Proveedores de Servicios a las Víctimas y Filtraciones de Datos: Consideraciones para el Desarrollo de Políticas Efectivas
El problema
Muchos proveedores de servicios para las víctimas actualmente mantienen registros electrónicos que contienen información personal identificable (PII, por sus siglas en inglés) detallada sobre las personas que recibieron servicios. Debido a que la confidencialidad y la privacidad son esenciales para la seguridad y el bienestar de los/las sobrevivientes, y dado que los sistemas electrónicos son vulnerables a las filtraciones de información, la Oficina de Violencia contra las Mujeres (OVW, por sus siglas en inglés) ahora exige que todos los programas beneficiarios cuenten con un plan en desarrollo para dar respuesta ante las filtraciones de información. Muchos estados y territorios también cuentan con leyes que exigen que las entidades, que pueden incluir programas de agresión sexual y de violencia doméstica, sigan ciertos pasos en el caso de una filtración de datos.
Lo que pueden hacer los programas
Si se infringen los registros electrónicos y la información personalmente identificable se divulga fuera de la agencia, los proveedores de servicios a las víctimas deben contar con un plan en desarrollo para dar respuesta ante filtraciones de datos que cumpla con los requisitos de la Oficina de Violencia contra las Mujeres (OVW, por sus siglas en inglés) y con las leyes estatales, y que también proteja la privacidad y confidencialidad de los/las sobrevivientes cuya información personalmente identificable fue divulgada. Los programas deberán informar a los/las sobrevivientes que su información fue divulgada a fin de que ellos/ellas puedan adoptar medidas para protegerse contra cualquier potencial consecuencia de tal divulgación. Los programas también deberán estudiar detenidamente de qué manera establecerán un contacto seguro con los/las sobrevivientes para notificarlos/as sobre la filtración de información.
A continuación se mencionan algunas consideraciones para que los programas analicen con el objetivo de mejorar su gestión de datos y generar políticas sólidas contra la filtración de información que den prioridad a la seguridad y privacidad de el/la sobreviviente. Le recomendamos abordar los siguientes temas a medida que trabaja con un/una abogado/a para confeccionar un proyecto de política que cumpla con los requisitos federales, estatales, territoriales y locales exclusivos de su programa.
Consideración N.° 1: Realice auditorías de sus procesos de retención y adquisición de datos
La mejor manera de evitar la divulgación de información personalmente identificable en un caso de filtración de datos es minimizar el volumen de información personalmente identificable que se recopila y se retiene en primer lugar. La mejor práctica para la recopilación de información es recopilar la menor cantidad de información posible y conservarla durante el menor tiempo posible que sea necesario, teniendo en cuenta los requisitos de documentación de los patrocinadores. Revise todas sus prácticas actuales de recopilación y retención de datos, no recopile información innecesaria, reduzca el tiempo de retención de los datos y examine estas políticas y prácticas de forma anual. Para obtener más información, revise nuestras Preguntas Frecuentes sobre la Retención y Eliminación de Registros.
Consideración N.° 2: Desarrolle medidas de protección sólida de datos
Trabaje con profesionales de TI para asegurarse de que las medidas de protección de datos de su agencia estén actualizadas y de tener en marcha los mecanismos adecuados para proteger la información que recopila. Dado que la información que recopila y almacena es confidencial y podría tener una gran repercusión en la privacidad y la seguridad de los/las sobrevivientes que atiende, es fundamental que sus datos estén tan protegidos como sea posible. Revise sus prácticas de protección de datos cada 6 meses y haga actualizaciones según sea necesario. Para obtener más información sobre la importancia de la privacidad, la confidencialidad y la protección de datos consulte nuestra Lista de Control de Protección de Datos para Incrementar la Privacidad y Seguridad de las Víctimas.
