Este documento es un panorama general de la información importante y de los conceptos de confidencialidad, y una guía de las varias consideraciones que deben tenerse en cuenta al elegir una base de datos. Podemos destacar: su propósito, la confidencialidad, la seguridad de la información y la capacidad del programa (incluyendo costos, tecnología y personal). Este documento está dirigido principalmente a programas de servicio para víctimas basados en la comunidad que estén regulados legalmente por la Ley de Violencia Contra las Mujeres (VAWA, por sus siglas en inglés), FVPSA, y VOCA para mantener la confidencialidad.

Podrá acceder a herramientas de acompañamiento, como listas de verificación, formularios de comparación y una guía auditiva, que serán de utilidad en este proceso. 

Propósito

Cuando se prepare para elegir un/a proveedor/a de la base de datos, es importante tener en claro por qué su programa necesita una base de datos y cómo pretende utilizarla. El propósito de la base de datos definirá la mayor parte de las elecciones de diseño y demás decisiones. Si su programa solo ha utilizado archivos en papel, ¿por qué desea cambiar a un sistema electrónico en este momento? Si su programa ha utilizado un sistema interno y ahora considera una base de datos de un proveedor basada en la nube, ¿por qué cambia?

Defina con claridad qué tipo específico de información le solicitan o exigen sus patrocinadores. Incluya también los tipos de información que utiliza para la planificación interna, el trabajo programático y el alcance. En cada etapa, deténgase a considerar qué información es realmente necesaria para brindar servicios de calidad, no invasivos y enfocados en los/las sobrevivientes. Limite esa lista tanto como pueda para implementar la mejor práctica de recolectar la menor cantidad de información posible. Una vez que tenga una perspectiva clara sobre qué información necesita recolectar y qué informes deberá completar, le será más fácil identificar a los/las proveedores/as que ofrecen herramientas que cumplen con sus necesidades.

Si descubre que los/las patrocinadores/as o los/las socios/as solicitan información personal identificable, dialogue con ellos/as acerca de cómo esa información podría comprometer la seguridad y la privacidad de los/las sobrevivientes y sus obligaciones legales de mantener la confidencialidad.

Privacidad, confidencialidad y privilegio

La privacidad hace referencia al derecho de cada sobreviviente a elegir con quién desea compartir su información. Esta información abarca cualquier maltrato que haya experimentado y cualquier ayuda a la que haya acudido. Respaldar el derecho a la privacidad de un/a sobreviviente es una parte esencial de la intercesoría enfocada en los/las sobrevivientes. Esto impacta en su seguridad, su confianza con la organización, su habilidad para controlar su propia vida y su dignidad.

La confidencialidad incluye las medidas que, como proveedores/as de servicios, estamos obligados/as a tomar para proteger la capacidad del/de la sobreviviente para elegir quién puede acceder a su información. La confidencialidad de la información de los/las sobrevivientes de violencia doméstica y agresión sexual que recolectan los/las proveedores de servicios para víctimas financiados por el gobierno está regulada por la ley federal estadounidense (VAWA 34 USC §12291(b)(2); FVPSA 42 USC § 10402; VOCA 28 CFR 94.115, entre otras) y por leyes de la mayoría de losestados.

El privilegio se refiere a una regla legal que prohíbe que ciertos/as profesionales difundan información de terceros contra su voluntad. En términos generales, cuando un/a intercesor/a tiene privilegio, una corte no puede obligar a un/a sobreviviente o a su intercesor/a a que divulgue información compartida entre el/la sobreviviente y el/la intercesor/a, ni tampoco puede imponer un castigo si un/a sobreviviente o un/a intercesor/a se negara a divulgar la información. 

Puede consultar estas tres herramientas en nuestro kit de confidencialidad para obtener información más detallada:  Obligaciones de confidencialidad en virtud de las leyes VAWA, FVPSA y VOCA, Resumen de las leyes de los estados relacionadas con la confidencialidad de los/las intercesores/as y una guía sobre privilegio y confidencialidad para proveedores/as de servicios para víctimas (en Inglés).

