Mi empresa envía datos extremadamente confidenciales a un contratista en China, pero dice que no lo hace. ¿Debo hacer algo?

Trabajo como desarrollador en una startup mediana que tiene alrededor de 200 personas y ~50k clientes.

Nuestra política de privacidad dice que no compartimos datos de clientes con terceros, excepto que ciertamente lo hacemos: enviamos los datos extremadamente confidenciales de cada cliente a un contratista en China para su procesamiento, lo que nos brinda una gran ventaja de precio, reduciendo a la mitad el precio de nuestro producto.

Por un lado, no soporto que se envíe información extremadamente sensible a un régimen que personalmente no me agrada. Por otro lado, crecí mucho profesionalmente gracias a esta empresa como desarrollador y además pagan muy bien.

¿Qué debo hacer, en todo caso, al respecto? Nota: una vez dije en voz alta (estúpidamente) que nuestra política de privacidad dice que no compartimos datos con terceros, y si se descubre, podemos enfrentar una demanda colectiva. Alrededor de 10 personas me escucharon decir eso.

Además de las cuestiones éticas, ¿existen también cuestiones legales? Podría ser una buena idea hablar con un abogado.
Etiquete esto con una ubicación, ya que obviamente las leyes vigentes varían.
¿Qué tiene que ver el envío de datos a un contratista chino con que no le guste su gobierno?
@dan-klasson, por un lado, si esta información pertenece a musulmanes uigures, seguidores de Falun Gong, manifestantes de Honk Kong, evasores de impuestos chinos o disidentes chinos, esa empresa puede estar firmando sin darse cuenta sus órdenes de arresto/muerte y el arresto de sus familiares y amigos enviándolo a un contratista en China.
@StephanBranczyk Podría aplicar la misma teoría de conspiración desquiciada para enviar datos a un contratista estadounidense y sería igualmente absurdo.
¿De qué tipo de privacidad estamos hablando? ¿Una foto de la última comida de la persona y tal vez su dirección, o más como datos confidenciales de atención médica del personal militar?
@nvoigt No es asunto nuestro. OP ciertamente no querrá identificarse. Debe aclarar el punto y obtener una confirmación de sus corredores superiores de que se están ocupando de la parte legal. En cuanto a ellos mismos, OP debe considerar si priorizan su propia felicidad en la empresa o su postura moral. Lo que no pueden hacer fácilmente es cambiar la política de una empresa importante (lo que parece ser, ya que constituye una ventaja de mercado drástica).
Decir que la empresa envía información extremadamente personal a un contratista en China no significa mucho sin especificar qué tipo de datos se envían, cuál es la clasificación legal del contratista, qué leyes cree que se están infringiendo, etc. Ninguna de esto depende de su opinión personal sobre el asunto. Es una cuestión de ley. El hecho de que no te guste no significa nada. ¿Esta información está legalmente protegida? ¿Se clasificaría legalmente al contratista como tercero o como socio?
Un contratista, dondequiera que esté basado, probablemente no sea un "tercero". Si actúan en nombre de la empresa, no creo que la ley los considere un tercero. (Aunque me gustaría la opinión de un abogado para estar seguro).

Respuestas (4)

Interpretar las políticas de privacidad no es trivial, así que mantén la mente abierta para que no te equivoques. Al mismo tiempo, no asumas maldad de inmediato; es posible que estén dispuestos a abordar la situación.

La primera parada debe ser su jefe inmediato. Comparta su preocupación con esta persona y vea lo que dice. Si no está satisfecho con sus respuestas incluso después de plantearlo repetidamente, puede derivar a su gerente (y mencionar que ha hablado con su gerente inmediato sobre esto, y si también puede informarle a su gerente inmediato que está escalando).

Si ni siquiera esto resuelve su inquietud, considere enviarla a otro departamento (como el legal). Finalmente puedes plantearlo al CEO.

Si todo lo anterior falla, puede considerar notificar a las autoridades. Si hizo todo lo anterior y la empresa aún no lo resolvió, lo más probable es que esté en desventaja si la empresa sospecha que notificó a las autoridades. Personalmente, si tuviera que acudir a las autoridades, solo lo haré si estoy de acuerdo con tener que dejar la empresa. Es una decisión que solo tú puedes tomar. Si decide mantenerse bajo, asegúrese de protegerse, por ejemplo, documentando las instrucciones para enviar los datos, etc. en correos electrónicos.

"Si decides mantenerte bajo en cambio..." así que continúa haciendo lo malo pero ten la evidencia para culpar a alguien más...
agregando más a @SolarMike uno, si la decisión de usar para enviar datos a China proviene de su parte, entonces debe elegir entre ética o trabajar de otra manera si sabe quién tomó esta decisión, solo recuerde su nombre y manténgase bajo
@SolarMike La empresa también podría demandar a OP, no lo olvidemos. Y antes de que comiencen a ganar el caso (suponiendo que lo hagan al final), OP está arruinado, su vida posiblemente destruida, dependiendo de cuánto poder y falta de escrúpulos tenga la compañía. La denuncia de irregularidades tiene un precio que la sociedad siempre está feliz de que otros paguen.

Si se trata de una transferencia de datos de la UE a China, hay reglas ( https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_en ) que deben seguirse .