Consideración N.° 3: Determinar las leyes aplicables
El primer paso para generar procedimientos y políticas internas es identificar los requisitos específicos y las leyes que se aplican a su programa. Si bien las condiciones especiales de la Oficina de Violencia contra las Mujeres (OVW, por sus siglas en inglés) y las leyes de notificación de filtración de datos estatales establecen requisitos específicos que las organizaciones deben seguir cuando se filtra información personal de una persona, estas organizaciones no proporcionan políticas modelo. Las políticas deben redactarse con la asistencia de un/a abogado/a para garantizar que se consideren e incorporen todos los requisitos jurídicos aplicables.
Leyes federales
De conformidad con las Condiciones Especiales incluidas en el los subsidios del Ejercicio Fiscal 2019 en el marco de la Ley de Violencia Contra las Mujeres (VAWA, por sus siglas en inglés), todos los beneficiarios de subvenciones y los sub-beneficiarios de cualquier nivel deberán contar con procedimientos escritos en desarrollo para responder en el caso de una filtración real o inminente (tal como se define en OMB M-17-12) si el beneficiario o sub-beneficiario de la subvención:
1. Crea, recopila, utiliza, procesa, almacena, conserva, difunde, revela o dispone de información personalmente identificable (PII, por sus siglas en inglés) (tal como se define en 2 C.F.R. 200.79) dentro del alcance de una actividad o programa financiado a través de un subsidio de la OVW, o
2. Utiliza o gestiona un sistema de información federal (tal como se define en la Circular de la OMB A-130)
En algunos casos, los proveedores de servicios a las víctimas también pueden estar sujetos a la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA, por sus siglas en inglés). (Lea el documento Covered Entities & Business Associates (Entidades Cubiertas y Socios Comerciales) del Departamento de Salud y Servicios Sociales de los Estados Unidos para conocer si existen reglas HIPAA aplicables a su organización). Las Reglas de Seguridad y Privacidad de HIPAA tienen requisitos específicos para la protección de información de salud protegida, junto con protocolos específicos que los programas deben respetar en respuesta a eventos de filtración de datos.
Leyes territoriales y estatales
Todo estado y territorio de EE. UU. cuenta con una ley de respuesta a la filtración de datos. En general, estas leyes establecen requisitos específicos sobre la forma en que las organizaciones deben notificar a las personas cuya información personal confidencial se hubiera filtrado. La organización Privacy Rights Clearinghouse ha publicado un resumen de todos los estatutos de filtración de datos estatales y territoriales.
En la mayoría de los estados y territorios, el estatuto se aplica a las organizaciones que conservan de manera digital nombres o números de identificación personal en un formato sin cifrar. Los programas de servicio a las víctimas que recogen y almacenan números de identificación personal (como números de seguro social) o conservan información personal en un formato no cifrado pueden ser obligados a cumplir con dichos estatutos. Aviso: Almacenar información personalmente identificable en un formato no cifrado no constituye una mejor práctica. Garantizar que los datos estén cifrados disminuirá significativamente la posibilidad de una filtración.
Consideración N.° 4: Comunicarse con las personas afectadas por la filtración
Desde 2005, la Ley de Violencia Contra las Mujeres (VAWA, por sus siglas en inglés) ha exigido que los programas de servicios a las víctimas realicen los intentos razonables para notificar a los/las sobrevivientes si su información será divulgada cuando existe un orden válida. Este requisito también se aplica en el caso de divulgaciones accidentales o no autorizadas, como sucede en una filtración de información. A fin de cumplir con este requisito, los programas ya deberían disponer de procesos que les permitan realizar intentos razonables por notificar y brindar apoyo de seguimiento a los/las sobrevivientes.
Esos procesos deben diseñarse de manera que los programas puedan ponerse en contacto con el sobreviviente sin revelar a otros/as que la persona recibió servicios, lo que supone considerar detenidamente cómo se notificará a un/a sobreviviente y cómo minimizar los riesgos de intercepción accidental o intencional. Los programas también deberían asegurarse de considerar de qué manera las notificaciones pueden afectar a los/las sobrevivientes y estar preparados para responder. Algunos/as sobrevivientes podrían necesitar servicios de intercesoría, algunos podrían necesitar apoyo emocional, y otros podrían solicitar ser referidos a medida que abordan las repercusiones de la divulgación accidental o no autorizada.
