Qué preguntar antes de contratar a alguien para manejar tus datos (y por qué puede costarte millones no hacerlo)

Imaginate esta situación: contratás a alguien para gestionar tu base de clientes, le das acceso a información sensible y, meses después, descubrís que esos datos terminaron en manos equivocadas. O peor: que tu empresa recibió una multa por incumplimiento del RGPD porque esa persona no sabía qué podía o no hacer con la información. Suena extremo, pero pasa más seguido de lo que creés.

Contratar a alguien para manejar datos no es como contratar para cualquier otro puesto. No se trata solo de saber usar Excel o Python. Se trata de entender qué implica tener acceso a información que puede identificar personas, que está protegida por ley y que, mal gestionada, puede hundir la reputación de tu empresa. Y sin embargo, la mayoría de las organizaciones hacen las mismas preguntas de siempre en las entrevistas, sin tocar los temas que realmente importan.

Este artículo es una guía práctica para que, antes de darle acceso a tus datos a alguien —sea empleado, freelancer o proveedor—, sepas exactamente qué preguntar. Porque contratar bien no es solo cubrir un puesto: es proteger el activo más valioso que tenés.

Por qué importa

Según el informe de IBM sobre brechas de datos de 2024, el costo promedio global de una violación de datos alcanzó los 4,9 millones de dólares, la cifra más alta registrada. Y el factor humano sigue siendo una de las principales causas: errores, accesos indebidos, contratos mal hechos o simplemente falta de conocimiento sobre qué hacer y qué no con información sensible. Contratar sin hacer las preguntas correctas es como dejar la puerta abierta y esperar que no pase nada.

Pero el riesgo no es solo económico. Una filtración de datos puede significar sanciones millonarias bajo el RGPD, demandas de clientes afectados, pérdida de confianza del mercado y años de trabajo en reconstruir la reputación. Casos como Equifax o Cambridge Analytica no son excepciones lejanas: son recordatorios de que un solo error en la gestión de datos puede cambiar el rumbo de una empresa. Y muchas veces, ese error comienza en el momento de la contratación.

¿Entiende realmente qué son datos personales y sensibles?

Parece básico, pero no lo es. Muchos candidatos tienen formación técnica sólida pero nunca trabajaron con datos personales o no entienden la diferencia entre datos comunes y categorías especiales. Un dato personal es cualquier información que identifica o puede identificar a una persona: nombre, correo, teléfono, historial de compras, dirección IP. Los datos sensibles van más allá: salud, ideología, orientación sexual, afiliación sindical, datos biométricos. Estos últimos tienen protección especial y no cualquiera puede manejarlos sin controles estrictos. Si la persona que vas a contratar no entiende esto, cada decisión que tome sobre esos datos será un riesgo. No basta con saber programar: tiene que saber qué datos puede ver, cuáles puede cruzar, cuáles puede almacenar y por cuánto tiempo.

¿Le preguntaste alguna vez a tu equipo de datos si saben qué información pueden o no compartir con terceros?

¿Conoce las bases legales para tratar datos?

Tu empresa no puede usar datos simplemente porque los tiene. Necesitás una base legal: consentimiento explícito, ejecución de un contrato, cumplimiento de una obligación legal, interés legítimo o interés público. Cada una tiene condiciones distintas. Por ejemplo, el consentimiento tiene que ser libre, informado y revocable. El interés legítimo requiere un balance entre el beneficio para la empresa y los derechos de las personas. Si quien maneja tus datos no entiende esto, puede estar procesando información sin justificación legal, y eso te expone a sanciones. Es clave que la persona sepa identificar bajo qué base opera cada tratamiento de datos en tu empresa y que pueda documentarlo.

¿Sabés bajo qué base legal tu empresa está enviando newsletters, haciendo análisis de comportamiento o compartiendo datos con proveedores?

¿Sabe trabajar con el principio de minimización y acceso por perfiles?

El principio de minimización es simple: solo recoger y usar los datos estrictamente necesarios para el objetivo. Si no necesitás la fecha de nacimiento completa, no la pidas. Si no hace falta el DNI para un análisis, no lo incluyas. Además, no todo el mundo en la empresa debe ver todo. Los accesos deben estar segmentados por roles: quien hace marketing no necesita ver datos médicos, quien gestiona logística no necesita acceso a ideología política. Si la persona que vas a contratar no entiende esto, vas a terminar con bases de datos infladas, exposiciones innecesarias y un riesgo enorme en caso de brecha. Preguntale cómo gestionaría accesos, cómo documentaría qué datos necesita para cada tarea y cómo implementaría controles.

¿Cuántas personas en tu empresa tienen acceso completo a la base de clientes, y realmente todas lo necesitan?

¿Qué hace con los datos cuando ya no se necesitan?

