29 abril 2015
Cumplimiento normativo y generación de valor empresarial
Por Daniel López Carballo, asociado senior de Information Technology de ECIJA
Cuando una empresa se enfrenta a la implantación de un Plan de Seguridad en materia de protección de datos suelen confluir diferentes -e incluso contradictorios- puntos de vista y valoraciones. En muchas ocasiones, la conclusión suele pasar por dar cumplimiento a una norma únicamente por el riesgo a ser sancionado o por cubrir el expediente, adoptando exclusivamente aquellas medidas que resulten imprescindibles y que no afecten al día a día del negocio y no supongan una carga administrativa desmedida.
En ocasiones, el cumplimiento de las obligaciones recogidas en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, es visto por las empresas como un lastre para la gestión de los recursos humanos y organizativos, así como un incremento de la burocracia empresarial: documentos, formularios y procedimientos internos que, desde esta óptica, poco o nada aportan a la obtención de beneficios para la empresa. Esta concepción del cumplimiento normativo implica que, en ocasiones, la solución al problema pase por el planteamiento de una serie de preguntas del tipo ¿quién me va a pedir esto? ¿qué probabilidades hay de que me sancionen? Si no me lo han pedido en todo este tiempo, ¿por qué van a hacerlo ahora? ¿En qué me beneficia adoptar procedimientos y sistemas de control nuevos? o, incluso, de la afirmación de determinadas máximas “nunca va pasar nada”, “pongo la mano en el fuego por …”, “si no sancionan a los grandes, tampoco me sancionarán a mí”.
El derecho a la protección de datos nace como mecanismo de protección de la esfera más íntima de las personas, de su derecho al honor, de la intimidad personal y familiar, de su propia imagen y a la utilización de su información personal conforme a unas normas y finalidades concretas, en base al consentimiento previamente prestado. Se trata pues de un derecho fundamental consagrado por nuestra Constitución que se encuentra íntimamente ligado a la mayoría de modelos de negocio y a las propias relaciones con nuestros clientes y usuarios.
Además de esta protección constitucional de los datos personales, una correcta adecuación a la legislación conlleva una serie de beneficios para las empresas, tanto en el ámbito de la responsabilidad en el tratamiento de los datos, como en la trazabilidad de la información y la correcta asignación de recursos para lograr un seguimiento adecuado. Mayor seguridad, implica confianza, limita riesgos y, por tanto, genera beneficios.
Este planteamiento en positivo y el entendimiento de que dichas acciones no son un trabajo baldío, muestra una concepción de la normativa de protección de datos como motor de negocio, generador de beneficios y de confianza, en definitiva, como un activo empresarial.
Entienda el lector que esta idea no es fruto del marketing jurídico o una visión utópica de la realidad. A continuación analizaremos algunos de los principales beneficios, en ocasiones desconocidos, que pueden mejorar la estrategia empresarial y ayudar a la consecución de sus fines y objetivos.
1. OPTIMIZACIÓN DE LOS RECURSOS PROPIOS: CAPITAL HUMANO.
Mediante la delimitación de perfiles de los empleados para el acceso a la información conforme a las funciones que desarrollan y su puesto de trabajo se optimiza el tiempo de trabajo dedicado, asignando a cada empleado los recursos necesarios para desarrollar su trabajo, con lo que conseguimos, por un lado, optimizar el tiempo real de trabajo (ya que sólo podrá acceder a la información precisa para sus funciones) y, por otro, un uso racional de los recursos de la empresa.
2. CONTROL DE LA INFORMACIÓN Y LIMITACIÓN DE “FUGAS”.
Evitar los duplicados de información, la utilización de programas y ficheros no protegidos (en ocasiones desconocidos por los propios departamentos de sistemas de las empresas), así como la fuga de información, su copia, uso no autorizado o robo.
En la actualidad, uno de los mayores problemas al que nos enfrentamos son las fugas de información. En ocasiones, la sustracción de dicha información de nuestros clientes es utilizada para la prestación de servicios fuera del ámbito de la empresa o la realización de campañas de captación.
Si bien es cierto que el cliente que se va a otra empresa no puede ser obligado a volver, ni un juez puede decretar su retorno. Una correcta aplicación de los perfiles de usuarios y del registro de acceso a la información permite conocer quién ha accedido en cada momento a las cuentas de los clientes, así como el uso informático que le dio a los mismos. La definición de roles conforme a las funciones del empleado, impide que se lleven a cabo operaciones no autorizadas, tales como el copiado o la extracción de la información de la compañía.