La mayoría de los estatutos de respuesta a la filtración de datos estatales y territoriales son de naturaleza obligatoria en sus requisitos de notificación y requieren que se envíe una notificación directa por escrito a todas las personas afectadas por una filtración de datos, por correo postal o correo electrónico. Aunque existen posibles preocupaciones sobre la seguridad y la privacidad cuando un proveedor de servicios a las víctimas se pone en contacto con un/a sobreviviente de esta manera, estos estatutos generalmente no reconocen tales preocupaciones como excepción a este requisito. (Este es otro motivo por el cual los programas deberían limitar la cantidad de información personalmente identificable que retienen en primer lugar, además de garantizar que los datos de identificación personal que tengan almacenados estén encriptados y asegurados). Sin embargo, algunos estatutos estatales y territoriales de notificación de filtración de datos pueden ser flexibles y permitir que se incluyan consideraciones de privacidad y seguridad en las políticas de respuesta a la filtración de datos, siempre que la organización desarrolle una política y un procedimiento consistentes con el espíritu del estatuto.
Los programas deberían trabajar con un/a abogado/a local y sus coaliciones estatales y territoriales de violencia doméstica y de agresión sexual a fin de desarrollar un mecanismo para notificar a los/las sobrevivientes sobre una filtración de datos que sea razonable, seguro y que cumpla todas las leyes aplicables.
Las políticas de notificación de filtraciones deben:
considerar la seguridad y privacidad de los/las sobrevivientes,
respetar la confidencialidad del/de la sobreviviente,
cumplir con el propósito de todas las leyes aplicables, y
informar de forma razonable a los/las sobrevivientes cuyos datos se hayan filtrado para que puedan tomar medidas para minimizar el daño que podría haber sido causado por la filtración.
Consideración N.° 5: Notificar a agencias gubernamentales
A partir del año fiscal de 2019, los procedimientos de respuesta a las filtraciones de los datos de las partes beneficiarias de los subsidios de la Ley de Violencia Contra las Mujeres (VAWA, por sus siglas en inglés) deben incluir un proceso para denunciar la filtración real o inminente de información personal identificable a un Administrador de Programas de la OVW antes de las 24 horas posteriores a la ocurrencia de una filtración real o de la detección de una filtración inminente. Los pocos programas que consisten en entidades cubiertas por la HIPAA también deben cumplir con la Regla de Notificación de Filtración de HIPAA que se encuentra en 45 CFR §§ 164.400-414.
Resumen
Los/las sobrevivientes enfrentan riesgos importantes para la seguridad y la privacidad que pueden aumentar rápidamente si su información personal se comparte sin su consentimiento. Las estrictas obligaciones de confidencialidad detalladas en la Ley de Violencia Contra las Mujeres (VAWA, por sus siglas en inglés), la Ley de Servicios y Prevención de Violencia Familiar (FVPSA, por sus siglas en inglés) y la Ley de Víctimas de Delito (VOCA, por sus siglas en inglés) fueron establecidas para reducir al mínimo esos riesgos, garantizando que los programas de servicios a las víctimas estén legalmente obligados a proteger la privacidad y la autonomía de los/las sobrevivientes. Las organizaciones deberían emplear las mejores prácticas relacionadas con la recopilación, la retención y la eliminación de información y deberían trabajar con un/a abogado/a local y su coalición estatal o territorial para garantizar que, en caso de filtración de datos, dispongan de un plan de respuesta que equilibre cuidadosamente sus obligaciones legales con la seguridad, la privacidad y el bienestar emocional de los/las sobrevivientes a quienes prestan servicios.
Este documento fue redactado en colaboración con el Instituto de Confidencialidad de Danu Center y el proyecto Resource Sharing Project. Póngase en contacto con nosotros si tiene preguntas de seguimiento.
