El nuevo reglamento de protección de datos (GDPR) ya está en vigor, pero realmente las empresas de todos los sectores han estado bajo presión para cumplir la norma desde que se introdujo la ley en 2016. Algunas respondieron cambiando sus procesos de TI, otras traspasaron la cuestión a su equipo de legal, y otras solo han comenzado la adaptación en serio cuando el 25 de mayo, la fecha límite, estaba a la vuelta de la esquina.
La protección de datos debe tratarse con el nivel adecuado de seriedad. Podría ser tentador pensar que uno puede mantenerse alejado de los problemas regulatorios siempre y cuando no esté haciendo nada malo con los datos personales de las personas, pero esto es solo una visión cortoplacista. GDPR es el comienzo de un impulso regulatorio global dirigido a mejorar la protección de datos, y la regulación será cada vez más exigente.
El cambio real requiere una transformación cultural. El modo en que las compañías controlan los datos aún no se ha adaptado a la forma en que los empleados usan la tecnología, por lo que todavía vemos que el personal puede adoptar un enfoque poco profesional en muchas organizaciones. Hay empleados que guardan información de la compañía en dispositivos personales, usan (y algunas veces pierden) ordenadores portátiles con información delicada en el tren, y recurren a sitios de intercambio de archivos para compartir información sensible. Todas estas prácticas representan un riesgo de seguridad, y todas son comunes.
El coste de no cumplir con GDPR puede ser significativo. Los líderes empresariales son conscientes del riesgo inmediato potencial que supone un incumplimiento (sanciones de hasta 20 millones de euros o el 4% de la facturación global de la compañía), pero también hay consecuencias menos obvias. Las brechas de seguridad y pérdidas de datos deben hacerse públicas a la autoridad supervisora en un plazo de 72 horas una vez que la empresa es consciente del caso, y el daño reputacional que conlleva si la empresa no tiene un buen control de la seguridad, tiene un alto precio.
Además, la autoridad supervisora tiene potestad para imponer limitaciones temporales o definitivas incluyendo la prohibición del procesamiento de datos, y los interesados tienen derecho a presentar reclamaciones de indemnización.
Esto convierte a GDPR en un problema de la alta dirección. Y esto no significa que las empresas designen simplemente a alguien para que se haga cargo del cumplimiento y lo dejen correr. Con un imperativo tan importante, el asunto debe estar en manos del CEO.
Los líderes empresariales deben ser plenamente conscientes de todo lo que supone la protección de datos. Para que una organización administre los datos de manera más responsable, y mantenga los estándares requeridos a largo plazo, necesita la cooperación de todo el personal. Cada persona debe ser responsable de sus acciones y cumplir con su parte, y esta comprensión debe avanzar de arriba hacia abajo.
¿Cómo pueden los líderes empresariales ayudar a lograr esto?
El primer paso es hacer que la formación sea obligatoria. Esto podría incluir desde capacitación en gestión de datos hasta talleres sobre protección de datos o incluso realizar pruebas de estrés de phishing para ayudar a los empleados a identificar prácticas sospechosas.
Los incentivos también ayudan a impulsar el cambio. La protección de datos debe formar parte del trabajo de alguien tanto como cualquier otra actividad o tarea en la empresa, entonces ¿por qué no recompensar a los líderes de equipo que se han asegurado de que todo su personal haya tomado la formación adecuada o incluya capacitación de seguridad como parte de los objetivos de desempeño de los empleados? En última instancia, los equipos de Recursos Humanos, TI o jurídicos decidirán desarrollar estas iniciativas, pero el imperativo debe venir del liderazgo corporativo.
GDPR supone una evolución de la LOPD y además una garantía para potenciar la confianza del usuario en la evolución digital de los procesos de negocio, redundando en el éxito de la nueva empresa digital. Más que nunca, la imagen corporativa está en juego y son los CEO quienes se convierten en los garantes de respaldar este requerimiento.