El tratamiento de la información es un tema de vital importancia para toda organización, la presencia de secretos comerciales, datos personales y, en general, información confidencial que debe resguardarse, hace necesario contar con una Política de Manejo y Divulgación de Información acorde a la altura de las circunstancias.
A continuación, se detallarán aquellos aspectos que permiten sentar las bases de la mencionada política, refiriendo brevemente a los ítems que pueden verse comprendidos en la misma.
- La transparencia en la información.
Registros fidedignos y reportes confiables
Todas las actividades que realice la organización en ocasión de cometer su objeto, incluyendo el desglose de la información requerida por normas contables, tributarias, legales, de compliance u otras, deben ser reflejadas de manera exacta y fiel en los sistemas de registro contable, de medición, reportes diarios y archivos, llevados de conformidad con las disposiciones legales vigentes.
Es así que la organización deberá tomar los recaudos necesarios para asegurar la transparencia de la información y las condiciones de seguridad e integridad de la misma, en todos los niveles de manipulación.
Esto será el puntapié fundamental sobre el cual se asentará la potencial divulgación de la información, caso de corresponder, pues se deberá difundir información veraz, contrastable y fiel de la gestión, que deberá ser comunicada con claridad, tanto interna como externamente.
- Confidencialidad de la información.
Debe preservarse la confidencialidad de toda información cuya divulgación no sea legalmente exigida.
El personal de la organización debe mantener la confidencialidad de toda la información a la que tenga acceso en el desempeño de sus funciones, aún cuando dicha información no haya sido clasificada o no se refiera específicamente a la organización y sin importar el modo en que dicha información se hubiese obtenido o hubiese sido comunicada. Esta obligación incluye, sin limitación alguna, la información obtenida o comunicada en forma oral, escrita, electrónica, a través de inspecciones de libros y registros, a través de grabaciones o en cualquier otra forma, como también la información almacenada en documentos físicos o digitales, imágenes, sonidos, grabaciones de video o de voz, o en cualquier otro formato.
De esta forma, existen empleadas/os que tienen acceso, ya sea en forma habitual u ocasional, a información confidencial debido al tipo de tareas que desempeñan dentro de la organización. Esto puede incluir, por ejemplo, información relacionada con planes de inversión, datos financieros, información técnica, cambios en la estructura gerencial, remuneraciones del personal, servicios actuales o futuros, actividades de investigación y desarrollo, contratos potenciales, información o resultados financieros que todavía no fueron publicados, proyecciones financieras, organigramas, información almacenada en sistemas de almacenamiento de datos de la organización, o cualquier otro tipo de información.
La información confidencial de la organización nunca debe ser compartida con una persona que no la necesite para realizar su trabajo o prestar sus servicios para la organización. Como regla general, la información confidencial sólo puede ser intercambiada con personas autorizadas, cuando exista una necesidad concreta de conocer dicha información. El personal debe seguir todos los procedimientos de seguridad y mantenerse alerta respecto de cualquier situación que pueda causar la pérdida, el uso incorrecto o el hurto o la propiedad de la información. En caso de duda, toda información debe presumirse confidencial y debe ser tratada con cuidado.
La información confidencial de la organización siempre debe ser protegida para evitar la divulgación inadecuada o involuntaria. La política de no divulgación debe ser mantenida conforme a las leyes aplicables, las normas internas y las obligaciones contractuales, o cualquier otra normativa al respecto, hasta que dicha información sea revelada públicamente.
Se sugiere incluir en los contratos de trabajo la obligación de proteger la información confidencial, aún después de que la relación laboral haya finalizado.
- Seguridad de la información.
El acceso a la información debe estar limitado al personal autorizado, adoptar recaudos.
Únicamente podrán tener acceso a la información interna de la organización, sea que esta se encuentre en medios físicos, magnéticos, electrónicos u ópticos, aquellos miembros del personal que estén debidamente autorizados para hacerlo, y sólo podrán utilizar la información para los fines y durante los períodos especificados en la autorización. En correlación, las/os empleadas/os serán los responsables directos en cuanto a tomar los recaudos necesarios para preservar la información contra los riesgos de daños y pérdidas, y de asegurar la custodia por el tiempo que establezcan las normas internas de la organización.
- Privacidad de datos
Limitar la recopilación, transferencia y divulgación de la información personal, protegerla debidamente.
La organización debe respetar la privacidad del personal y de los terceros con quienes se vincula. Por lo tanto, deberá solicitar, obtener y utilizar información de carácter personal sólo en la medida en que sea necesaria para la gestión efectiva de sus operaciones y bajo estricto cumplimiento de las leyes y normativas sobre privacidad de datos aplicables.
Más allá de esto, la organización deberá requerir a su personal que siempre proteja y mantenga la confidencialidad de su propia información de carácter personal y de la información personal de otros y de terceros.
- Uso de recursos tecnológicos.
El hardware y el software sólo pueden utilizarse para los fines de la organización u otros expresamente autorizados por esta.
El personal no podrá utilizar los equipos, sistemas y dispositivos tecnológicos de la organización para fines distintos de aquellos autorizados por misma.
Por ejemplo, el uso de software que no cumpla con los estándares oficiales de la organización no está permitido, salvo con autorización escrita de las áreas técnicas respectivas. El personal que opere recursos tecnológicos será informado sobre las restricciones de uso y deberán actuar de modo de no violar acuerdos de licencia ni ejecutar actos que comprometan la responsabilidad de la organización frente a terceros o frente a las autoridades gubernamentales; debe abstenerse de introducir en los ambientes tecnológicos de la organización copias ilegales de software.
Por su parte, la organización podrá monitorear, en cualquier momento y sin aviso, el uso de sus recursos de tecnología brindados a los miembros del personal y, por ende, a acceder, revisar, copiar o capturar, archivos, documentos, registros, bases de datos, mensajes electrónicos (incluyendo tanto mensajes laborales como personales), actividad en Internet y cualquier otra información generada a través de los mismos. En contrapartida, los usuarios de estos recursos, es decir, los miembros del personal, no deben tener expectativas de privacidad en relación con la información o comunicaciones que sean generadas o transmitidas a través de y/o o almacenadas en los mismos.
No debe quedar dudas: la información y los datos almacenados dentro de las instalaciones de la organización y los recursos de tecnología de la información -incluyendo las computadoras- son de su propiedad y, en consecuencia, la organización puede decidir suministrar esta información a las autoridades o a otros terceros si lo considera apropiado o necesario.
Este artículo es de propiedad de Todocompliance.com y goza de la correspondiente protección de derecho de autor. El presente material ha sido confeccionado en base a información de dominio público, no obstante, no pretende brindar consejo profesional ni dar fe de ser un material completo y actualizado. Se recomienda su uso personal, quedando prohibida su reproducción sin autorización previa y expresa de Todocompliance.com.