 

Archivos de clientes: Contenido y retención

Un primer paso para garantizar que una base de datos realmente sea confidencial es considerar qué información de los/las sobrevivientes recolecta su programa. La mejor práctica es recolectar la mínima cantidad de información identificable necesaria para brindar servicios, y que sea retenida durante la menor cantidad de tiempo necesario. No todo debe ser anotado, compartido con colegas, procesado o retenido. Solo mantenga la información que considere absolutamente necesaria para brindar servicios y para cumplir con las necesidades definidas de los/las sobrevivientes, o la necesaria para cumplir con las leyes o regulaciones aplicables. Elimine el resto de la información con regularidad y de forma íntegra. Para obtener más información, lea nuestras Preguntas Frecuentes sobre la Retención y Eliminación de Registros (en Inglés).

La recolección de datos durante el ingreso y los servicios debe cumplir con los intereses del/de la sobreviviente. La clave del trabajo de intercesoría incluye conversar con un/a sobreviviente y oír su historia. A partir de allí, trabajamos con el/la sobreviviente para evaluar sus preocupaciones inmediatas de seguridad, sus necesidades y objetivos. Las bases de datos pueden hacer que sea muy simple “agregar solo una pregunta más” al cuestionario de ingreso, lo cual puede generar que el equipo de trabajo se enfoque más en completar los campos del formulario que en escuchar las necesidades del/de la sobreviviente. Las encuestas de ingreso no deben parecer una carga para los/las sobrevivientes ni para el personal del programa; deben estar enfocadas en reunir la información básica necesaria para brindar servicios.

Converse de manera habitual con los/las sobrevivientes acerca de la información que reúne y permítales revisar su propio archivo de cliente. Los/las sobreviviente podrán comentarle qué información es antigua, qué información quieren eliminar, qué quieren mantener y qué información puede divulgarse o no en caso de muerte (y en un posible informe de mortalidad). Las vidas y circunstancias de los/las sobrevivientes pueden cambiar, por lo cual la información que reúne una agencia puede quedar desactualizada y volverse potencialmente dañina en otro momento.

La obsesión de nuestra cultura con la información condiciona a las personas a olvidarse de las invasiones diarias a la privacidad. Compartimos nuestra información personal a cambio de descuentos, para conseguir la aplicación más popular y nueva, e incluso solo para no parecer complicados. Para los/las sobrevivientes, una falla en la privacidad podría convertirse rápidamente en una situación de vida o muerte. Al asentar protecciones firmes a la confidencialidad y ofrecer de forma activa la oportunidad de no aceptar la recolección de información mediante el consentimiento informado, le demostramos a los/las sobrevivientes que comprendemos el impacto de la privacidad en su seguridad y que tienen el derecho de controlar su información.

 

Información de sobrevivientes

Hay algunos términos importantes que ayudan a entender la información y confidencialidad de los/las sobrevivientes.

Información personal identificable (PII, por sus siglas en inglés) es información que puede ser utilizada sola, o en combinación con otra, para identificar a un/a sobreviviente. Ejemplos obvios pueden ser el nombre o la información de contacto. Sin embargo, ciertas categorías demográficas individuales como la raza, la etnia, el género y la religión, entre otras, también pueden identificar a una persona cuando se utilizan en conjunto. Por ejemplo, en una zona rural, categorías demográficas como: “sudasiático”, “homosexual”, y “masculino”, podrían ser utilizadas con facilidad para identificar a alguien de la comunidad.

Consentimiento informado requiere que los/las sobrevivientes tengan siempre la posibilidad real de decidir si quieren utilizar su información y de qué forma. Esto significa que deben poder determinar exactamente qué detalles se recolectarán, almacenarán y compartirán, que se les debe informar quién tendrá acceso a la información, y que pueden determinar por cuánto tiempo se otorga dicho acceso. Se les debe entregar información que les ayude a comprender los riesgos y beneficios de que su información sea recolectada, almacenada y compartida. Deben saber que tienen la posibilidad de retirar su consentimiento y de no aceptar la recolección de información en cualquier momento.

