Filtraciones de Datos y Servicios para Víctimas: Consideraciones para Elaborar Políticas Eficaces

PDF
English

Este recurso forma parte del Conjunto de herramientas sobre confidencialidad en materia de trata de personas financiado por la OVC. Para acceder a los recursos específicos para los beneficiarios de las subvenciones de la OVW, haga clic aquí.

El problema

Muchos proveedores de servicios a víctimas ahora mantienen registros electrónicos que incluyen información de identificación personal detallada de las personas que han recibido sus servicios (PII, por sus siglas en inglés). Dado que la confidencialidad y la privacidad son esenciales para la seguridad y el bienestar de los participantes en los programas, y considerando que los sistemas electrónicos son vulnerables a filtraciones de datos, el Departamento de Justicia (DOJ) exige a todos los beneficiarios —incluidos los beneficiarios de subvenciones para la lucha contra la trata de personas de la OVC— que cuenten con un plan de respuesta ante filtraciones de datos en caso de que se produzca una “filtración” real o inminente de la PII recopilada en el ámbito de un programa o actividad financiado con subvenciones de la OJP. Para obtener más información sobre el requisito del plan de respuesta ante filtraciones de datos de la Oficina de Administración y Presupuesto (OMB) para todas las agencias federales, consulte el Memorándum M-17-12 de la OMB. La mayoría de los estados y territorios también cuentan con leyes que exigen a las entidades —entre las que pueden incluirse los programas de servicios contra la trata de personas— que sigan ciertos pasos en caso de una filtración de datos.

Qué pueden hacer las organizaciones

Si (o cuando) se produce una filtración de los registros electrónicos y la PII se divulga fuera de la agencia, es fundamental que los proveedores de servicios a las víctimas cuenten con un plan de respuesta ante filtraciones de datos que cumpla con los requisitos federales y las leyes estatales pertinentes, y que, al mismo tiempo, proteja la privacidad y la confidencialidad de las personas participantes en el programa cuya PII haya sido divulgada. También deberán informar a los participantes del programa de que su información ha sido expuesta, para que puedan tomar medidas que les permitan protegerse de las posibles consecuencias de dicha divulgación. El plan de respuesta debe incluir detalles sobre cómo comunicarse de forma segura con los participantes actuales y anteriores del programa para notificarles de la filtración de datos.  

A continuación se presentan algunas consideraciones que los programas deben analizar para gestionar mejor los datos y establecer políticas sólidas de respuesta ante incidentes de filtración que prioricen la seguridad y la privacidad de los participantes del programa. Se recomienda consultar a un abogado para asegurarse de que las políticas cumplan con las leyes y los requisitos federales, estatales, territoriales y locales.

Consideración #1: Audite sus procesos de recopilación y retención de datos

La mejor manera de evitar la divulgación de información de identificación personal en caso de una filtración de datos es reducir desde el inicio la cantidad de PII que se recopila y se conserva. La práctica recomendada es reunir únicamente la información estrictamente necesaria y conservarla durante el menor tiempo posible, teniendo en cuenta los requisitos de documentación de los financiadores, como la información necesaria para la implementación de las subvenciones y las medidas de rendimiento. 1) Revise todas sus prácticas actuales de recopilación y retención de datos, 2) No recopile información innecesaria, 3) Minimice el tiempo de conservación de los datos y 4) Revise estas políticas y prácticas anualmente. Para obtener más información, consulte nuestras preguntas frecuentes sobre la retención y eliminación de registros.

Consideración #2: Desarrollar medidas sólidas de seguridad de los datos

Trabaje con profesionales de tecnología e informática para asegurarse de que las medidas de seguridad de datos de su agencia estén actualizadas y que cuente con los mecanismos adecuados para proteger la información que recopila. Dado que la información que reúne y conserva es delicada y puede tener un impacto profundo en la privacidad y la seguridad de las personas participantes en el programa, es fundamental que sus datos estén lo más protegidos posible. Revise sus prácticas de seguridad de datos cada año y actualícelas según sea necesario. Para obtener más información sobre la importancia de la privacidad, la confidencialidad y la seguridad de los datos, consulte nuestra Lista de verificación de seguridad de datos para aumentar la seguridad y la privacidad de las víctimas.

