Cybersecurity and digital privacy

¿Sus políticas de privacidad se han mantenido al día con su transformación digital?

Astraed

6 min read

Por cada empresa que cambia sus operaciones a Internet, existen posibles problemas de privacidad que resultarán muy perjudiciales si se gestionan mal. A medida que entran en vigor nuevos reglamentos en los Estados Unidos, lo que está en juego para hacer bien este giro es más alto que nunca. La pandemia de la COVID-19 está acelerando las transformaciones digitales y las empresas deberían considerar la posibilidad de implementar estas cuatro medidas centradas en la privacidad: 1) Compruebe cómo sus proveedores y socios utilizan los datos de los clientes, 2) Realice evaluaciones de impacto para supervisar los riesgos, 3) Esfuércese por que su política de privacidad quede clara y 4) Designe un responsable de protección de datos.

••• Para las empresas de todo el mundo, la COVID-19 ha acelerado la transformación digital a una velocidad casi inimaginable. En un esfuerzo por sobrevivir y volver a la actividad de forma segura, las empresas han adoptado rápidamente servicios como el pago sin contacto, las aplicaciones de hacer clic y cobrar y la mejora de la gestión de las relaciones con los clientes. Estas transiciones son vitales para que las empresas continúen, pero cada una de ellas también implica nuevos riesgos. Por cada empresa que cambia sus operaciones a Internet, existen posibles problemas de privacidad que resultarán muy perjudiciales si se gestionan mal y, a medida que entren en vigor nuevas normas en los Estados Unidos, lo que está en juego para hacer bien este giro es más alto que nunca. En todos los sectores, los equipos con experiencia en espacios del mundo real se están precipitando a los digitales, donde son novatos, e inyectan enormes cantidades de datos de los usuarios a nuevos sistemas. En el sector de los restaurantes, los establecimientos se esfuerzan por crear una nueva infraestructura de pedidos y entregas en línea o por asociarse con empresas que ya ofrecen esos servicios. En la educación superior, las instituciones que se enfrentan a la pérdida de un año de matrícula están migrando rápidamente todo su plan de estudios a Internet y se apresuran a digitalizarlo todo, desde la enseñanza en línea hasta el historial médico de los estudiantes. En el ámbito de los eventos en directo, se pide a los veteranos de la producción que migren sus procesos consolidados a Internet a las nuevas tecnologías de nube. En cada caso, estos cambios conllevan el riesgo de que montones de datos personales se administren mal y sean vulnerables a la exposición. Esta situación plantea dos desafíos principales para muchas empresas: en primer lugar, tienen que tomar decisiones rápidas a la hora de adquirir nuevas tecnologías: crear escaparates en línea, implementar plataformas de comunicación que procesen los datos personales de los clientes y más. En segundo lugar, carecen de experiencia con la infraestructura de procesamiento de datos o incluso con la tecnología en general. Eso hace que los equipos tomen decisiones rápidas sobre el uso de sistemas tecnológicos de los que no saben mucho. Puede que haya una tentación comprensible de tratar los problemas de privacidad como un tema secundario —uno que pueda abordarse después de la crisis inmediata—, pero eso sería un error y que expondría a las empresas a un riesgo elevado de sufrir multas monetarias, demandas colectivas y quebraderos de cabeza en materia de RR.PP. La presión regulatoria es cada vez mayor a ambos lados del Atlántico. El Reglamento General de Protección de Datos (GDPR) en Europa, que se implementó en mayo de 2018, y la Ley de Privacidad del Consumidor de California (CCPA) en los Estados Unidos, que entrará en vigor por ley el 1 de julio (afectará a cualquier empresa con presencia en California y más de 25 millones de dólares en ingresos anuales), contienen protocolos estrictos para la gestión de los datos de los usuarios y ambos amenazan con imponentes multas a las empresas que se equivoquen en sus datos. Especialmente en los Estados Unidos, hay pocos motivos para pensar que los reguladores van a relajar significativamente las normas a causa de la pandemia. El fiscal general de California, Xavier Becerra, ha sido inequívoco en su intención de seguir adelante con la implementación de la CCPA y ha declarado: «Nos comprometemos a hacer cumplir la ley a partir del 1 de julio. Alentamos a las empresas a que presten especial atención a la seguridad de los datos en estos momentos de emergencia». La buena noticia es que gestionar los problemas de privacidad no tiene por qué ser otra tarea abrumadora, además de la ya hercúlea hazaña de trasladar gran parte de su negocio a Internet. Hay una serie de medidas sencillas y significativas que puede tomar para minimizar el riesgo de una violación de la privacidad. Para que su rápida transformación digital sea lo más segura posible en los próximos meses, considere la posibilidad