Los datos no se guardan para siempre. Hay plazos de retención según la finalidad, y cuando ya no son necesarios, deben borrarse o anonimizarse. Muchas empresas acumulan información sin criterio, lo que aumenta riesgos y costos. La persona que gestione tus datos tiene que saber cuánto tiempo se conserva cada tipo de información, cómo se documenta esa decisión y cómo se ejecuta el borrado seguro. También debe entender qué es la anonimización real (no simplemente ocultar un nombre) y cuándo aplicarla. Si esto no está claro, tu empresa puede estar almacenando datos de forma ilegal o innecesaria, y eso es un pasivo latente.

¿Tu empresa tiene definido cuánto tiempo conserva los datos de candidatos que no fueron seleccionados, o de clientes que ya no compran?

¿Entiende qué implica trabajar con proveedores o herramientas externas?

Si tu empresa usa un CRM, una plataforma de email marketing, un software de recursos humanos o herramientas de inteligencia artificial, estás compartiendo datos con terceros. Esos terceros son encargados del tratamiento, y la ley exige que tengas un contrato específico con ellos que regule cómo manejan la información, qué medidas de seguridad aplican, qué pasa si hay un incidente y qué hacen con los datos cuando termina la relación. La persona que contrates debe saber identificar cuándo se está transfiriendo información a un proveedor, qué preguntas hacer antes de contratar ese servicio y cómo auditar que se cumplan los acuerdos. Si no lo hace, podés estar delegando responsabilidad sin control, y ante una auditoría o una brecha, la responsabilidad sigue siendo tuya.

¿Revisaste alguna vez los contratos de los proveedores que acceden a tus datos para verificar cómo los protegen?

¿Qué sabe sobre inteligencia artificial y datos?

El uso de IA en empresas está creciendo, pero trae riesgos específicos. Si vas a contratar a alguien para implementar IA o usar herramientas con datos, tenés que preguntar: ¿con qué información se entrena el modelo? ¿Esos datos son legales y están limpios? ¿El sistema puede generar sesgos discriminatorios? ¿Se puede explicar cómo toma decisiones? ¿El proveedor reutiliza los datos que subís? Muchas empresas han tenido problemas por copiar información sensible en herramientas públicas de IA sin entender las implicancias. La persona que gestione datos en tu organización debe tener criterio para evaluar riesgos, privacidad y transparencia al incorporar IA.

¿Sabés si las herramientas de IA que usa tu equipo están entrenándose con información interna de tu empresa?

¿Tiene experiencia documentando, auditando y respondiendo ante incidentes?

La trazabilidad es fundamental. Hay que poder responder: ¿quién accedió a qué dato, cuándo y para qué? Si hay una brecha, una auditoría o un reclamo, necesitás registros claros. Además, la persona debe saber qué hacer si detecta un acceso indebido, una filtración o un error. Tiene que conocer los plazos legales para notificar a la autoridad de protección de datos (72 horas en muchos casos) y a los afectados. También debe saber cómo hacer una evaluación de impacto cuando se van a tratar datos sensibles o usar sistemas de alto riesgo. Sin esto, cualquier incidente se convierte en crisis porque no hay protocolo, no hay registros y no hay respuesta coordinada.

¿Tu empresa tiene un protocolo documentado de qué hacer si mañana se detecta una fuga de datos?

Qué podés hacer hoy

Primero, antes de publicar una búsqueda o contratar un proveedor, definí qué datos va a manejar esa persona o servicio y qué nivel de acceso realmente necesita. No des accesos completos por defecto. Segundo, incluí en las entrevistas preguntas específicas sobre RGPD, bases legales, gestión de accesos, retención de datos y experiencia con incidentes. No te quedes solo con las habilidades técnicas: evaluá criterio, conocimiento normativo y capacidad de documentar. Tercero, si vas a contratar un proveedor externo (consultora, software, agencia), pedí referencias, revisá sus políticas de privacidad y seguridad, y exigí un contrato de encargado del tratamiento antes de darles acceso. Cuarto, establecé auditorías periódicas: revisá quién tiene acceso a qué, qué datos se están guardando, cuánto tiempo y bajo qué justificación. Y finalmente, capacitá. Aunque contrates bien, la formación continua en privacidad, seguridad y uso responsable de datos debe ser parte de la cultura de la empresa.

Conclusión

Contratar a alguien para manejar datos no es un trámite administrativo. Es una decisión estratégica que puede proteger o poner en riesgo todo lo que construiste. Las preguntas correctas al inicio te ahorran multas, crisis reputacionales y noches sin dormir. Y si sentís que no tenés claridad sobre qué preguntar, cómo auditar o cómo estructurar el gobierno de datos en tu empresa, no estás solo.

En IntroData BS acompañamos a organizaciones en la construcción de estrategias de datos seguras, responsables y orientadas al negocio. Desde la selección del talento correcto hasta la implementación de controles, procesos y herramientas que protejan tu información y potencien tus decisiones. Porque los datos bien gestionados no son un riesgo: son tu ventaja competitiva.