Privacidad en Compliance

Diez pasos para lograr la privacidad de datos en Compliance

Tribuna Madrid

La protección de datos es una necesidad que se ha ido incrementando con la aparición de graves incidentes relacionados con la filtración de datos de los consumidores de ciertas empresas. Cada una de esas violaciones de la intimidad de los usuarios conlleva dos tipos de daños: primero, el relacionado con la reputación de la compañía y con la vulneración de la confianza del público en la empresa; y, segundo, las consecuencias financieras, que van desde los pagos por la implantación de servicios de monitorización de crédito a las compensaciones económicas a través de demandas o acuerdos, e, incluso, a costear el rescate de datos e información secuestrados.

Aunque las compañías piensen que esto nunca les sucedería, el Reglamento General de Protección de Datos (GDPR), que entró en vigor en Europa en a principios de 2018, les obliga a cambiar ese enfoque para evitar las multas potenciales previstas de hasta el 4% de los ingresos globales.

Para ayudar a los encargados de gestionar el Compliance en la compañía, las empresas deben planificar y priorizar un amplio abanico de asuntos y problemas y entender que deben actuar según el orden de dichas prioridades.

1. Seleccione el ámbito

Establecer un ámbito específico resulta fundamental de cara a poder documentar las obligaciones y su trascendencia. El sistema de procesos y controles de privacidad de datos puede volverse muy complejo y enrevesado por lo que las compañías necesitan construir sus sistemas sobre una base firme y sustentada en estándares internacionalmente reconocidos.

La Organización Internacional para la Estandarización publica el estándar ISO19600, orientada a proporcionar un apoyo global a los programas de Compliance en vez de a los riesgos específicos. Su objetivo es ofrecer una amplia guía basada en las mejores prácticas acordadas internacionalmente cuyo uso dependerá del tamaño y nivel de desarrollo de su empresa y del contexto, naturaleza y complejidad de las actividades que lleve a cabo.

2.  Comprenda sus obligaciones

Uno de los errores más comunes que se producen al construir un programa de privacidad de datos es saltar a los requisitos técnicos de una ley o código sin tener en cuenta qué es lo más importante para la empresa.

Por ello, resulta fundamental entender las necesidades del negocio para poder cumplir con la ley, lo que implica realizar un meticuloso análisis para identificar cuáles son sus obligaciones, los riesgos de incumplirlas y cuáles de ellos está dispuestos a asumir su empresa. El análisis deberá evaluar, principalmente, las responsabilidades legales de su entidad, las obligaciones reglamentarias y de reputación, y cómo se almacena su empeño en la actualidad.

Las empresas que operan o que tienen su base en Europa probablemente basen sus obligaciones en materia de privacidad de datos en el GDPR de la Unión Europea, pero la mayoría de los países cuentan también con alguna forma más de legislación en la materia que también hay que cumplir, como los códigos de conducta, que proporcionan una orientación más específica sobre cómo tratar los datos y pueden contener obligaciones contractuales. Además, también existen expectativas de los empleados sobre cómo tratarán sus datos personales privados, sean realistas o no.

3.  Comprenda sus riesgos

Valorar la posibilidad de que la empresa incumpla una de las normas implica el análisis de muchos factores, como el tipo de datos filtrados, el grado de confidencialidad de dicha información, qué personas tienen acceso a esos datos dentro y fuera de la entidad, cuáles son sus protocolos de seguridad y cómo usted ha gestionado estas situaciones en el pasado. Este análisis le ayudará a contar con una guía sobre las contingencias y el impacto potencial de las posibles infracciones, y permitirá evaluar el nivel de riesgo que está dispuesto a asumir su empresa.

Para ello, resulta primordial realizar evaluaciones de riesgo en torno a la seguridad física y tecnológica, abarcando tanto el acceso externo como los usuarios internos, por lo que entender la ingeniería social o utilizar los poderes de persuasión y fraude para obtener acceso a los sistemas es determinante para protegerse contra las violaciones de datos.