En otras ocasiones, la problemática gira en torno a la fuga de información, bien por la trascendencia del cliente en cuestión o por el vínculo personal o familiar que le une a la persona que comete la infracción. La firma de una adecuada normativa de confidencialidad y seguridad de la información posibilita a la empresa a emprender acciones judiciales contra el empleado que hizo un uso ilegítimo de la información, provocó la fuga de datos o quebrantó la confidencialidad y el secreto profesional debidos.
3. MEJORA DE IMAGEN CORPORATIVA, BENEFICIO SOCIAL.
Las relaciones con los usuarios se basan en el prestigio de la empresa a la que acuden y la profesionalidad del personal que les atiende.
Evitar una mala publicidad en los medios de comunicación y en la red es la mejor campaña de marketing.
Mediante una correcta resolución y satisfacción del ejercicio de los derechos reconocidos en la normativa, se podrá contrarrestar los ataques al honor y falsedades vertidas sobre nuestros profesionales.
Junto con el nivel de seguridad reconocido en la ley, se debe recordar que existe un nivel social de impacto, no recogido en la legislación, que implica que no todos los datos tienen la misma consideración en la sociedad, por lo que deberemos prestar una mayor atención a determinados datos, más sensibles para el propio usuario (p.e. el número de cuenta bancario para evitar estafas o fraudes).
Anticiparse en la gestión de crisis reputacionales, liderar la persecución de casos de phising u otro tipo de fraudes, incluso personándose ante las propias autoridades compententes, genera seguridad y confianza frente a nuestros clientes, mostrando la preocupación de la empresa por el tratamiento de sus datos personales y la protección de su privacidad.
4. BLINDAJE FRENTE A LA RESPONSABILIDAD DE TERCEROS.
La regulación de las relaciones contractuales con prestadores de servicios que pueden acceder a la información en materia de protección de datos conlleva la limitación de la responsabilidad con respecto a la actuación de éstos. Cabe recordar que la empresa es la Responsable de dichos datos, por lo que cualquier irregularidad que cometan dichos terceros, será responsabilidad de la empresa, quien deberá blindar la relación jurídica que les une en materia de protección de datos y exigir un correcto cumplimiento de las medidas de seguridad establecidas para el correspondiente nivel de seguridad.
5. TRAZABILIDAD DE LA INFORMACIÓN.
Seguimiento de la información en base a registros de accesos. Mediante dichos registros podemos depurar responsabilidades en el caso de producirse una negligencia, elaborar estadísticas o reasignar recursos conforme a la utilización de determinadas servicios. Un correcto tratamiento de la información permite conocer a los profesionales que han intervenido en cada momento.
6. GESTIÓN DE DATOS ESPECIALMENTE PROTEGIDOS.
En el seno de la empresa se pueden llegar a tratar datos de nivel alto de seguridad, tales como los relativos a la afiliación sindical (empleados), la propia confesionalidad de las personas o su salud, datos de nivel medio (infracciones, morosidad, segmentación, profiling) así como los propios de nivel básico. En su tratamiento se deberán observar las medidas de seguridad que establece la legislación vigente, así como la finalidad, personal que accede y posibles destinatarios de la información.
Garantizar un correcto tratamiento de los datos, conforme a finalidades claramente definidas, la seguridad de los mismos, máxime cuando nos encontramos ante la esfera más íntima de las personas, evita riesgos y genera confianza y seguridad en nuestros clientes.
7. SEGURIDAD DE LA INFORMACIÓN.
La adopción de medidas de seguridad de índole técnico en la empresa garantiza un correcto tratamiento de la información, así como su seguridad e integridad, o el correcto funcionamiento de los procedimientos de recuperación en caso de pérdida de los datos.
Medidas como la realización de copias de seguridad, la revisión periódica del procedimiento adoptado, la custodia de las mismas fuera de los locales de la empresa, el establecimiento de un procedimiento de recuperación, son medidas que, ante la pérdida de información o una incidencia informática grave, salvaguardan el fondo de negocio, la gestión de los clientes. Esta medida ahorra costes, tiempo y quebraderos de cabeza, imaginemos cuanto nos costaría y qué tiempo habría que invertir en que nuestros empleados volvieran a incorporar a un sistema informático los datos de diez años de actividad, sumado al malestar de nuestros propios clientes cuando reciban una llamada para solicitarles nuevamente información personal.
