normativa ética sobre privacidad de datos y monitoreo (ética y negocios-maestría) - Jorge Escamilla

Vista previa del material en texto

Nombre de la maestría:
	Maestría en Administración con Acentuación 
en Planeación Estratégica
	Nombre de la materia:
	Ética Profesional
	Nombre del alumno:
	Jorge Luis Escamilla García
	Nombre del tutor:
	Dra. Karla Morán Santibáñez.
	Título de la actividad:
	Tecnología y privacidad
	Datos de entrega:
	30 de abril de 2023
Introducción
En la actualidad casi la totalidad de empleadores como requisito de ingreso a laborar en sus empresas generan un expediente identificador electrónico donde se recaba información personal, desde datos personales básicos como nombre, edad, sexo, etc. y donde por otro lado se ingresa y almacena información con carácter de delicado, como pueden ser enfermedades preexistentes, dirección y teléfonos de contacto, así mismo pueden incluirse datos que quedan dentro del contexto de información personal pero que a uso y necesidad de la empresa se solicitan al ingreso, como número de seguridad social, número de cuenta bancaria y por otro lado resultados de exámenes toxicológicos.
Generalmente esta información está almacenada dentro de una base de datos que se encuentra resguardada por el área o departamento de informática de la empresa y se encuentra protegida por altos estándares de seguridad para evitar la vulnerabilidad de esta. Dicha información fue expresada y compartida con un único fin al ingreso como empleado a una determinada empresa, sin embargo cuando esta información solicitada es requerida quizá queda como cuestionamiento el cuanto o por qué esta debe permanecer almacenada, ya que si se trataba como requisito para ingreso a la empresa, lo ideal es que si se válida, verifica y comprueba la información, toda esa información catalogada como “sensible” sea depurada quedando y resguardando solamente la información básica necesaria para identificación y ubicación del empleado.
Al final, todas las innovaciones y surgimientos en relación con las tecnologías de la información presuponen un mayor blindaje, almacenaje y protección de esta información, pero ello no descarta alguna vulnerabilidad y en cierto caso abuso a la privacidad personal.
Desarrollo
Normativa de privacidad y código de cumplimiento de uso de datos con información sensible expedida por la empresa de seguros AXA México donde labore como médico dictaminador.
1.- Uso de equipo de cómputo personal y acceso a una red virtual privada (virtual private network): al utilizar un equipo de cómputo proporcionado por la empresa como prioridad principal se busca que sea utilizado solamente para la tarea asignada con solamente las aplicaciones determinadas e instaladas por el área de soporte, de igual forma se realiza una conexión virtual y remota a una red VPN proporcionada y administrada por la empresa, donde de manera estricta se realiza un monitoreo permanente de acceso a sitios de internet no seguros y al rastreo de uso de correo electrónico ya que al utilizar información de personas que contratan un seguro de gastos médicos con la empresa esta información sensible queda a expensas de ser compartida con un tercero para sacar uso y/o beneficio de la misma.
Considero que al ser una empresa internacional con alto número de clientes, la información recibida y que se maneja dentro de su actividad diaria queda con un alto estándar de manejo y protección, a lo cual se me hace el indicado y correcto; por otro lado el monitoreo constante puede parecer excesivo pero por lo explicado se comprende la naturaleza de que sea así, solo que a veces hay un exceso de restricción y hermetismo por parte de lo que uno como empleado puede incluso compartir con compañeros de trabajo.
2.- Monitoreo de acceso al equipo de cómputo: dicha información queda en un registro debido a que obligatoriamente para poder hacer uso de la computadora está debe ser conectada a una VPN, a lo cual, cuando en año de pandemia se trabajaba en modalidad hibrida (oficina y casa) tenias que cumplir un horario pero si demorabas más de cinco minutos sin actividad en la computadora esta se bloqueada y generaba un aviso al operador de red el cual avisaba y notificaba al manager responsable de que el empleado se había desconectado cuando solamente se había retirado de su área de trabajo para ir al sanitario. Como opinión propia esta medida se me hacía muy rígida ya que si generaba un poco de molestia el hecho de ni siquiera poder ir al sanitario; creo que por la situación y contexto personal de trabajo en casa estas medidas fueron implementadas de esta manera, a lo cual hoy en día creo ya fueron modificadas.
3.- Prevención de conflictos de interés: En la empresa se firma y sigue un aviso de privacidad para evitar compartir información con proveedores y con terceros para bien propio, ya que dentro del tipo y giro de empresa se manejaban contratos semiexclusivos con ciertos hospitales locales o de la región, a lo cual si se compartían costos o gastos para procedimientos médicos esto repercutiría en la empresa. Creo que de nuevo esta implementación era la correcta ya que como empresa y empleador debes respetar y proteger el bien de la empresa, así como las negociaciones realizadas y alcanzadas con algún proveedor y cliente en particular.
4.- Prevención de discriminación y acoso: algo que aplaudía y me generaba gusto era el hecho de que dentro de la normativa laboral no existía ningún tipo de discriminación sexual o física, a lo que esto generaba un ambiente laboral mas sano y confortante. Personalmente me agradaba saber que era una empresa inclusiva y que respetaba identidad y preferencia sexual. 