Nunca se debe forzar a un/a sobreviviente a aceptar la divulgación de su información como condición para acceder a los servicios. Algunos patrocinadores exigen que se hagan ciertas preguntas a fin de reunir más información, pero afirman que “permiten” que los/las sobreviviente den su consentimiento u opten por no hacerlo. En estas situaciones, es útil preguntar qué pasaría si la mayoría de las personas decidiera no compartir la información cuando tienen la posibilidad de un consentimiento realmente informado. ¿Se castigará o presionará a su organización por la manera en que los/las sobrevivientes ejercen sus elecciones de privacidad? Si la respuesta es sí, no es un proceso realmente basado en el consentimiento.

Información a nivel cliente o información global. La información a nivel cliente hace referencia a la información acerca de una familia o persona en particular. La información global implica el total de personas o familias a las que se brindó servicio.

Se permite que las agencias compartan información global que no sea personalmente identificable acerca de los servicios que hayan brindado. Las condiciones de subvención federales también permiten que se comparta información demográfica que no sea personalmente identificable para cumplir con los requerimientos de informe, evaluación o recolección de información federales, estatales, tribales o territoriales. Es por este motivos que los programas suelen considerar una base de datos.

Seguridad de la información

Además de tomar decisiones acerca del acceso autorizado a la base de datos, también debe tomar fuertes precauciones contra las violaciones de seguridad accidentales o maliciosas. Los programas deben atenerse a la frase, “no almacene lo que no puede proteger”. Es posible que las condiciones de la subvención exijan contar con políticas de violación de la información (la subvención OVW incluye este requerimiento). Obtenga más información sobre el desarrollo de políticas de violación de la información.

Aunque existe un riesgo incluso para los archivos en papel, almacenar información sensible de los/las sobrevivientes electrónicamente y transmitirla por internet supone riesgos adicionales. Cualquier información almacenada en una computadora con acceso a internet es vulnerable a intercepciones o filtraciones. Sopese estos riesgos junto con los potenciales beneficios, incluida la facilidad en tareas como realizar informes o entregas, la continuidad de los servicios y la recuperación de información en caso de un desastre.

Archivos en papel

  • Riesgos: acceso no autorizado a los archivos físicos; destrucción de los archivos en un desastre natural; la información podría quedar almacenada en el disco duro de una copiadora o máquina de fax.

  • Beneficios: no hay riegos de “hackeo” o acceso no autorizado a distancia.

Base de datos “catálogo de tarjetas”

En este método se utilizan tanto las bases de datos de referencia como los archivos en papel. La información se ingresa con un código de cliente no identificable en vez de un nombre. Los archivos en papel se rotulan con el mismo código, lo cual ayuda al personal a identificar a qué gabinete archivador debe dirigirse para encontrar un archivo en papel. 

  • Riesgos: lo mismos que para los archivos en papel, sumado a que los códigos no identificables podrían ser identificables de acuerdo a la PII.

  • Beneficios: no hay riegos de “hackeo” o acceso no autorizado a distancia.

Base de datos interna

El equipo y el software para la base de datos se encuentran en una computadora o servidor en su oficina principal. La opción más segura es que la base de datos se mantenga en una computadora que no esté conectada a internet ni a otros dispositivos que estén conectados a internet. Se debe restringir el acceso solo a los/las empleados/as confiables y a un/a oficial de junta. Las prácticas y protocolos deben auditarse anualmente para ayudar a garantizar el mantenimiento de los estándares de seguridad y confidencialidad.

Es importante considerar que toda información ingresada a la base de datos puede ser recuperada incluso después de ser borrada. Normalmente esta información solo se elimina realmente cuando se la sobrescribe con nueva información. La mejor práctica es generar copias de respaldo seguras de la información en una base de datos interna con el mismo nivel de seguridad que la fuente original. Considerando la preparación ante desastres, las copias de respaldo deben ser almacenadas in situ en una caja fuerte hermética e ignífuga, o de forma externa en una caja de depósito segura. Las políticas deben definir con claridad durante cuánto tiempo se retendrá la información y un calendario regular con procedimientos para eliminar la información tanto de la copia de trabajo de la base de datos como de todas las copias de respaldo.

  • Riesgos: acceso no autorizado a través de una computadora conectada a internet; la responsabilidad por la seguridad del equipo y del software recae en el personal o en un tercero contratado; el personal podría compartir información confidencial por accidente o a propósito, o aprovechar su acceso a las bases de datos para realizar búsquedas personales; la información podría ser recuperada desde un disco duro; se puede acceder a todos los expedientes si una orden legal lo indica; destrucción o acceso limitado a la información en caso de desastres naturales; realizar copias de respaldo de la información fuera del sitio o en la nube podría resultar en acceso no autorizado; los/las usuarios no capacitados/as podrían borrar o alterar información por accidente.

