El proceso de descentralización en las empresas es cada vez mayor debido a las necesidades de recortes presupuestarios sufridos, la tendencia a la racionalización del beneficio y un largo etcétera de factores. No será este el mejor sitio en donde poner de relevancia los “pros” y las “contras” que hacen justificable una eventual tercerizacion de los servicios que, determinadas empresas buscan en otras situadas más allá de sus propios límites territoriales y que en ocasiones, llegan al otro lado del océano.
Algunos países de Latinoamérica, se constituyen como mejor opción para subcontratación de servicios de call center (por ejemplo), gracias a recursos humanos cualificados, costos competitivos, infraestructura en telecomunicaciones y alta calidad en la gestión. Más allá de cualquier criterio socio-económico y problemática social que esto haya provocado (recordemos que se han llegado a producir despidos masivos en empresas de CRM dando lugar a expedientes de regulación de empleo), lo cierto es que se producen ciertas situaciones relevantes y, en ocasiones, múltiples irregularidades en cuanto a la normativa de Protección de Datos de Carácter Personal, tan de actualidad hoy en día. Recordemos en este punto que el “Derecho a la protección de datos” es un derecho personal e inalienable por el que se le reconoce al ciudadano “el derecho a saber porqué y cómo son tratados sus datos personales y decidir acerca del tratamiento”.
Pensemos ahora en una situación cotidiana en la que un cliente o potencial cliente de un operador llama a los teléfonos de atención comercial; comienzan a funcionar todos los procedimientos de enlaces, desvíos y atención de la llamada y dicho cliente, ajeno a este entramado, en ningún momento percibe el “salto” geográfico y mucho menos sabe que su interlocutor le atiende desde otro país. No entraremos si quiera a valorar sobre la ausencia, en cualquier argumentario de atención telefónica, del obligatorio derecho de información, casi siempre incumplido (concedamos el beneficio de la duda) sino de la presumible ausencia de regulación contractual entre las empresas contratantes, situadas, hablando ya en terminología de protección de datos, una como responsable de la base de datos y otra como encargado del tratamiento. Desde la perspectiva que da la experiencia a lo largo de estos años en proyectos de consultoría y auditoría, es difícil encontrar un acuerdo de confidencialidad que cumpla las expectativas de leyes como Protección de Datos de Carácter Personal (como Habeas Data), o tan siquiera una cláusula o estipulación que llame al necesario y obligatorio acuerdo de confidencialidad entre ambas empresas.
Recientemente se aprobó en España la nueva reglamentación de la LOPD (considerada “Madre” de Habeas Data ) que respondiento a planteos de diferentes foros especializados, reuniones de expertos y, sobre todo, las necesidades concretas de los negocios. En su artículo 70 establece que los grupos de empresas, o las que subcontratan la prestación de determinados servicios dispondrán ahora de la posibilidad de suplir la obligatoria firma del contrato con la adopción, implantación y, por supuesto, cumplimiento de NORMAS CORPORATIVAS VINCULANTES. La Directiva prevé que un Estado miembro podrá autorizar una transferencia de datos con destino a un tercer país que no tenga un nivel adecuado de protección (vaya por delante que Argentina sí lo es), cuando el responsable del tratamiento ofrezca garantías suficientes. De esta manera, las normas corporativas vinculantes se configuran como un instrumento que permitiría a las empresas ofrecer garantías para poder llevar a cabo transferencias de datos hacía terceros países.
Las normas corporativas vinculantes serán una alternativa a las cláusulas contractuales tipo que pueden suscribirse entre exportador e importador de datos para la regulación de una transferencia internacional que suponga un acceso a los datos, cuando el destinatario de estos esté ubicado en un país fuera de la Unión Europea y que no goce de un nivel de protección adecuado. Supondrá además que sean vinculantes porque sean un fiel reflejo de la política de privacidad de la empresa titular de los datos, dándola a conocer públicamente al ciudadano afectado así como al resto de personas físicas y jurídicas que intervienen en el tratamiento, así como en la transferencia.
En conclusión, la empresa que adopte sus NORMAS CORPORATIVAS VINCULANTES debe estar en condiciones de demostrar que mantiene un férreo control sobre la destinataria de los datos, en tanto y en cuanto esté en condiciones de demostrar que posee y hace cumplir una política de protección de datos “adecuada”, no habiendo razón alguna por la cual no pudiera intercambiar datos personales con otras entidades del mismo grupo establecidas en estados foráneos.
Lic. Enrique Soria
Responsable del departamento jurídico de Nextivision.
