Encargados renegados: ¡ESO YO NO TE LO FIRMO!

Hace algunos días, participé en la reunión de uno de mis clientes con su proveedor de servicios de call center.

Debo aclarar que desde hace un par de semanas estamos en proceso de renovación del contrato de prestación de servicios y del convenio de protección de datos que las partes firmaron como addendum después de haber sido asesorado mi cliente al respecto. Cabe señalar también que a este call center lo tenemos bajo la lupa, debido a la sospecha de fugas de datos que habrían ocurrido en su organización

El caso es que, lo que debió ser un ejercicio de aclaración de ideas, roles y responsabilidades, terminó convirtiéndose en una reunión tensa e inverosímil.

Esto es lo que pasó:

Dentro del proceso de renovación del contrato, comenzamos a solicitar al proveedor determinada información sobre el cumplimiento del servicio y mencionamos la existencia de información sobre una posible vulneración de seguridad. Además, le pedimos que proporcionara evidencia sobre la adopción de diversas medidas de seguridad administrativas y técnicas en relación con los sistemas de información en que procesa los datos personales que son responsabilidad de mi cliente.

Después de una actitud inicialmente cooperativa, el proveedor  comenzó a negar la entrega de información y, finalmente, solicitó que nos reuniéramos.

Para no hacer el cuento demasiado largo, vayamos al punto en el cual el proveedor presentó, de forma más o menos clara, cuál era su posición. Las siguientes afirmaciones resumen las ideas de nuestro encargado renegado:

  • Yo no tengo obligación de adoptar medidas de seguridad para el tratamiento de tus datos [*ojos abiertos];
  • De hecho, esa responsabilidad es de “los dueños de las plataformas” donde están tus datos (o sea, unos sub-contratistas), no de nuestra empresa [* ojos más abiertos];
  • Además, ustedes deberían participar en esta responsabilidad; nunca han revisado quiénes tienen acceso a su información cuando prestamos el servicio [*ojo cuadrado];
  • Mis empleados tampoco son responsables de lo que hacen con tus datos, porque ustedes no nos has dado un manual para saber cómo manejarlos [* boca abierta];
  • De hecho, en la próxima renovación del contrato (*nota: aún creen que habrá renovación) no vamos a firmar el convenio “ése” de los datos personales, porque nosotros no podemos ni queremos asumir esas responsabilidades, que más bien son de ustedes…

plop

Repuestos del PLOP, mi cliente preguntó al proveedor: ¿Y entonces, para qué te queremos? ¿para qué te hemos contratado?

Con dignidad un tanto fingida, el proveedor respondió: ¡Bueno! Nosotros les damos el servicio de call center, pero de sus datos no tenemos por qué responder… ustedes son los RESPONSABLES de ellos, ¿no?

En este punto intervine y pregunté: Pero tú sabes que la ley de datos personales establece que ustedes son un ENCARGADO, ¿verdad? Y también sabes que deben existir cláusulas para regular esta relación, para cumplir con este normativa, ¿verdad?

– Pues la verdad es que no estoy seguro de eso que me dices. Ustedes son el único cliente que me pide firmar esa especie de convenio; todos los demás clientes firman el contrato que les damos, y sólo negociamos las tarifas. Por eso no queremos firmar ese convenio en la siguiente renovación.

Ya estaba listo para otro PLOP, cuando mi cliente aún tuvo ganas de participar, y sacó a relucir mucho conocimiento de estos temas:

  • Vinimos con espíritu constructivo, por lo que de verdad, con todo respeto, debo decirte que no tienen idea de lo que están hablando; necesitan urgentemente una asesoría especializada [¡Zas!].
  • La firma del convenio de protección de datos que firmamos con ustedes la pedimos hace tiempo como parte de nuestra adecuación a la ley; su inclusión en un futuro contrato no es negociable, siempre debe formar parte del contrato de prestación de servicios con nosotros.
  • Como call center, cualquier cliente esperaría que USTEDES fueran los mejor preparados para cumplir con la ley de datos personales; ustedes son ENCARGADOS y forma parte de su actividad tener acceso a los datos de terceros.
  • Es verdad que como responsable de los datos mantenemos el control de esa información, y es verdad que su empresa debe seguir nuestras instrucciones, pero eso no tiene como consecuencia que deba ser mi empresa la que adopte o proporcione las medidas de seguridad para proteger los datos a los que tienes acceso; no tiene sentido… si así fuera,  ¿para qué externalizo este servicio?
  • Necesitan revisar el marco legal, el “nuevo” marco legal sobre datos personales; las cosas ya no son como antes, y nosotros no podemos mantener este servicio con una empresa que no asume su papel de encargado del tratamiento de esa información.

Contuve mis ganas de aplaudir al cliente… y guardé silencio, esperando la respuesta del proveedor.

– Hablaremos con nuestros abogados para que nos digan qué debemos hacer, pues sigo sin estar convencido que debamos aceptar “tanta” responsabilidad.

Y con ello terminó la reunión, sin acuerdo de por medio.

Mi cliente ya comenzó a buscar nuevo call center, y yo me quedé pensando varias cosas:

  1. Esto lo tengo que contar en el blog.
  2. Ya comenzó la etapa en que algunas empresas van a perder clientes porque creen que la ley de datos personales no les aplica (algo que no les incumbe) o de lo cual pueden escapar vía contractual. En el fondo, esta manera de pensar es más cotidiana de lo que uno quisiera admitir.
  3. Serán cada vez más los responsables de datos personales que asuman como “deber de diligencia” la elección de aquellos encargados que ofrezcan “garantías de cumplimiento” sobre las medidas de seguridad que implementan para la protección de esta información, que tratan en nombre de aquéllos
  4. Es deseable que en México se desarrollen, más pronto que tarde, directrices como las que recientemente emitieron, de manera conjunta, la Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos y la Agencia Vasca de Protección de Datos: Directrices para la elaboración de contratos entre responsables y encargados del tratamiento. Sería de mucha ayuda que no sólo unos cuantos abogados especializados fuésemos por ahí exigiendo la existencia de estos contratos/convenios/cláusulas.

Ustedes, ¿en qué lado de la mesa estarían en una situación similar?

¡Hasta el próximo post!

Imagen principal cortesía de pakorn en FreeDigitalPhotos.net

Anuncios

One comment

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s