Doxa 945

¿Han mantenido sus políticas de privacidad con su transformación digital?

Por Cillian Kieran
Seguridad y Privacidad
Harvard Business Review

 
Para empresas de todo el mundo, Covid-19 ha acelerado la transformación digital a una velocidad casi inimaginable. En un esfuerzo por sobrevivir y volver a los negocios de manera segura, las empresas han adoptado rápidamente servicios como pagos sin contacto, aplicaciones de hacer clic y recopilar, y una mejor gestión de la relación con los clientes. Estas transiciones son vitales para que las empresas continúen, pero cada una también presenta nuevos riesgos. Para cada negocio que cambia las operaciones en línea, existen posibles dificultades de privacidad que resultarán muy perjudiciales si se administran mal, y a medida que se establezcan nuevas regulaciones para que entren en vigencia en los Estados Unidos, las apuestas para lograr este pivote correcto son más altas que nunca.

En todas las industrias, los equipos con experiencia en espacios del mundo real se están apresurando hacia los digitales donde son novatos y están inyectando grandes cantidades de datos de usuarios en nuevos sistemas. En la industria de los restaurantes, los establecimientos están luchando para construir una nueva infraestructura de pedidos y entregas en línea o para asociarse con empresas que ya ofrecen esos servicios. En la educación superior, las instituciones que se enfrentan a la pérdida de las tasas de matrícula de un año están migrando rápidamente todo su plan de estudios en línea, y se apresuran a digitalizar todo, desde la enseñanza en línea hasta los registros de salud de los estudiantes. En el espacio de eventos en vivo, se les pide a los veteranos de producción que migren sus procesos bien establecidos en línea y hacia nuevas tecnologías en la nube. En cada caso, estos cambios conllevan el riesgo de que una gran cantidad de datos personales sean mal administrados y vulnerables a la exposición.


Esta situación plantea dos desafíos principales para muchas empresas: en primer lugar, deben tomar decisiones rápidas sobre la adquisición de nuevas tecnologías: crear escaparates en línea, implementar plataformas de comunicaciones que procesen los datos personales de los clientes, y más. En segundo lugar, carecen de experiencia con la infraestructura de procesamiento de datos, o incluso con la tecnología en general. Eso se suma a los equipos que toman decisiones rápidas sobre el uso de sistemas tecnológicos de los que no conocen mucho. Puede haber una tentación comprensible de tratar los problemas de privacidad como un problema secundario, uno que puede abordarse después de la crisis inmediata, pero eso sería un error y uno que expondría a las empresas a un riesgo elevado de multas monetarias, demandas colectivas, y dolores de cabeza de relaciones públicas.

Ha habido una creciente presión reguladora en ambos lados del Atlántico. El Reglamento General de Protección de Datos (GDPR) en Europa, que se implementó en mayo de 2018, y la Ley de Privacidad del Consumidor de California (CCPA) en los Estados Unidos, que entra en vigencia por ley el 1 de julio (afecta a cualquier empresa con presencia en California y más de $ 25 millones en ingresos anuales), contienen protocolos estrictos para la gestión de los datos del usuario, y ambos amenazan con fuertes multas para las empresas que obtienen datos incorrectos. Particularmente en los Estados Unidos, hay pocas razones para pensar que los reguladores relajarán significativamente los estándares debido a la pandemia. El Procurador General de California, Xavier Becerra, ha sido inequívoco en su intento de avanzar en la implementación de la CCPA, afirmando: "Estamos comprometidos a hacer cumplir la ley a partir del 1 de julio. Alentamos a las empresas a tener especialmente en cuenta la seguridad de los datos en este momento de emergencia".

La buena noticia es que administrar las preocupaciones de privacidad no tiene que ser otra tarea desalentadora además de la hazaña ya hercúlea de mover grandes partes de su negocio en línea. Hay una serie de pasos simples y significativos que puede tomar para minimizar el riesgo de una violación de la privacidad. Para que su rápida transformación digital sea lo más segura posible en los próximos meses, considere implementar estas medidas centradas en la privacidad. Cada uno se puede hacer de forma independiente, pero si su empresa puede marcar las cuatro casillas, mitigará en gran medida el riesgo de privacidad:

1) Tenga en cuenta cómo sus proveedores y socios usan los datos del clienteLas empresas pueden verse tentadas a apresurarse a firmar contratos con proveedores externos que prometen soluciones "plug-and-play" para una serie de desafíos de transformación digital. Y si bien las empresas pueden ser conscientes de que deben revisar cualquier Acuerdo de procesamiento de datos (DPA) durante la adquisición, existe la tendencia a subestimar las consecuencias de omitir este paso. Bajo CCPA y GDPR, una empresa puede ser considerada financieramente responsable por el incumplimiento de la diligencia debida en terceros que procesan datos de clientes; de hecho, este fue el escenario que llevó a que Marriott Hotel Group fuera multado con 123 millones de dólares por ICO en 2019.