Si bien en el día a día, descartamos el riesgo y pensamos que no tiene va a pasar, una caída de la red o un corte del suministro eléctrico, pueden destruir el trabajo desarrollado durante años.
8. MEJORA DE LA PRODUCTIVIDAD, REASIGNACIÓN DE RECURSOS.
Como consecuencia de la adecuación de los procedimientos y sistemas a la normativa, se pueden descubrir procesos innecesarios, redundantes, o ineficientes que pueden mejorarse sustancialmente con muy poco esfuerzo.
9. GENERAR VALOR DE LA INFORMACIÓN GENERADA.
Uno de los principales activos que poseen las empresas es la cantidad ingente de datos e información que es generada en el marco de las relaciones con clientes (presentes o potenciales). La aparición y el auge de las redes sociales facilitan nuevos canales de comunicación, la multicanalidad genera información enriquecida, que posibilita la elaboración de estudios de mercado más certeros, ofrecer a los clientes productos más cercanos a sus gustos y preferencias, conocer sus necesidades, ofrecerle una atención cercana y eficaz.
Para una correcta aplicación de tratamientos de Big Data, multicanalidad, y otras tendencias novedosas, deberemos contar con el consentimiento de las personas. La aplicación del principio de transparencia y la elaboración de clausulados entendibles, aporta una seguridad a las personas y la confianza suficiente como para participar de los mismos.
10. REDUCCIÓN DEL RIESGO DE SANCIONES.
Debemos tener en cuenta la proyección social que tienen los datos de carácter personal y su relación con el ámbito de la responsabilidad civil. El establecimiento de medidas de seguridad conforme a la normativa y al nivel social de impacto, evitan riesgos. Cabe recordar que las sanciones en materia de protección de datos se encuadran entre los 900 y los 600.000 euros, aunque tienen carácter administrativo, un determinado tipo de resolución posibilita al usuario a acudir a la vía judicial y reclamar una determinada cantidad en concepto de daños y perjuicios.
11. ANÁLISIS DE IMPACTO Y VALORACIÓN DE RIESGOS.
En el caso de realización de campañas de marketing, mailings y otras comunicaciones tanto con los propios usuarios, como con los empleados de la empresa, se deberán tomar las correspondientes medidas de seguridad así como hacer una correcta observancia de la obtención del consentimiento para el tratamiento de los datos.
La futura aprobación del Reglamento Europeo en materia de protección de datos apuesta por el concepto de “Privacy by design” así como la realización de informes de impacto y valoración de riesgos de las acciones que impliquen el tratamiento de datos personales; así mismo los informes de auditoría y memorias de gestión deberán contar con un capítulo específico sobre el cumplimiento en materia de protección de datos personales.
12. DELIMITACIÓN DE LA RESPONSABILIDAD CIVIL.
Una correcta aplicación de la normativa permite agilizar los procedimientos de depuración de responsabilidad de los profesionales que intervienen en los procesos y de las funciones o forma en que intervino. Los registros de acceso a los datos nos permiten conocer en cada momento que personal estaba debidamente autorizado para el acceso a la información, mediante un sistema de acceso por usuario y contraseña, esta delimitación permite conocer quien realizó las observaciones, quien aplicó un determinado tratamiento o realizó una intervención.
13. CUMPLIMENTO NORMATIVO.
En el ámbito empresarial la normativa en materia de protección de datos está en estrecha relación con otra legislación exigible. Parte del cumplimiento de esta legislación se facilita mediante una correcta adopción de las medidas legales, organizativas y de seguridad establecidas en materia de protección de datos.
Tal y como hemos analizado, el correcto cumplimiento de la normativa, puede aportar valor a lo que hacemos, a nuestro modelo de negocio y repercutir directamente en la generación de beneficios, en el corto, medio y largo plazo. La externalización de estos servicios no debe entenderse como un gasto a fondo perdido, si no como una inversión, que implicará el asesoramiento de un experto cualificado, para facilitar el cumplimiento y obtener el máximo beneficio para la empresa.
En conclusión, la implantación de un sistema de protección de datos en el entorno empresarial debe entenderse en base a la premisa de que mayor seguridad, implica confianza, limita riesgos y genera beneficios, lo que irremediablemente se traduce en una mayor eficiencia empresarial.