  • Beneficios: el equipo pertenece al programa o está controlado físicamente por el mismo. La cantidad de personas con acceso al equipo es más limitada.

Base de datos fuera del sitio o en la nube

La información se almacena en la “nube”, lo que realmente significa que está almacenada en el servidor de alguien más (normalmente en varios servidores o en un espacio alquilado como una “torre de servidores”). Estas bases de datos requieren una conexión a internet cada vez que la información es trasmitida. Los/las proveedores/as podrían subcontratar el almacenamiento y mantenimiento del equipo que genera o almacena copias de respaldo de la base de datos (esto significa que podrían no ser propietarios/as o no tener acceso a los servidores en los que se encuentra su información). Obtenga más información acerca de los servicios internos y los servicios basados en la nube.

  • Riesgos: podría otorgar al/a la proveedor/a y a grupos subcontratados acceso rutinario a PII sin el consentimiento de los/las sobrevivientes; acceso no autorizado a la información por parte del/de la proveedor/a y de grupos subcontratados; mayores oportunidades de robo o hackeo al/a la proveedor/a o a grupos subcontratados, dichos grupos podrían cumplir de forma habitual con citaciones (“subpoena”), órdenes judiciales, pedidos policiales informales, etc.; el acceso a internet del personal y de los/las voluntarios/as en máquinas personales podría provocar que la información sea vulnerable a ser divulgada sin autorización.

  • Beneficios: protección contra la pérdida de información durante un desastre natural; requiere menos personal y equipo para mantener la base de datos de forma segura; el acceso por internet del personal y de los/las voluntarios/as en dispositivos móviles mejora la flexibilidad al ofrecer servicios.

Bases de datos externas/compartidas

Si los programas utilizan bases de datos a las que pueden acceder otras agencias, como una participación colaborativa o una base provista por un/a patrocinador/a, no debe incluir información personal identificable en la base de datos. Si un/a patrocinador/a intenta ofrecer una parte individual de la base de datos a cada programa y afirma que ningún otro programa puede acceder a su información, haga las mismas preguntas acerca de la seguridad de esta base de datos que las que haría para bases de datos fuera del sitio o basadas en la nube, como se mencionó anteriormente. Preste particular atención a si el/la patrocinador/a que ofrece las bases de datos también brinda acceso a un “administrador de sistemas” empleado/a por el/la patrocinador/a.  Un “administrador/a de sistemas” suele tener acceso a toda la base de datos como parte de su trabajo, pero ese nivel de acceso debe contar como divulgación de PII por fuera de su programa.

Encriptación

Sin importar dónde se encuentre la base de datos, la encriptación es una medida de seguridad importante con la cual familiarizarse. La encriptación es un método de protección de información que mezcla la información o hace que sea ilegible para personas no autorizadas. Considérelo como un candado con una llave. Solo las personas con la llave correcta puede abrirlo. La encriptación se debe establecer para proteger la información “inactiva” cuando está almacenada en un servidor, y “en tránsito” cuando está siendo enviada desde la base de datos o hacia ella, comúnmente a través de Internet.

La encriptación de cero conocimiento (también conocida como encriptación de conocimiento cero) es la opción más fuerte actualmente disponible para proteger la información almacenada por terceros. Con la encriptación de conocimiento cero solo el programa cuenta con las llaves para desbloquear o leer la información encriptada. Ni el/la proveedor/a de la base de datos tercerizada ni ningún agente subcontratado tiene una copia de la clave para acceder a la información encriptada. Esto significa que, incluso si se accede a la información, si se entrega bajo una citación (“subpoena”) o es robada de las máquinas, solo podrá verse una versión mezclada e ilegible.

La mejor práctica exige que los programas de servicio para víctimas elijan bases de datos que mantengan la confidencialidad y protejan la privacidad y la seguridad de los/las sobrevivientes. Nadie fuera de su programa independiente o unidad de servicio para víctimas debe tener acceso a la información personal identificable de los/las sobrevivientes en ningún momento. Esto incluye proveedores/as de bases de datos y de tecnología, sus empleados/as, subcontratistas tanto como socios/as comunitarios/as con quienes colabore su agencia.

