Trabajo como desarrollador en una startup mediana que tiene alrededor de 200 personas y ~50k clientes.
Nuestra política de privacidad dice que no compartimos datos de clientes con terceros, excepto que ciertamente lo hacemos: enviamos los datos extremadamente confidenciales de cada cliente a un contratista en China para su procesamiento, lo que nos brinda una gran ventaja de precio, reduciendo a la mitad el precio de nuestro producto.
Por un lado, no soporto que se envíe información extremadamente sensible a un régimen que personalmente no me agrada. Por otro lado, crecí mucho profesionalmente gracias a esta empresa como desarrollador y además pagan muy bien.
¿Qué debo hacer, en todo caso, al respecto? Nota: una vez dije en voz alta (estúpidamente) que nuestra política de privacidad dice que no compartimos datos con terceros, y si se descubre, podemos enfrentar una demanda colectiva. Alrededor de 10 personas me escucharon decir eso.
Interpretar las políticas de privacidad no es trivial, así que mantén la mente abierta para que no te equivoques. Al mismo tiempo, no asumas maldad de inmediato; es posible que estén dispuestos a abordar la situación.
La primera parada debe ser su jefe inmediato. Comparta su preocupación con esta persona y vea lo que dice. Si no está satisfecho con sus respuestas incluso después de plantearlo repetidamente, puede derivar a su gerente (y mencionar que ha hablado con su gerente inmediato sobre esto, y si también puede informarle a su gerente inmediato que está escalando).
Si ni siquiera esto resuelve su inquietud, considere enviarla a otro departamento (como el legal). Finalmente puedes plantearlo al CEO.
Si todo lo anterior falla, puede considerar notificar a las autoridades. Si hizo todo lo anterior y la empresa aún no lo resolvió, lo más probable es que esté en desventaja si la empresa sospecha que notificó a las autoridades. Personalmente, si tuviera que acudir a las autoridades, solo lo haré si estoy de acuerdo con tener que dejar la empresa. Es una decisión que solo tú puedes tomar. Si decide mantenerse bajo, asegúrese de protegerse, por ejemplo, documentando las instrucciones para enviar los datos, etc. en correos electrónicos.
Si se trata de una transferencia de datos de la UE a China, hay reglas ( https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_en ) que deben seguirse .
Supongo que se aplican reglas similares para las transferencias de datos de EE. UU. a China, pero se requiere cierta experiencia legal para comprender si esas transferencias de datos están protegidas por "escudos de privacidad".
En general, esas leyes no se hacen cumplir fácilmente sin que alguien se convierta en el denunciante.
Si NO está 100% seguro de que lo que está haciendo la empresa estadounidense es ilegal, simplemente mencione sus preocupaciones a sus superiores.
SI cree que esta transferencia de datos es 100% ilegal (por hechos compartidos por la propia empresa de EE. UU. y/o su abogado), Y (+) la empresa de EE. UU. intenta evitar resolver el problema (no responde sus preguntas en correos electrónicos en ¡No deje un rastro de evidencia en papel!), Y (+) simultáneamente piensa que un escándalo podría tener un impacto dañino en su carrera, se convierte en un denunciante anónimo para las autoridades. SI esos 3 factores no existen simultáneamente, simplemente mencione sus preocupaciones a sus superiores.
No soporto que se envíe información extremadamente sensible a un régimen que personalmente no me gusta.
¿Qué debo hacer, en todo caso, al respecto?
Dices que no puedes soportarlo, pero hasta ahora lo has hecho.
Si el régimen te molesta lo suficiente, deberías encontrar un nuevo trabajo y dejar este.
Antes de que decida buscar en otra parte, es posible que desee asegurarse de que el contratista en China se considere un "tercero" en el contexto de las declaraciones públicas de su empresa sobre no enviar datos a un tercero. Una vez trabajé para una empresa que tenía una subsidiaria en la India. Eso no fue considerado un "Tercero".
Es posible que le venga bien discutir el problema con su jefe y ver qué puede aprender.
Este no es su problema para resolver. Si están manejando datos confidenciales, existen procedimientos obligatorios legislados para hacerlo. Y sería auditado regularmente.
Si no confía en los auditores, su empresa y las autoridades, entonces debería considerar seguir adelante.
Si tiene la ambición de arruinar su carrera y otros riesgos, incluido tal vez hacerlo todo por nada, que es el resultado habitual, entonces haga una protesta. De lo contrario, haz tu trabajo o vete.
jcm
justin
dan-klasson
Stephan Branczyk
dan-klasson
nvoigt
Capitán Emacs
joeqwerty
DJClayworth