| |
| |
| |
|
Privacidad y Seguridad del Recurso Humano en la ISO 27001 |
| Por Arean Hernando Velasco Melo |
| Velasco, Calle & D'Alleman. Abogados | Asociado a I-SEC Legal Colombia |
|
La Norma ISO 27001 contiene un dominio denominado seguridad de los recursos humanos. En este aparte, hace referencia a una serie de controles a adoptar antes, durante y después de la relación laboral; en particular se hará referencia a las cargas, deberes y obligaciones propias de la etapa previa a la concreción de la relación laboral.
De la lectura de la parte mencionada de la norma se infiere que la organización debe procurar que los futuros empleados tengan una comprensión clara del cargo a desempeñar, así como la organización debe tener claridad sobre el perfil e idoneidad de los candidatos para los roles a contratar. En este sentido invita la norma a investigar, con particular juicio, a aquellos candidatos que, en caso de vincularse a la organización, tendrán acceso a información privilegiada, sensible o estratégica, cabe anotar bien sea de ella misma o de terceros. El espíritu de la previsión es disminuir los riesgos de fraude, hurto o mal uso de la información.
Es claro que los controles a implantar dentro de la organización, en relación con la seguridad de la información de los recursos humanos, es un desarrollo de la política general en la materia, que debe a su vez incluir una política laboral clara sobre los perfiles requeridos y el tipo de información que se manipula y accede en un cargo determinado.
Sin embargo, no puede perderse de vista que existen obligaciones recíprocas tanto de los empleados hacia la organización, como de ésta hacia las personas que desempeñan esos empleos, roles o cargos; es así como en materia de la seguridad del recurso humano la organización asume la obligación fundamental de garantizar la intimidad de éstos y de asegurar el derecho al ejercicio del habeas data, en cumplimiento del dominio sobre privacidad.
La privacidad si bien no es un término castizo en el ambiente informático y de la seguridad de la información tiene una mejor compresión por parte de los profesionales interesados y responsables de esta materia. La privacidad está relacionada con el Derecho a la Intimidad de las personas - entendido como aquel derecho de cada individuo a proteger la esfera íntima y privada de su personalidad, la cual tiene el carácter de inviolable -; así como al libre ejercicio del Hábeas Data - considerado como el derecho que toda persona tiene de controlar su información personal, cuando esta haya sido entregada por decisión voluntaria o legal, control que implica entregarla, actualizarla, modificarla y cancelarla - postulados que en la mayoría de las Constituciones Políticas del mundo tiene el carácter o dimensión de Derecho Fundamental. La consideración de Derecho Fundamental conduce a que, cualquier violación o desconocimiento de uno de los Derechos así considerados, puede ser protegido a través de mecanismos excepcionales, como la Acción de Tutela o el Derecho de Amparo, que implican pronunciamientos judiciales de suma agilidad y eficacia.
Lo anterior es fundamental para comprender y reflexionar sobre una discusión interesante sobre la seguridad de la información en la etapa previa a la contratación de un empleado. Como es sabido la etapa previa está caracterizada por un proceso de selección fundamentado en pruebas psicotécnicas o psicológicas que permite identificar rasgos de personalidad y comportamiento, mediante la aplicación de un conjunto de herramientas o pruebas, reconocidas y aceptadas en la órbita de la psicología organizacional. Según los resultados obtenidos por los candidatos a una vacante, la organización toma la decisión de contratarlo o no contratarlo. Hasta aquí la situación es transparente y pacífica. La controversia se manifiesta cuando esa persona que se ha postulado a un cargo no es elegida, entonces, cabe preguntarse sobre el derecho de esta persona a conocer los resultados de las pruebas psicotécnicas que le fueron practicadas por la organización.
La tendencia en las organizaciones está orientada a no permitir el acceso del evaluado a los resultados de las pruebas psicotécnicas que fueron practicadas. Sin embargo, cuando se ahonda en la situación expuesta, y se tiene comprensión sobre el hecho de que pruebas practicadas arrojan datos sobre las características de personalidad, hábitos de comportamiento, tendencias sexuales, rasgos de enfermedades mentales, entre otros, no cabe duda que los resultados de las pruebas ya no sólo están en la esfera de la privacidad de los datos personales, sino que los terrenos que se exploran corresponden a información o datos sensibles, los cuales, son especialmente protegidos por la ley o por la jurisprudencia, en virtud del carácter radicalmente íntimo que estos tienen.
De ahí, que en materia de seguridad de la información del recurso humano, en atención de los dispuesto por la ley o la jurisprudencia, según sea el caso, las organizaciones deben regular de manera prudente, el manejo y tratamiento de la información personal que recaben en los procesos de selección, so pena de incurrir en violaciones a las normas o leyes sobre intimidad y habeas data, con los efectos económicos que de ellas puedan desprenderse, los cuales pueden ser altamente onerosos.
|
|