La importancia de la encriptación aumenta cuando la información o su respaldo se almacena fuera del sitio o en la nube, ya que nadie fuera de su programa debe tener acceso a la PII de un/a sobreviviente, salvo que el/la sobreviviente le instruya que la comparta mediante un consentimiento informado, por escrito y con un límite de tiempo.

Si utiliza una base de datos fuera del sitio o en la nube, debe poder modificar, descargar o borrar información en cualquier momento. Usted debe tener información clara del/de la proveedor/a respecto de qué pasaría con la información si: usted termina su contrato, si la empresa cerrara, si se vendiese la empresa, si sufren una filtración en la información, si reciben una solicitud de información de sobrevivientes o si la comunidad sufre un desastre natural. El/la proveedor/a de ninguna manera debe ser propietario/a de la información. Recuerde: la información de cada sobreviviente le corresponde a cada sobreviviente y su programa solo la almacena.

 

Acceso a la información

Cualquier base de datos debe tener niveles de acceso específicos y provisiones de seguridad. Las políticas y procedimientos deben definir quién tendrá acceso a cada información personal identificable individual. El acceso autorizado a PII en la base de datos debe ser determinado en función de la necesidad de conocer la información, el rol en la agencia, el tipo de información, el suceso y la ubicación.

Rol. Los tipos de rol que indican diferentes niveles de acceso incluyen intercesor/a, abogado/a, asistente social, supervisor/a, administrador/a de programa, personal administrativo, personal informático y proveedor/a. Cuando diferentes profesiones trabajan en conjunto, pueden tener diferentes exigencias legales para la protección de la información y para la divulgación obligatoria. Asegúrese de que la información que un/a sobreviviente comparta voluntariamente con un tipo de profesional se mantenga dentro de un círculo de personas que mantienen las mismas reglas respecto de la protección y la divulgación de la información. Si la base de datos será mantenida por una persona fuera de su programa, como un/a proveedor/a, se deben garantizar los controles de seguridad del personal, los acuerdos de confidencialidad y las medidas de seguridad técnica para proteger la información en tránsito e inactiva. 

Información. El tipo de información o la parte de la base de datos a la cual se accederá podría incluir información individual, información identificable de un/a sobreviviente, información demográfica que podría ser identificable o no (conozca más acerca de la PII según se mencionó anteriormente), información global acerca de los servicios provistos o comunidades asistidas o la estructura misma de la base.

Evento. Los eventos que podrían brindar acceso a la base de datos durante la provisión inmediata o continua de servicios; la revisión de archivos en caso de un informe obligatorio, una emergencia o una fatalidad; durante una supervisión o contratación para un caso; en respuesta a una citación (“subpoena”), orden judicial, orden de corte u otra solicitud externa; para realizar informes a patrocinadores o cuando un/a sobreviviente solicite que se comparta información con otro/a proveedor de servicios externo/a. Aviso: las obligaciones federales prohíben que se comparta PII a menos que lo indique una orden de la corte, un estatuto del estado o un consentimiento informado, por escrito y con límite de tiempo. Consulte dichas obligaciones antes de otorgar el acceso o de buscar información para compartir por una solicitud.

Ubicación. El acceso a la base de datos puede realizarse desde una oficina principal, una oficina satelital, una oficina en el mismo sitio, cortes, instalaciones médicas o demás ubicaciones comunitarias. Además, diferentes tipos de dispositivos pueden ser utilizados para acceder a la base de datos, incluidas computadoras de escritorio, portátiles, tabletas u otros dispositivos. Conozca más acerca de la privacidad y seguridad con intercesoría móvil.

Si será posible el acceso fuera de la oficina principal, deben garantizarse los procedimientos para solicitar que el acceso a los dispositivos/computadoras esté asegurado con contraseñas; que las contraseñas de las bases de datos nunca se almacenen en el dispositivo o en un navegador web, que los dispositivos puedan ser recuperados o restaurados cuando un empleado/a o voluntario/a abandone el programa, y que el programa sea notificado inmediatamente si una computadora o dispositivo es robado o se pierde. Debería haber una política clara y específica respecto del acceso a la base de datos desde dispositivos personales y la agencia debería brindar al personal y a los/las voluntarios/as el equipo seguro que fuera necesario si se permitirá el acceso a la base de datos fuera del sitio.