Supongo que se aplican reglas similares para las transferencias de datos de EE. UU. a China, pero se requiere cierta experiencia legal para comprender si esas transferencias de datos están protegidas por "escudos de privacidad".

En general, esas leyes no se hacen cumplir fácilmente sin que alguien se convierta en el denunciante.

Si NO está 100% seguro de que lo que está haciendo la empresa estadounidense es ilegal, simplemente mencione sus preocupaciones a sus superiores.

SI cree que esta transferencia de datos es 100% ilegal (por hechos compartidos por la propia empresa de EE. UU. y/o su abogado), Y (+) la empresa de EE. UU. intenta evitar resolver el problema (no responde sus preguntas en correos electrónicos en ¡No deje un rastro de evidencia en papel!), Y (+) simultáneamente piensa que un escándalo podría tener un impacto dañino en su carrera, se convierte en un denunciante anónimo para las autoridades. SI esos 3 factores no existen simultáneamente, simplemente mencione sus preocupaciones a sus superiores.

No soporto que se envíe información extremadamente sensible a un régimen que personalmente no me gusta.

¿Qué debo hacer, en todo caso, al respecto?

Dices que no puedes soportarlo, pero hasta ahora lo has hecho.

Si el régimen te molesta lo suficiente, deberías encontrar un nuevo trabajo y dejar este.

Antes de que decida buscar en otra parte, es posible que desee asegurarse de que el contratista en China se considere un "tercero" en el contexto de las declaraciones públicas de su empresa sobre no enviar datos a un tercero. Una vez trabajé para una empresa que tenía una subsidiaria en la India. Eso no fue considerado un "Tercero".

Es posible que le venga bien discutir el problema con su jefe y ver qué puede aprender.

Este no es su problema para resolver. Si están manejando datos confidenciales, existen procedimientos obligatorios legislados para hacerlo. Y sería auditado regularmente.

Si no confía en los auditores, su empresa y las autoridades, entonces debería considerar seguir adelante.

Si tiene la ambición de arruinar su carrera y otros riesgos, incluido tal vez hacerlo todo por nada, que es el resultado habitual, entonces haga una protesta. De lo contrario, haz tu trabajo o vete.

No está claro en la publicación qué ubicación tiene OP y, por lo tanto, qué mecanismos de auditoría existen, si los hay.
¿Cómo puedes hacer tantas suposiciones? No encuentro tu respuesta constructiva.
@ChrisFNZ que suposiciones, no hay un solo país sin legislación en estas materias. A menos que tal vez sea un estado canalla, en cuyo caso esto ni siquiera sería un problema.
@Kilisi En realidad, no todos los países tienen legislación sobre estos asuntos. Está asumiendo que la legislación tiene procedimientos obligatorios y que todo sería auditado regularmente.
@ChrisFNZ nombre uno, NZ definitivamente lo tiene... y audita regularmente. Ellos auditan mis cosas muy a fondo y también estoy obligado a tener documentos legales que describan los procedimientos y auditorías de terceros también.
@Kilisi Depende de lo que defina como datos confidenciales. PCI es una cosa, PII es otra. Hay muchas otras formas de datos confidenciales. ¿Quién en Nueva Zelanda audita regularmente los datos confidenciales de cada organización?
@ChrisFNZ NZFUI me viene a la mente, pero hay otros. Cualquier cosa que cruce la frontera. Sin embargo, veo tu punto, está en la definición de sensible...
@Kilisi ¿Quién es NZFUI? También por favor nombre a otros.
@ChrisFNZ vaya NZFIU, no voy a nombrar a otros... usted es el que tiene el problema, lea la legislación de Nueva Zelanda, lo tengo como parte de mi trabajo. Ni siquiera vivo en Nueva Zelanda, pero trato con eso todo el tiempo.
@Kilisi, lo siento, pero su declaración es engañosa. La NZFIU tiene el mandato de "La Unidad de Inteligencia Financiera (UIF) de Nueva Zelanda recopila, analiza y difunde inteligencia financiera relacionada con transacciones/actividades sospechosas, lavado de dinero y financiamiento del terrorismo". Puedo asegurarle al 100% que no auditan todas las organizaciones en Nueva Zelanda en relación con su tratamiento de datos confidenciales. Eso es impráctico y absurdo. Lo que NZFIU hace con AML/CTF es diferente a lo que OP se refiere.
NZFIU hace el AML/CFT, IRD y aduanas hacen otros, FCC cubre biometría en algunos aspectos y hay más.... es bastante estricto en NZ... así que deja de golpear a un caballo muerto... ya está muerto... y no se queje y marque mis comentarios, cuando no tenga respuestas... Le pregunté a qué país se refería y se negó a responder... así que es bastante obvio que se lo inventó. Si bien esto es parte de mi negocio, no leo la legislación ni los informes de auditoría por diversión.
@Kilisi Responderé a tu comentario. Las empresas pueden almacenar una gran cantidad de datos confidenciales en sus sistemas sin ningún conocimiento ni supervisión del gobierno. Ese era mi punto. Y marcaré tus comentarios si son irrespetuosos. Lo dejaré ahí.
Mi empresa envía datos extremadamente confidenciales a un contratista en China, pero dice que no lo hace. ¿Debo hacer algo?
RespuestasAquíPolítica de privacidad1y, 0v