5.- Manejo de información confidencial: al tratarse de una empresa que maneja y atiende enfermedades y/o medicamentos, el cliente compartía información sensible sobre diagnósticos y datos financieros como números de cuenta por lo cual dentro del protocolo de atención si, de primera mano se identificaba algún número de cuenta bancario este debía ser rechazado e informando al cliente que debía reingresar la información solicitada sin los datos bancarios, esto siguiendo el sistema de protección PCI DSS (estándar de seguridad de datos para la industria de tarjetas de pago)
6.- Respeto por la salud y seguridad: en el edificio de trabajo existe un acceso y salida monitoreada por guardias de seguridad donde al ingresar se te solicita tu identificador como empleado (tarjeta física que abre una primer puerta de acceso) y así mismo se esta registrando la hora de entrada y salida ya que se utiliza la tarjeta de acceso como identificador de entrada y salida, en dicho lobby se encuentra una cámara de circuito cerrado para uso cuando al edificio visita algún proveedor externo. Este punto es de suma importancia y me parece excelente, ya que se busca la seguridad propia como empleado ya que esto garantiza que en el edificio solo se encuentren trabajadores y personal que debe estar ahí.
7.- Participación en medios de comunicación y redes sociales: al tener acceso a datos confidenciales de personas en general, en ocasiones un cliente asegurado es una persona de interés público o social por lo cual uno como empleado puede tener acceso a información sensible y especifica, dentro de esta normativa se expresa literalmente el prohibir o compartir información relacionada con familiares o amigos y a no comentar información conocida en sitios de interés como redes sociales o paginas de noticias donde se este informando sobre la persona afectada. Considero este punto de suma importancia ya que la privacidad de datos del cliente es el pilar de confianza que se espera sea otorgado por la empresa (empleador activo).
8.- Protección de libre competencia: como nuevo empleado de la empresa debes respetar el no compartir información sensible fuera de los intereses de la empresa, se detalla el ejemplo de haber trabajado con empresas de la competencia, de tal manera que no puedes sacar ventaja de ello, este punto queda a percepción de lo que el empleado considere como ventajoso y como uso de información privilegiada, ya que como tal solo se hace la mención de no cometer falta en ello condicionandoal empleado a firmar un aviso de confidencialidad) documento legal que te obligue a no compartir información operativa de la empresa ni usarla o compartirla con la competencia. Creo que puede ofrecer una ventana de mejora el hecho de que como empresa que cuida sus intereses y activos formalizar esta normativa con un antecedente legal (firmar un aviso de confidencialidad) el especificar hasta donde queda delimitada la información catalogada como sensible.
Conclusión
Al reflexionar sobre datos sensibles o información privilegiada, muchas de las veces creemos que como empleado quedamos susceptibles a un mal manejo y/o almacenaje de la misma, sin embargo que el panorama cambia cuando específicamente eres empleado de una empresa que maneja e intercambia información sensible tanto personal, financiera y de salud de otras personas, en este ejemplo la perspectiva cambia totalmente y como acreedor y manipulador de estos datos causa en uno mismo la idea de respeto, confidencialidad y seguridad de toda esa información que legalmente se te ha sido compartida y al menos para realizar tu trabajo.
En la actualidad, con el avance tecnológico que existe cada vez es más fácil estar manipulando información sensible, tanto propia como de la empresa por lo cual los estándares de calidad, protección y privacidad de ello debe ser uno de los principales puntos fuertes de la organización. Si se confía que como empresa utiliza, respeta y almacena la información de sus clientes, esta el entre dicho que también cuida la información que con el tiempo se ha recabado de cada empleado.
La nueva era digital, así como genera un acercamiento instantáneo también ocasiona nuevas vulnerabilidades a las brechas de seguridad de tal manera que como usuario de estas herramientas tecnológicas debemos el procurar siempre resguardar y proteger la información personal propia y de la empresa con altos estándares de calidad para que la normativa de seguridad y privacidad de datos sea eficiente.
Creo indistintamente que debe existir en México una regularización modernizada y especifica en materia de privacidad y uso de información sensible ya que muchas de las empresas que si rigen, protegen y siguen estas regulaciones son empresas del extranjero y que muchas de las veces estas normativas son expedidas casi en automático por el uso y homologación de otra filial de otro país donde las regulaciones son un tema prioritario; dejando una amplia desventaja con aquellas empresas nacionales que quizá por motivos no conocidos, justificados y no mal intencionados no realizan una protección y uso pertinente de datos sensibles de empleadores y a su vez de sus clientes.
Bibliografía
1.- (2021). Axa.Mx. Código de cumplimiento. https://axa.mx/documents/10928/14849946/Codigo+de+Cumplimiento+y+Etica+de+AXA.pdf/
2.- Official PCI Security Standards Council site. (2022, March 25). PCI Security Standards Council. https://www.pcisecuritystandards.org/