Consideración # 3: Identificar las leyes aplicables

El primer paso para elaborar políticas y procedimientos internos es determinar qué requisitos legales se aplican a su programa. Aunque las condiciones de las subvenciones de la OVC y las leyes estatales sobre notificación de filtraciones de datos establecen las obligaciones que deben cumplir las organizaciones ante una exposición no autorizada de información personal, no proporcionan modelos de política. Por ello, es recomendable redactar estas políticas con el apoyo de un abogado, de modo que todos los requisitos legales pertinentes queden debidamente considerados e incorporados.

  •  Requisitos federales

En ciertos casos, los proveedores de servicios a víctimas también pueden estar sujetos a la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). (Favor de leer el documento "Entidades cubiertas y socios comerciales" del Departamento de Salud y Servicios Humanos de EE.UU. explica cómo determinar si las normas de HIPAA se aplican a una organización).

Las normas de privacidad y seguridad de HIPAA establecen requisitos específicos para proteger la información médica, así como protocolos que los programas deben seguir ante una filtración de datos que involucra este tipo de información. Estos requisitos incluyen medidas de resguardo, procedimientos de notificación y acciones correctivas que deben activarse ante cualquier incidente.

  • Leyes estatales y territoriales

Todos los estados y territorios de Estados Unidos cuentan con leyes que regulan la respuesta ante una filtración de datos. Estas normas suelen establecer requisitos específicos sobre cómo las organizaciones deben notificar a las personas cuya información personal sensible se haya comprometido. La Privacy Rights Clearinghouse ha publicado un resumen de todas las leyes estatales y territoriales relativas a la filtración de datos.

En la mayoría de los estados y territorios, la ley se aplica a las organizaciones que almacenan de forma electrónica nombres o números de identificación personal en un formato no censurado ni cifrado. Si los programas de servicios para víctimas recopilan y guardan números de identificación personal (como el número de Seguro Social) o mantienen información personal en un formato no cifrado, es posible que deban cumplir con estas disposiciones.

Nota:  No es recomendable que los proveedores de servicios para víctimas recopilen ni almacenen números de Seguro Social. Para más información, consulte la Consideración n.º 1: Audite sus procesos de recopilación y retención de datos. Tampoco es buena práctica conservar información de identificación personal (PII) en un formato no cifrado. Mantener los datos cifrados reduce significativamente la probabilidad de una filtración.

 Consideración # 4: Contactar con las personas afectadas por la filtración

A partir del ejercicio fiscal 2024, se espera que los programas de servicios contra la trata de personas financiados por la OVC cuenten con políticas que cumplan con los procedimientos de confidencialidad establecidos por la VAWA. Los programas deben hacer todo lo posible por notificar a las personas participantes —tanto actuales como anteriores— cuando su información deba divulgarse en cumplimiento de un mandato válido. Este mismo deber aplica en casos de divulgación accidental o no autorizada, como la filtración de datos.

Los programas deben contar con procesos claros para realizar esfuerzos razonables de notificación y ofrecer apoyo de seguimiento a las personas participantes afectadas.

Dichos procesos deben diseñarse de modo que el programa pueda comunicarse con las personas participantes sin revelar a terceros que han recibido servicios. Esto implica pensar cuidadosamente en la forma de notificación y en cómo reducir al mínimo el riesgo de que el mensaje sea interceptado, ya sea accidental o intencionalmente. Los programas también deben considerar cómo la notificación puede afectar a cada persona y estar preparados para responder. Algunas personas pueden necesitar acompañamiento de defensa, otras, apoyo emocional, y otras, quizá, requieran referencias adicionales mientras enfrentan las consecuencias de una divulgación accidental o no autorizada.

