nuevos derechos de sus clientes, debemos considerar que una normativa de esta naturaleza también impacta los datos que las empresas tienen de sus empleados.

Esto podemos evidenciarlo pensando en procesos del dia a dia en las organizaciones: la gestión de información en torno a la selección de personal y a los postulantes que tienen los procesos del área, el almacenamiento histórico de la información de los colaboradores para efectos de nómina, la información referente a las evaluaciones de desempeño, e incluso procesos dentro del área de remuneraciones, como lo podrían ser el monto de las rentas percibidas por el colaborador.

 

Protección de Datos en Chile

En Chile, contamos desde 1999 con la Ley 19628 que contempla la protección de datos de carácter personal, que en términos prácticos, establece una primera conceptualización en torno al tema. Establece así mismo, los derechos y deberes de las personas respecto al uso de sus datos en términos bancarios, comerciales, económicos, financieros, entre otros.  Además establece como obligatorio para el tratamiento de datos que el responsable deba informar al sujeto sobre el objetivo del uso de sus datos.

Por otro lado, establece los deberes de las organizaciones y los responsables de bases de datos en relación al tratamiento de los datos, al titular de los mismos y las posibles acciones que este último puede tomar en caso de necesidad.

 

Nueva Legislación

Si bien la legislación hasta ahora vigente establece nuestros derechos y deberes en este ámbito, el alcance de las nuevas tecnologías, las nuevas capacidades de comunicación, almacenamiento y procesamiento de información hacen necesaria la modernización de la legislación nacional en términos del entorno digital, resguardando la privacidad de las personas en torno a la libre circulación de información.

Es en este contexto donde surgen dos iniciativas respecto al tema: El derecho a protección de datos personales y la creación de una agencia de protección de datos. Estas iniciativas actualmente están siendo debatidas en el congreso en su tercer trámite legislativo. y buscarían llevar a la legislación chilena a cumplir tanto el estándar de la OCDE como de la Unión europea.

Entre otras medidas, la nueva legislación regula el uso de los datos personales y establece nuevos derechos de los titulares de los mismos. Entregando una mayor especificidad al concepto y requisitos del consentimiento, definiéndolo como una manifestación libre, específica, inequívoca e informada respecto al uso de datos donde debe existir un acto afirmativo que de cuenta con claridad de la voluntad del titular.

Otro punto a considerar en la nueva legislación, es la regulación en términos de datos sensibles, y la nueva categoría de datos especiales para datos de utilización histórica, estadística, científica y datos de geolocalización. A su vez, restringe el tratamiento automatizado de datos, otorgando un derecho al titular de solicitar que ninguna decisión que le afecte de manera significativa se adopte exclusivamente basada en este tipo de tratamiento, salvo ciertas excepciones, como lo podrían ser la recolección de datos desde fuentes accesibles al público, la recolección con el propósito de una investigación criminal, si el tratamiento se realiza como consecuencia de una relación contractual, científica, o profesional con el titular, entre otros.

Finalmente, la nueva legislación establece los derechos “ARCOS”: Acceso, Rectificación, Cancelación y Oposición al uso de información, estos derechos serán personales, intransferibles, irrenunciables, y no podrán ser restringidos o limitados por ninguna entidad. Empoderando al titular de los datos y estableciendo duras sanciones económicas en torno a aquellas organizaciones que no regulen sus prácticas en torno a registros y bases de datos.


Gestión de Personas y Protección de datos

Ante este nuevo escenario las organizaciones deben tener claridad sobre qué datos manejan sobre sus empleados, optimizar sus sistemas para una mejor gestión en los mismos y responder en el menor tiempo posible sus requerimientos para cumplir con la normativa aprobada.

Uno de los procesos que presentará un desafío para la Gestión de Personas será el proceso de selección; en este proceso se manejan muchos datos personales, como lo pueden ser currículum vitae, documentación, solicitudes, cartas de motivación, entre otros. Y ante esto hay que realizarse algunas preguntas: “¿Que hacemos con los datos de los postulantes?”, “¿cuanto tiempo los conservará la empresa?”, “¿de qué manera manejaremos la información cuando un candidato es contratado y se convierte en nuestro colaborador?”.

Algo similar ocurre con los procesos de nomina: reglamentos como el GDPR y la nueva legislación chilena dan a los colaboradores el derecho a que sus datos personales puedan ser eliminados, si un empleado pide la eliminación de sus datos ¿sabrías cómo responder su solicitud?.


Reflexión Final

A modo de conclusión, debemos tener presente el impacto que cuerpos legales como la GDPR en la Unión Europea, y la nueva legislación en torno a la protección de datos en Chile tienen en sus respectivos contextos, tanto en su medio local como en áreas más específicas como lo puede ser gestión de personas.

Como profesionales del área de Recursos Humanos debemos enfrentamos 2 grandes desafíos. Por un lado, debemos velar por las necesidades de protección de los colaboradores, conforme las nuevas especificaciones legales, así como tener la capacidad para entregar, a su vez, una mirada de valor agregado al manejo de datos para apoyar la gestión organizacional basada en evidencia. Por otro lado, Recursos Humanos tiene la misión de alinear en un objetivo común una serie de equipos interdisciplinarios, que van desde la gestión informática hasta la gestión legal, para lo cual debe velar porque las personas cuenten tanto con las competencias como conocimientos para lograr tales objetivos. Este desafío, como hemos visto en otros artículos, es un desafío clave que posiciona a Recursos Humanos como un elemento crítico en el proceso de transformación digital.

 

 

Diego Abarza Lobos
Psicólogo
Analista de Marketing y Desarrollo - HCMFront

 

Comments are closed.