Por: Aruna Ravichandran, vicepresidenta de Productos de Marketing de CA Technologies.
El plazo final para la adaptación al Reglamento Europeo de Protección de Datos (GDPR, por sus siglas en inglés) tiene como fecha límite el próximo 25 de mayo de 2018, sin embargo, no será la última. Si bien ésta es una regulación europea, su aplicación es internacional y las empresas mexicanas, tanto grandes como pequeñas que están en Europa o tienen relación con algún ciudadano europeo que accedió a sus servicios, deberán acatarla.
Recordemos que el GDPR es una normativa que exige a las compañías proteger los datos personales y la privacidad de los ciudadanos europeos en todas las transacciones realizadas entre miembros de la Unión Europea. En ese sentido, con el plazo de adaptación al Reglamento llegando a su fecha límite, los CIOs están corriendo contra el tiempo para mitigar los riesgos de multa por no cumplir con las exigencias. Es por ello que, aunque se trate de un ejercicio táctico necesario, existen tres importantes razones para que todos los CIOs puedan visualizarlo de forma estratégica:
1. La responsabilidad futura para el uso de datos personales irá más allá del GDPR A medida que las organizaciones acumulan mayores datos del cliente, los explotan y monetizan de las formas más diversas, y considerando posibles usos inadecuados exponiendo a los clientes a mayores riesgos, es importante que las agencias reguladoras y los legisladores tomen medidas apropiadas. El GDPR puede ser la respuesta actual más importante a las preocupaciones relacionadas con los datos de los clientes, no obstante, éste es sólo un indicador de los cambios venideros.
Una nueva evolución de la economía digital global nos llevará, inevitablemente, a otras regulaciones relacionadas con la gestión de datos, no sólo en la Unión Europea y Estados Unidos sino en todo el mundo. En realidad, el GDPR ha sido ampliamente discutido en diferentes foros legislativos y regulatorios en Washington DC, incluso Julie Brill, de la Comisión Federal de Comercio de Estados Unidos, escribió al respecto: “El GDPR tendrá amplios efectos sobre todos nosotros… [y] parte de su objetivo fue definir un estándar global”.
El Reglamento Europeo de Protección de Datos viene a señalar un cambio radical y estratégico, no sólo táctico. Históricamente, los CIOs consideraban los datos almacenados en la infraestructura corporativa como propiedad corporativa mientras que el modelo tradicional como propiedad de quien los recoge. En el futuro, las empresas sólo tomarán “prestados” los datos de sus propietarios, es decir, de los ciudadanos que tengan los derechos específicos relacionados al ciclo de vida de los mismos. En este contexto, los CIOs deben repensar todos los aspectos de la empresa digital.
2. La conformidad con el GDPR es más que sólo la gobernanza de datos Una visión simplista del GDPR considera que el usuario estará en conformidad si gasta dinero con herramientas de gobernanza de datos y encuentra un agente lo suficientemente comprometido para imponer las políticas internas de gobernanza de datos de una organización, siendo esto parcialmente correcto. Por ello, para cumplir con el GDPR y otros reglamentos relacionados, el usuario requiere de la tecnología, así como de las personas adecuadas que velen por los datos en toda la empresa.
Igualmente, existen otras fuentes de datos en la empresa digital actual, adicional a las aplicaciones y bases de datos en producción. La presión de colocar rápidamente nuevos recursos digitales innovadores en el mercado ha llevado a que los equipos de desarrollo y operaciones (DevOps, por sus siglas en inglés) aceleren y no analizan de manera adecuada los datos de prueba que utilizan para realizar el trabajo. En ocasiones, éstos se envían fuera de la empresa para contratar a los desarrolladores y QA shops.
Por otra parte, debemos considerar que las compañías reciben datos de terceros sin investigar suficientemente las prácticas de “limpieza” de dichas informaciones, exponiendo a la empresa a graves responsabilidades relacionadas con datos, independientemente de sentirse seguras o en conformidad. Los CIOs deben tener en cuenta la conformidad como una regla empresarial estratégica y, a la par, contar con políticas fuertes, transparentes y eficaces de descubrimiento, de recolección, de prueba, de gestión y de eliminación de datos, no sólo para garantizar el cumplimiento sino también como parte integral de la construcción de relaciones digitales fiables y duraderas con los clientes.
3. El GDPR es una oportunidad para la marca, no sólo una carga impuesta externamente Cuando surge un reglamento complejo y de alto impacto, como el GDPR, es común verlo e, inclusive, percibirlo como una carga. Finalmente, para adaptarse a esto, las organizaciones generalmente utilizan recursos de otras iniciativas y la atención del CIO es desviada de otros asuntos urgentes. Por lo tanto, ¿por qué no considerar la transformación de los costos que no se pueden evitar en las inversiones que se compensan a largo plazo? Una buena administración de datos no sólo debe verse como algo que hacemos porque estamos obligados sino porque es ético y de valor para nuestros clientes.
Además, el GDPR ofrece un campo de actuación igual entre las empresas extranjeras, incentivando el desarrollo de tecnologías innovadoras que pueden beneficiar a todos. Un ejemplo de ello es la red minorista Whole Foods, así como el fabricante de ropa y accesorios deportivos Patagonia, ambos son modelos clásicos de empresas que elevan sus marcas y el compromiso hacia los clientes al contextualizar las compras más que como transacciones meramente financieras. ¿Quién puede decir que la administración de datos no puede convertirse en un equivalente digital de la protección ambiental o impacto social?
Asimismo, la administración insuficiente puede traer, aparte de las multas por incumplimiento, consecuencias estratégicas. Si los clientes no creen que pueden confiarle sus datos, probablemente no le confiarán su dinero. Esto sugiere que los CIOs que consideren la administración de datos de forma estratégica serán superiores a los que no lo ponen en práctica. ¿Por qué no unirse a ellos?