La mayoría de las leyes estatales y territoriales sobre la respuesta a filtraciones de datos establecen requisitos muy específicos para la notificación. En general, exigen que se informe directamente y por escrito a todas las personas afectadas, ya sea por correo postal o por correo electrónico. Aunque este tipo de contacto puede generar preocupaciones de seguridad y privacidad para los programas que atienden a víctimas, estas leyes, por lo general, no contemplan excepciones basadas en dichas preocupaciones. (Esta es otra razón por la cual los programas deben limitar, desde el inicio, la cantidad de información de identificación personal que conservan y asegurarse de que cualquier dato que almacenen esté cifrado y protegido). Algunas leyes, sin embargo, ofrecen cierto margen de flexibilidad y permiten incorporar consideraciones de privacidad y seguridad en las políticas de respuesta ante filtraciones, siempre que la organización desarrolle procedimientos coherentes con el propósito de la ley. Por ejemplo, muchos estados permiten publicar un aviso visible en el sitio web de la agencia en lugar de enviar notificaciones por correo postal o electrónico.

Los programas deben trabajar en coordinación con sus aliados —como abogados locales y las coaliciones estatales o territoriales— para diseñar un mecanismo razonable y seguro que permita notificar a las personas participantes sobre una filtración de datos y, al mismo tiempo, cumpla con todas las leyes aplicables.

 Las políticas de notificación de filtraciones deben:

  • tener en cuenta la seguridad y la privacidad de las personas participantes en el programa,

  • evitar cualquier violación de su confidencialidad,

  • cumplir con el propósito y los requisitos de todas las leyes aplicables, y

  • ofrecer una notificación razonable a quienes hayan visto comprometidos sus datos, de modo que puedan tomar medidas para reducir los posibles daños derivados de la filtración.

Consideración # 5: Notificación a las agencias gubernamentales

Según lo establecido en las condiciones de la subvención, los procedimientos de respuesta ante filtraciones de datos de los beneficiarios financiados por la OVC deben incluir un proceso para informar a la persona administradora del programa de la OVC sobre cualquier filtración —real o inminente— de información de identificación personal. Esta notificación debe realizarse dentro de las 24 horas siguientes a que ocurra la filtración o se detecte la amenaza.

Los programas que sean entidades cubiertas por la HIPAA también deben cumplir con la Norma de Notificación de Filtraciones establecida en 45 CFR §§ 164.400-414.

Resumen

Las personas que buscan o reciben servicios contra la trata de personas enfrentan riesgos significativos en materia de seguridad y privacidad, riesgos que pueden aumentar rápidamente si su información personal se comparte sin su consentimiento. Las estrictas obligaciones de confidencialidad establecidas en la VAWA se diseñaron precisamente para reducir esos riesgos y asegurar que los programas de atención a víctimas cumplan con la obligación legal de proteger la privacidad y la autonomía de quienes participan en ellos.

Las organizaciones deben aplicar buenas prácticas en la recopilación, conservación y eliminación de datos y trabajar en coordinación con un abogado local y con su coalición estatal o territorial. Esto les permitirá contar con un plan de respuesta ante filtraciones que equilibre cuidadosamente sus obligaciones legales con la seguridad, la privacidad y el bienestar emocional de las personas a las que brindan servicios. Para una guía más detallada, puede consultarse la Política modelo sobre la filtración de datos del Centro de Derechos de las Víctimas.

Este documento ha sido redactado en colaboración con Alicia L. Aiken, JD, y el Resource Sharing Project.

© 2026 Alicia L. Aiken, JD. Y la Red Nacional para Acabar con la Violencia Doméstica, Proyecto Safety Net.

Este proyecto ha sido elaborado por la Red Nacional para Acabar con la Violencia Doméstica bajo el número 15POVC-24-GK-00890-HT, otorgado por la Oficina para Víctimas del Delito de la Oficina de Programas de Justicia del Departamento de Justicia de los Estados Unidos. Las opiniones, conclusiones y recomendaciones expresadas en este recurso son las de las personas colaboradoras y no representan necesariamente la posición oficial ni las políticas del Departamento de Justicia de los Estados Unidos.

Actualizamos nuestros materiales con frecuencia. Visite TechSafety.org para obtener la última versión de este y de otros materiales, o póngase en contacto con nosotros si tiene alguna pregunta.