Su enfoque clave al revisar los DPA de proveedores debe ser asegurarse de que cumplan con la privacidad y que sus políticas de datos se alineen con las políticas de datos establecidas de su empresa; de lo contrario, una empresa corre el riesgo de violar su propia política de privacidad. Además, verifique el lenguaje sobre subcontratistas en cualquier DPA de proveedor. Debe garantizarse que los proveedores no subcontraten a otro procesador a menos que su empresa se lo indique explícitamente. Esto garantiza que su negocio esté legalmente protegido si un proveedor descarga unilateralmente las tareas de datos a un tercero que no cumple con las normas.

2) Cuando procese datos, realice evaluaciones de impacto para monitorear el riesgoEn muchos casos, el GDPR requiere evaluaciones de impacto para el procesamiento de datos, pero el CCPA no lo exige. Sin embargo, en tiempos de cambio frenético, la implementación de evaluaciones de riesgo básicas para actividades de datos, por tediosas que sean, obliga a las empresas a pensar críticamente antes de tomar una decisión potencialmente perjudicial sobre cuestiones como el almacenamiento de datos, la subcontratación y más. Además, en caso de ser acusado de una violación de la privacidad, un registro en papel que demuestra los pasos proactivos para mitigar el riesgo se lee favorablemente a los reguladores.

La Oficina del Comisionado de Información del Reino Unido proporciona una plantilla de evaluación de impacto de protección de datos gratuita que colocará a su negocio en el camino correcto para evaluar con precisión el riesgo de privacidad, ya sea que se encuentre allí o no.

3) Esforzarse por la claridad en sus políticas de privacidadA medida que las partes interesadas clave vuelvan a evaluar las políticas de privacidad antes de la aplicación de CCPA, considere cómo se lee el documento. Su objetivo es hacer que esta política sea accesible para todos sus clientes, no solo para aquellos con fluidez legal. Puede pensar que se está cubriendo al incluir frases abiertas a la interpretación para prepararse para cualquier requisito reglamentario futuro, pero su prioridad debe ser ayudar a sus clientes cada vez más conocedores de la privacidad a comprender su política y confiar en su empresa. La política de privacidad de Slack muestra que la minuciosidad no tiene que ser a expensas de la claridad para los lectores.

4) Designar un Oficial de Protección de Datos (DPO)No importa el tamaño de una empresa, es preferible centralizar la responsabilidad de las decisiones de datos que difundir la responsabilidad en varios departamentos. Eso es más cierto que nunca en tiempos de cambios rápidos. Los DPO sirven como un punto focal para las preocupaciones de privacidad dentro de una organización y un enlace vital para los organismos reguladores, mientras que el carácter de la aplicación de la ley de privacidad sigue siendo ambiguo. Incluso si la persona carece de experiencia en privacidad, empoderar a un solo conjunto de ojos para enfocarse en la privacidad es una forma rápida y rentable de reducir el riesgo.

Como se dijo al principio, gestionar bien la transformación digital rápida puede requerir tomar medidas arriesgadas. Pero en el clima actual, depender de la generosidad regulatoria es un riesgo innecesario para las empresas cuando pueden tomar medidas simples y basadas en procesos para apuntalar la privacidad.

La implementación de la privacidad de datos exhibe muchas características del dilema de "inconsistencia en el tiempo" del economista: es demasiado pronto para hacerlo hasta que sea demasiado tarde. Y como hemos visto en las últimas semanas, "demasiado tarde" puede significar un grave tropiezo en una coyuntura comercial crítica.

Si nuestro contenido gratuito lo ayuda a enfrentar estos desafíos, considere suscribirse a HBR. Una compra por suscripción es la mejor manera de apoyar la creación de estos recursos.

Cillian Kieran es el CEO y fundador de la compañía de privacidad Ethyca. Una formación en ingeniería de software y dos décadas dedicadas a programas de datos a gran escala para Heineken, Sony, Dell y Pepsi lo convencieron de que había una mejor manera de crear privacidad en los sistemas de tecnología de gran tamaño. Ahora, Ethyca potencia la privacidad de marcas globales como Away, Slice y AspireIQ.


No hay comentarios:

Publicar un comentario