Gran parte de la discusión alrededor del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) se ha centrado, por motivos justificados, en los aspectos negativos. La complejidad, el potencial daño para la reputación, las sanciones económicas y el nivel de exigencia para el que muchas organizaciones, simplemente, no están preparadas.
Sin embargo, los datos son actualmente uno de los activos más valiosos para una empresa, por lo que protegerlos es mucho más que un ejercicio legal: es la base de la relación entre una marca moderna y sus clientes. Por ello, el RGPD ofrece una gran oportunidad para que la empresa adopte un enfoque completamente nuevo y mejorado sobre cómo gestiona los datos a lo largo de todo su ciclo de vida. Al hacerlo puede ir más allá de la conformidad con el RGPD y crear una ventaja competitiva. Dado que la privacidad y la seguridad son tan importantes para la confianza de los consumidores, ser capaz de garantizarlas se convierte en un diferenciador para la marca.
La desconexión de la privacidad de datos
Si esto le sorprende, sepa que no está solo. Hemos descubierto que el 74 % de las empresas no cree que el historial de privacidad de una organización sea una de las tres principales consideraciones para los clientes cuando eligen con quién hacer negocios[1]. El 88 % de los consumidores europeos considera la seguridad de los datos como el factor más importante a la hora de elegir dónde gastar su dinero[2].
También merece la pena tener en cuenta que, si los responsables de TI y de negocio son los que tienen que dirigir el urgente cambio organizativo que requiere el cumplimiento del RGPD, es esencial un enfoque más positivo y alentador que se centre en y explique los beneficios potenciales.
La pregunta obvia, por tanto, es cuál es la mejor forma de aprovechar esta oportunidad competitiva y convertir la seguridad y la conformidad en diferenciadores para una marca.
Cómo adoptar la privacidad desde el diseño
Una de las formas más efectivas para lograrlo es adoptar la “privacidad desde el diseño”, que significa hacer de la conformidad y de la seguridad un elemento central de la estructura organizativa. En otras palabras, su modo por defecto de hacer negocios.
Adoptar la privacidad desde el diseño supone también asumir un compromiso con la seguridad de punto a punto, desde la creación y almacenamiento de los datos al momento en el que quedan obsoletos. La seguridad de punto a punto puede desglosarse en cuatro fases clave.
También merece la pena tener en cuenta que, si los responsables de TI y de negocio son los que tienen que dirigir el urgente cambio organizativo que requiere el cumplimiento del GDPR
La primera es Prepararse. Supone evaluar todos los datos personales que su empresa está almacenando, su ubicación, quién puede acceder a ellos y cualquier otro aspecto relacionado con su exposición al riesgo o con las vulnerabilidades de su infraestructura. La segunda es Protegerse, lo que implica desarrollar e implementar salvaguardas por toda su infraestructura para ayudar a contener el impacto de un posible ataque.
Detectar es la tercera fase, para la cual las empresas precisarán servicios de monitorización de la seguridad y soluciones modernas para la protección frente a amenazas. De media, se requieren 229 días para que una compañía detecte un ataque, un tiempo durante el cual la fuga de datos, muy probablemente, ya se habrá producido. Sin embargo, elegir al socio de seguridad adecuado podría reducir el tiempo necesario para la detección y proporcionar también una clara comprensión del impacto de este tipo de incidentes.
La fase final es Responder, centrada en la reparación de los daños. Además de la significativa competencia técnica que se necesita en este punto, debe seguirse el principio rector de transparencia con todos los implicados. Esto está en línea con la notificación obligatoria de las fugas incluida en el RGPD, que establece específicamente que las organizaciones deben reportar una fuga que implique la pérdida de datos personales en menos de 72 horas.
Templar el realismo con determinación
Como ha podido ver en el proceso de cuatro pasos descrito, la protección de datos es solo una etapa dentro de un robusto enfoque para garantizar la privacidad desde el diseño. Por lo tanto, si las empresas quieren convertir el RGPD en una oportunidad, en lugar de en una amenaza, deben enfocarlo de forma holística, con el objetivo de transformar el modo en el que la organización gestiona los datos en su totalidad.
No es un reto menor. Es importante ser realista respecto a los desafíos a los que se enfrenta, pero este realismo puede templarse con determinación. Como Thomas Edison dijo en una ocasión, “la mayoría de la gente pierde las oportunidades porque van vestidas con mono de trabajo y parecen trabajo”. Este es precisamente el caso del RGPD. Sí, vamos a tener que recurrir a toda nuestra experiencia técnica y habilidades personales para tener el trabajo hecho a tiempo. Pero si lo logran, las empresas mantendrán una significativa fortaleza en la relación con sus clientes, y reforzarán la confianza que los clientes tienen en su marca.
[1] Estudio “Estado de la privacidad de datos en Europa 2016” de Symantec.
[2] Informe “Estado de la privacidad 2015” de Symantec.