Las decisiones acerca del acceso basadas en rol, tipo de información, evento y ubicación tendrán efecto en la estructura y los contenidos de la base de datos para poder respaldar una fuerte confidencialidad y las prácticas de seguridad de la información. Tener una imagen clara de estas necesidades antes de revisar bases de datos o de contactar a proveedores le ayudará a identificar con claridad un producto que cumpla con sus necesidades y que proteja la privacidad de los/las sobrevivientes.

 

Elegir un proveedor de base de datos

Dado que los programas deben mantener la confidencialidad de la información de los/las sobrevivientes y que muchos/as optarán por utilizar bases de datos de información de clientes para almacenar información acerca de los/las sobrevivientes, es crucial elegir un/a proveedor/a de base de datos que pueda ofrecer las protecciones más fuertes para la información de los/las sobrevivientes.

Adjunto a este documento le ofrecemos tres herramientas especialmente diseñadas para el uso de proveedores/as comunitarios/as de servicios para víctimas.

  1. La base de datos de información de cliente necesita evaluación. Esto puede ser utilizado si usted quiere asistencia técnica de nuestra parte mientras recopila información y toma distintas decisiones importante antes de comenzar a evaluar proveedores/as.

  2. Comparación de proveedores y bases de datos. Este formulario le ayudará a comparar las características, la funcionalidad, los costos y la seguridad de dos o más proveedores/as en base a sus necesidades y a la seguridad y privacidad de los/las sobrevivientes.

  3. Lista de verificación para la negociación con proveedores. Esto le ayudará a garantizar que se discutan y resuelvan las consideraciones esenciales durante la negociación o durante el proceso de contratación con el/la proveedor/a elegido/a.

Además de estas herramientas, le ofrecemos una guía auditiva para elegir una base de datos. Las consideraciones esenciales al momento de elegir un/a proveedor/a incluyen un cuadro de comparación de proveedor/base de datos, y se explican brevemente a continuación.

 

Propiedad

El programa debe garantizar que se mantenga el control, la supervisión y la propiedad de la información. En última instancia, la información de los/las sobrevivientes le pertenece a ellos/ellas. Este programa solo la almacena. El/la proveedor/a y cualquier agente subcontratado simplemente ofrecen el lugar en donde el programa la almacena. El/la proveedor/a debe entender las obligaciones de confidencialidad del programa. Debido a que son diferentes a las de otras profesiones, no puede asumir que un/a proveedor/a que trabaja con hospitales u otros servicios sociales ya los comprenda; probablemente deba educarlo/a al respecto.

Todos los acuerdos con proveedores/as deben reflejar las obligaciones de confidencialidad. El programa debe poder descargar la información en cualquier momento y poder retirarla cuando el acuerdo de servicio finalice. El/la proveedor/a no debe retener copias de la información después de dicho momento. El/la proveedor/a deberá explicar con claridad qué sucedería si la empresa cambiara de propietario/a o si cerrara.

Acceso

El/la proveedor/a y sus agentes subcontratados no deberán tener acceso a información confidencial de cliente sin encriptar. El programa debe entender y estar cómodo con las políticas del/de la proveedor/a respecto de una citación (“subpoena”), orden judicial o un mandato judicial por la información. El/la proveedor/a debe notificar al programa ante cualquier solicitud de información, para que usted pueda tomar las consideraciones para protegerla.

Seguridad

La información sensible de los/las sobrevivientes, PII, debe estar encriptada de forma tal que solo el programa pueda leer la información. El/la proveedor/a no debe poseer la clave para descifrar la información. Habiendo instaurado estas medidas, los accesos inadvertidos o maliciosos a la información deberán ser menos riesgosos, debido a que cualquier información a la que se tenga acceso estará “mezclada” y será ilegible.

