P�rdida de informaci�n confidencial del cliente: abogado en problemas

Martín Elizalde

P�rdida de informaci�n confidencial del cliente: abogado en problemas

“You can't always get what you want” Rolling Stones

El departamento legal de una empresa y sus abogados externos son dos eslabones en su cadena de producción que manejan documentos internos sensibles, que pueden contener secretos comerciales, contratos confidenciales o fórmulas y patentes de productos.

Al trabajar en estrecha relación con cada una de las áreas sensibles de la firma, están expuestos a adquirir y mover data confidencial diariamente. En muchos casos, ellos no tienen el control sobre cómo es adquirida y exportada la data por sus propios ordenadores; y sin embargo, si esa  información reservada se hace pública sería crucial para ellos ejercitar ese control.

 Hasta hace poco tiempo, la regla de oro de la actividad legal  era que el abogado tenía acceso irrestricto a toda la documentación concerniente al caso en el que actuaba, ganar tiempo era fundamental: mientras más sabía en menos horas, todos contentos. No creo que esta sea la situación hoy, cuando su rol en el cuidado de la documentación se percibe cada vez más como fundamental: cumplir con protocolos de seguridad es la nueva it girl.

 Es una obligación de cuidado que tiene dos planos. Uno  interno que deriva de  una serie de normas y principios de seguridad informáticos que deben ser cumplidos por todos los integrantes de la organización, incluyendo, desde luego, su  área de legales. La empresa no solo señalará las buenas prácticas, sino capacitará a su personal legal para que las siga y posiblemente lo controlará. El otro plano de la obligación concierne a sus abogados externos, posiblemente la empresa exigirá igual grado de cuidado de la información digital a todos sus abogados, internos y externos para asegurarse de que estos últimos cumplan, transformará las buenas prácticas que define, en parte integrante de un contrato que los abogados externos deberán firmar. Tampoco resulta excesivo contemplar un grado de control  sobre las firmas de abogados, por parte de sus clientes para comprobar que esas prácticas realmente se ponen en vigor.

 Esta es la situación hoy, cuando los estudios nos consultan porque sus clientes les envían requerimientos de seguridad con los que deben (a veces a regañadientes) cumplir.

 Así, en general, se crea un “círculo virtuoso”. Las firmas legales usarán las mismas herramientas de seguridad que sus clientes. La barrera de seguridad se hace más alta- pero por cierto no inexpugnable. No hay Constantinopla entre las firmas de abogados…

 De este modo, términos hasta hace poco  lejanos a la práctica legal como “administración de documentos”, “buenas prácticas”, “seguridad en la transmisión”, “permisos” y hasta (y fundamentalmente) “encriptación” son parte del lenguaje de cualquier abogado - dispuesto a sobrevivir sin un juicio de mala praxis  a cuestas.

 De estos conceptos, quizás el de encriptación sea el más visible, pero no tanto, solo un porcentaje muy pequeño de la documentación que una empresa deriva o comparte con sus abogados, internos o externos, está encriptada. No resulta exagerado exigir en los contratos mencionados que toda la información definida como sensible, reservada o confidencial, sea encriptada por parte de los  estudios de abogados.

 Pero, ¿cómo definir este tipo de información? - y coincidir en la definición; algo no siempre fácil entre abogados. En este sentido,  una referencia puede ser la Model Information Protection and Security Controls for Outside Counsel Possessing Company Confidential Information, establecida por la Association for Corporate Counsel (ACC) una organización que en los Estados Unidos de Norteamérica agrupa más de 42.000 profesionales del derecho.

Según el documento citado, la información confidencial de la empresa sería la que es propiedad de la empresa y no está públicamente disponible, como por ejemplo:

  • La información que se encuentra amparada por el secreto profesional que lleva consigo la relación  cliente-abogado;
  • La información rotulada como confidencial y que si es publicidad podría causar un daño a los intereses de la empresa;
  • Los datos personales (y aquí podemos remitirnos a los así considerados por la legislación de protección de los datos personales en Latam) de un empleado, un cliente, un proveedor  de la empresa. Por su parte, el documento de la ACC define a falta de ley federal de protección de datos personales en USA a esa información como la que puede ser usada para identificar, contactar o ubicar a una persona física, incluyendo un cliente de la empresa, un usuario de su sitio web, su nombre, dirección de IP, de correo electrónico o postal, su teléfono, número de cuentas bancarias, fecha de nacimiento, número de licencia para conducir o cualquier otra identificación emitida por el gobierno;
  • La información referida a la salud;
  • Información relacionada con las medidas de seguridad informática o física de la empresa;
  • Información que pudiera comprometer o incriminar a la empresa, o fuese la base para un litigio en su contra o dañar su reputación o la de sus directivos, empleados o agentes;
  • Información que por Ley requiere ser protegida según las normas aplicables a la data de la empresa

 

Definido el objeto del cuidado, habría que señalar la herramienta para alcanzarlo. Probablemente, la encriptación sea el remedio más fuerte para lidiar contra la pérdida involuntaria de información. El documento de la ACC la prescribe para la que está en “en tránsito”, es decir al transferir información confidencial de la empresa dentro de ella y hacia el abogado externo, pero extiende la recomendación de encriptar aún a la data “en reposo”, o sea la que está en los servidores de la empresa o en los de sus abogados externos. También incluye a aquella que se encuentre almacenada en ordenadores  portátiles (celulares, tablets, laptops)

 El documento no se detiene allí, contiene sugerencias sobre retención, conservación y eliminación de data, seguridad física, monitoreo del cumplimiento de las buenas prácticas  recomendadas, seguros por pérdida o robo de información y hasta cómo y cuándo notificar a la empresa cliente de un incidente de seguridad.

 De todos modos, en Latam, lo digo por la experiencia que tengo en tratar estos temas en bufetes desde el punto de vista de la seguridad informática,  tomará tiempo - y quizás más de un Mossack Fonseca lograr que el tema se instale como prioritario.

 Si hay que esperar a una cadena de incidentes seguidos de la pérdida masiva de clientes,  o si los responsables de las firmas de abogados actuarán  antes, está por verse. 

 Personalmente,  creo que la presión por tomar estas medidas viene desde afuera, es decir de los clientes, más que desde dentro de una genuina vocación por prevenir, pero todo vale si el fin es una mayor protección de la data, conservar la clientela y evitar acciones de responsabilidad civil y penal.

 

Martín Elizalde


Compartir

Comentarios


Artículo sin comentarios

Escribe un comentario