de implementar estas medidas centradas en la privacidad. Cada uno se puede hacer de forma independiente, pero si su empresa puede cumplir estas cuatro casillas, mitigará en gran medida el riesgo de privacidad: ### **1) Tenga en cuenta la forma en que sus vendedores y socios utilizan los datos de los clientes** Las empresas pueden verse tentadas a cerrar contratos con proveedores externos que prometen soluciones «listas para usar» para una serie de desafíos de la transformación digital. Y aunque las empresas sepan que deben revisar cualquier acuerdo de procesamiento de datos (DPA) durante el aprovisionamiento, tienden a subestimar las consecuencias de saltarse este paso. Según la CCPA y el GDPR, una empresa puede ser considerada financieramente responsable por no actuar con la debida diligencia con terceros que procesan los datos de los clientes; de hecho, este fue el escenario que llevó a Marriott Hotel Group[recibir una multa de 123 millones de dólares](https://techcrunch.com/2019/07/09/marriott-data-breach-uk-fine/) por ICO en 2019. Su objetivo principal al revisar las DPA de los proveedores debe ser garantizar que cumplen con la privacidad y que sus políticas de datos se alinean con las políticas de datos declaradas por su empresa; de lo contrario, la empresa corre el riesgo de infringir su propia política de privacidad. Además, compruebe el lenguaje sobre los subcontratistas en la DPA de cualquier proveedor. Debe garantizarse que los vendedores no subcontratarán a otro procesador a menos que su empresa le indique explícitamente que lo hagan. Esto garantiza que su empresa esté protegida legalmente en caso de que un proveedor transfiera unilateralmente las obligaciones de datos a un tercero que no cumpla con las normas. ### **2)**   **Al procesar los datos, realice evaluaciones de impacto para supervisar el riesgo** El RGPD exige las evaluaciones de impacto del procesamiento de datos en muchos casos, pero no la CCPA. Sin embargo, en tiempos de cambios frenéticos, implementar evaluaciones de riesgo básicas para las actividades de datos, por tediosas que sean, obliga a las empresas a pensar críticamente antes de tomar una decisión potencialmente perjudicial en temas como el almacenamiento de datos, la subcontratación y más. Además, en caso de que se le acuse de una violación de la privacidad, los reguladores ven favorablemente un registro en papel que demuestre las medidas proactivas para mitigar el riesgo. La Oficina del Comisionado de Información del Reino Unido ofrece un[plantilla gratuita de evaluación del impacto en la protección de datos](https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/) eso pondrá a su empresa en el camino correcto para evaluar con precisión el riesgo de privacidad, se encuentre allí o no. ### **3) Esfuércese por que sus políticas de privacidad sean claras** Mientras las principales partes interesadas reevalúan las políticas de privacidad antes de la aplicación de la CCPA, tenga en cuenta la redacción del documento. Su objetivo es hacer que esta política sea accesible para todos sus clientes, no solo para los que dominan la jerga legal. Puede que piense que se está ocultando al incluir frases abiertas de par en par a la interpretación para prepararse para cualquier requisito reglamentario futuro, pero su prioridad debería ser ayudar a sus clientes, cada vez más conocedores de la privacidad, a entender su política y a confiar en su empresa.[Slack](https://slack.com/intl/en-ca/privacy-policy) La política de privacidad demuestra que la minuciosidad no tiene por qué ir en detrimento de la claridad para los lectores. ### **4) Designe un oficial de protección de datos (DPO)** No importa el tamaño de la empresa, es preferible centralizar la responsabilidad de las decisiones sobre los datos que repartir la responsabilidad entre varios departamentos. Eso es más cierto que nunca en tiempos de cambios rápidos. Las OPD sirven como punto central para los problemas de privacidad dentro de una organización y un enlace vital con los organismos reguladores, mientras que el carácter de la aplicación de la ley de privacidad sigue siendo ambiguo. Incluso si la persona carece de experiencia en privacidad, permitir que un solo par de ojos se centre en la privacidad es una forma rápida y económica de reducir el riesgo. Como he dicho al principio, gestionar bien la rápida transformación digital puede requerir la adopción de medidas arriesgadas. Sin embargo, en el clima actual, depender de la generosidad reguladora es un riesgo innecesario para las empresas, ya que pueden tomar medidas sencillas e impulsadas por procesos para reforzar la privacidad. La implementación de la privacidad de los datos presenta muchas características del dilema de la «incoherencia temporal» del economista: es demasiado pronto para hacerlo hasta que es demasiado tarde. Y como hemos visto en las últimas semanas, «demasiado tarde» puede significar un serio tropiezo en una coyuntura empresarial crítica.

Read more