4.  Documente sus políticas

Una vez tenga claras las obligaciones y los riesgos, es vital documentar exactamente cuáles son sus políticas para la gestión de contingencias, ya que no todos los riesgos se gestionan de la misma manera. Por ello, el documento que recoja dichas políticas deberá establecer la orientación adecuada en áreas clave teniendo en cuenta que ciertas políticas de protección de datos y privacidad pueden interferir con otras políticas comerciales, como las normas de seguridad, las políticas de retención de registros y la gestión de la propiedad intelectual confidencial o interna.

5.  Consiga la aprobación

El equipo directivo tiene que estar de acuerdo con su análisis y firmarlo según lo establecido en las normas, algo fundamental para obtener los medios humanos, tecnológicos y formativos necesarios para la implantación de las políticas o para reconocer el nivel de aceptación de los riesgos que tiene el equipo de dirección.

A demás de ello, hay que establecer la forma en que los líderes de la entidad hablan de la privacidad, su apoyo al programa, los recursos que proporcionan y los incentivos que ofrecen.

6. Establezca las responsbailidades

Los programas de privacidad de datos fallan cuando no está claro quién es el responsable de identificar los riesgos. Esta tarea suele ser competencia de los equipos de legal, IT, recursos humanos y/o Compliance, debido a que su gestión necesita de diferentes aptitudes para llegar a buen puerto. Por ello, es fundamental que las competencias queden claras y que el propietario tenga la capacidad e influencia necesarias para lograr los objetivos acordados. De la misma forma, es importante que los empleados de toda la empresa sean conscientes de qué responsabilidades tienen en lo que se refiere a la privacidad.

7. Proporcione formación y vías de comunicación

La formación y la comunicación pueden desarrollarse de muchas maneras, como sesiones en el aula, aprendizaje electrónico o carteles y artículos de Intranet, pero todas deben estar enfocadas a garantizar que todos los empleados estén capacitados para cumplir su función de manera coherente con las normas y las políticas de Compliance de la organización.

Además, la formación debe proporcionarse de manera regular y renovarse cuando haya cambios significativos en las posiciones, estructuras, riesgos u obligaciones, o cuando surjan problemas reales.

8. Implemente el programa

El programa deberá enfocarse en tareas diarias específicas que podrían representar un riesgo. Éstas incluyen:

  • Evaluaciones de impacto de la privacidad: cuando se realizan en una etapa temprana, son útiles para cuantificar los riesgos del proyecto y para hacer de la privacidad una parte clave.
  • Interacciones con personas: garantizar los derechos de privacidad a las personas cuyos datos maneja, incluyendo el acceso a ellos y la necesidad de una declaración de consentimiento para la gestión/erradicación de la información.
  • Transferencias de terceros: su gestión es fundamental y necesita que se tome conciencia sobre el proceso y el método empleado, se comprendan las prácticas de privacidad y jurisdicción del destinatario y se obtenga el consentimiento de las personas involucradas.
  • Gestión de incumplimiento: investigación, contención e informe de las infracciones cometidas en un periodo determinado y la institución de acciones de resolución tras el suceso.

9. Monitorice la evolución

Para garantizar que el programa se desarrolle según lo planeado, debe existir un plan de monitorización que establezca:

  • Qué monitorizar y evaluar, y por qué.
  • Qué métodos emplear para ello.
  • Cuándo realizar el seguimiento y evaluación.
  • Cuándo analizar y reportar los resultados del seguimiento.

El feedback sobre la productividad del programa  pueden provenir de varias fuentes,o de análisis del desempeño de los diversos sistemas implementados, y llegar  a la empresa de diferentes formas.

Además, deberán planificarse auditorías para garantizar que el programa se implemente y desarrolle de manera efectiva, incluyendo decisiones sobre el alcance, los criterios, la frecuencia, los métodos, las responsabilidades y los informes.

Una vez que toda la información ha sido recopilada, es necesario analizarla y evaluarla para identificar las medidas que se deben tomar. Dicho análisis deberá tener en cuenta tanto los problemas habituales como los inesperados. Para completar el análisis, se deberán desarrollar medidas que se centren en la gestión de los riesgos específicos.

10. Revise

El objetivo general del Compliance es garantizar que los programas estén bien gestionados y tengan una mejora continua incorporada en su diseño, para lo que será importante revisarlo con aquella frecuencia  que garantice que el programa se ajuste a los cambios legislativos o de negocio a la vez que permite rastrear y evaluar el impacto de los cambios.