Sin embargo, las medidas de seguridad del/de la proveedor/a deben ser robustas, y debe realizarse una auditoria interna periódica de seguridad. El/la proveedor/a debe explicar con claridad qué sucedería si se descubren fallas de seguridad y si hubiese una violación a la seguridad; incluido cómo se tratarían las fallas, qué expedientes existen respecto de las intrusiones y qué tan rápido puede ser notificado el programa.

 

Capacidad del programa

Los paquetes armados de bases de datos comerciales suelen ser menos costosos al principio, pero pueden no ser adaptables o podrían requerir costos adicionales para modificarse o para crear un nuevo tipo de informe, por ejemplo. Si elige contratar a alguien para que desarrolle una base de datos especialmente para su programa, las modificaciones podrían aumentar el costo o ser limitadas. Los costos de desarrollo, implementación y mantenimiento de una base de datos pueden variar ampliamente entre $5.000 y más de $50.000.

Considere si la personalización y los cambios deben ser implementados por el/la proveedor/a o si pueden ser realizados de forma interna. La capacidad para ocultar o quitar ciertos campos, permitir que un campo sea opcional en vez de obligatorio, o el cambio de formato de texto a lista desplegable pueden ser útiles después de un tiempo y, en algunos casos, pueden ser exigidos para cumplir con obligaciones de confidencialidad. Si los cambios pueden ser realizados de forma interna, asegúrese de considerar la capacitación y el soporte para el personal responsable de esa tarea. Considere tanto los costos del/de la proveedor para capacitar usuarios y el tiempo que le lleva aprender el nuevo sistema a los/las intercesores/as, administradores y personal informático.

El formulario de comparación de proveedores/as está diseñado para ayudarle a comparar el costo total de propiedad e incluye:

  • Costos iniciales (el producto de la base de datos, la importación de expedientes existentes).

  • Personalización (campos de formulario, informes, niveles de acceso).

  • Capacidad agregada (almacenamiento, expedientes, usuarios, funciones).

  • Soporte técnico del/de la proveedor/a.

  • Tecnología (hardware, software, acceso a internet, almacenamiento).

  • Tiempo del personal (para administradores de tecnología, gerentes y capacitación a usuarios).

Solicitar dos o más presupuestos es una buena práctica al realizar una inversión grande, además de cumplir con cualquier requerimiento de patrocinadores/as o sus propias políticas. ¿La agencia aportó fondos suficientes para el proyecto? Aunque los gastos modestos de medición de resultados son parte de cualquier subvención, una subvención de servicios directa debería financiar principalmente servicios y no medición de resultados.

 

Comunicación con sobrevivientes

Si la base de datos está conectada de cualquier forma con su comunicación con los/las sobrevivientes (por ejemplo en un sitio web, un chat en línea, administración de línea telefónica, etc.) sea consciente de que la información recopilada a través de la tecnología de comunicación puede incluir PII. Ejemplos de esto son los números de teléfono en los expedientes de llamadas, cuentas o información de facturación; las direcciones de protocolo de internet utilizadas en el chat o cuando visitan su página; los nombres de usuario de los/las sobrevivientes u otra información recopilada al iniciar una sesión de chat en línea.

Al comunicarse con los/las sobrevivientes a través de la tecnología, ofrezca la posibilidad de tener más elección, control y conocimiento acerca de su propia información y dispositivos. De aviso sobre cómo podría recolectarse la PII y analice los riesgos y posibles opciones para recibir los servicios. Ayude a los/las sobrevivientes a mejorar su privacidad y seguridad navegando los ajustes de la cuenta y el dispositivo. También tenga en cuenta que cada sobreviviente puede elegir el nivel de acceso que considera más conveniente y los riesgos que elige adoptar. El objetivo no es decidir qué tecnología es segura, sino ayudar a los/las sobrevivientes a que decidan por sí mismos/as qué tecnología creen que es segura.

Recuerde que, como las experiencias de los/las sobrevivientes, sus necesidades y riesgos son únicos, complejos y en cambio constante en la “vida real”, también habrá implicaciones en su vida digital. Consulte de forma frecuente sobre los potenciales riesgos y deje en claro que pueden solicitar un mayor nivel de seguridad en cualquier momento. Puede encontrar más información sobre la comunicación segura con los/las sobrevivientes en nuestro Conjunto de Herramientas Digitales de Servicio.