Gestión de los datos personales: principales dolores y desafíos
Más allá del sector de la economía en el que llevan adelante sus negocios y los países en los cuales operan, las organizaciones ya están trabajando seriamente en la gestión de los datos personales.
El objetivo no solo reside en adecuar su tratamiento a la legislación local e internacional, sino también en demostrar un compromiso ético con la privacidad, la seguridad y el correcto uso de la información de las personas usuarias.
Para desarrollar este artículo entrevistamos a Facundo Malaureille Peltzer, co-fundador y Privacy Manager de Data Governance Latam.
El experto analiza los principales dolores en la gestión de los datos personales y cómo pueden resolverse. También aborda los desafíos legales para adecuar el tratamiento de datos a la normativa vigente y se refiere a la importancia del cambio cultural.
Principales dolores en la gestión de los datos personales
Las organizaciones enfrentan diversos desafíos en términos de gestión de los datos. Los más relevantes residen en no poder seguir construyendo su arquitectura por carecer de una base bien constituida y consolidada.
En otras palabras, no es factible avanzar en la construcción del cuarto o quinto piso de un edificio, sin tener una base sólida.
En la práctica, ocurre que las empresas muchas veces tienen que volver a plantearse aquellas preguntas que consideraban resueltas, pero que no están realmente solucionadas.
Para entender cómo se llega a esa situación, tenemos que recordar que históricamente las organizaciones eran absolutamente analógicas y el papel dominaba los procesos.
Con los avances tecnológicos de los últimos años, esa etapa quedó atrás y se avanzó en la digitalización y automatización.
Frente a la necesidad de tener que gestionar los datos personales, en muchas compañías que no nacieron digitales surgió la necesidad de entender cómo hacer para obtener el consentimiento del cliente y poder gestionar sus datos.
El desafío reside en que esos datos pueden estar en viejos legajos, e incluso en cajas dentro de depósitos físicos. Esto obliga a tener que solidificar la base y volver a pedir los consentimientos de los clientes para poder hacer tratamiento de sus datos personales, luego gobernarlos y, eventualmente, ir hacia experiencias de inteligencia artificial.
Otro grupo son las organizaciones que no le han dado importancia a estar en compliance o cumplimiento normativo de las disposiciones y la legislación vigente relativa a la gestión de los datos personales. Normativas que han ido variando en los últimos años, en especial desde 2018 hasta hoy.
De hecho, cada vez son más los países que cuentan con normativas de datos personales. Entonces, frente a un mundo globalizado y conectado, hay empresas argentinas o de otros países de la región que se plantean por qué tienen que cumplir con las normativas brasilera o europea.
La respuesta es que hay que cumplir con las disposiciones legales vigentes. Si se hacen negocios con Brasil o Europa, desde ambos países van a solicitar que las compañías tengan un nivel de cumplimiento probablemente mucho más elevado del que tienen localmente.
Los dolores en las organizaciones arrancan por ahí, por estar inmersos en un mundo globalizado, en dónde el 83% de los países del mundo tienen normativas vinculadas a la gestión de los datos personales, que deben cumplirse.
Se trata de un proceso que se sabe cuándo empieza pero no termina nunca. Por ello, cuanto antes se empiece, mucho mejor.
¿Cómo pueden resolverse los dolores vinculados a la gestión de los datos personales?
Comprender que se tiene un dolor ya es importante. Es el primer paso. Lo siguiente es analizar la importancia y magnitud de las problemáticas que la empresa tiene que tratar.
Si se posee una base sólida, se cuenta con la posibilidad de profundizar y seguir avanzando en la gestión de los datos personales.
¿Qué camino hay que seguir para resolver estos temas? Lo más importante es sacarle una foto a la organización, con un assessment o auditoría que se focalice en el cumplimiento y tratamiento de los datos personales.
A partir de allí, hay que analizar cómo está la compañía en función de la observancia de la normativa local e internacional.
No es lo mismo una empresa que trabaja solamente en la Argentina, que aquella que tiene contacto u operaciones comerciales con otros países.
En especial, si tiene contactos con Brasil o Europa, porque las normativas de esos países le van a exigir más requisitos de los que tienen que cumplir localmente. Entre ellos, un consentimiento expreso por parte del titular del dato, a quien se le haya explicado cuál es la finalidad para la cual se van a usar sus datos.
Luego, contar con una política de gestión de los datos personales actualizada.
En este punto es importante tener en cuenta que no se trata de procedimientos y documentos escritos en piedra. Cada vez que surge un nuevo modelo de tratamiento producto de una nueva normativa vigente, las políticas y sus documentos asociados deben ser modificados.
Después, se deben revisar las aplicaciones y la página web, para identificar si se debe avanzar en algún tipo de actualización. Por ejemplo, incorporar una checkbox o trabajar cuestiones vinculadas con las cookies.
Cuando la organización decide hacer un nuevo tratamiento de datos, probablemente también tenga que pasar por un proceso de análisis de riesgo e impacto.
Su objetivo es determinar de qué manera los nuevos procedimientos pueden influir en los datos personales.
Por otra parte, cada vez que una organización hace transferencia internacional de datos, hay que revisar hacia dónde van esos datos personales. Más aún, teniendo en cuenta que todas las empresas lo hacen, ya que tanto los servidores como las nubes suelen estar localizadas en el exterior.
Cuando la organización ya tiene estos procesos encaminados y resueltos, es el momento de preguntarse si posee el grado de avance necesario como para contratar un oficial de cumplimiento de datos personales o Data Protection Officer (DPO).
Un Data Protection Officer o Data Privacy Officer es un profesional que tiene un rol fundamental en el cumplimiento de la protección y gestión de los datos personales.
La posición puede formar parte de la estructura de la organización o estar externalizada. Todas las normativas más modernas así lo permiten.
Se trata de la persona que va a estar en contacto con todas las áreas de la organización, con la autoridad de aplicación, y con los titulares de datos.
Desafíos legales de las organizaciones en el tratamiento de datos
Los desafíos relacionados con la protección y gestión de los datos personales se resuelven primero, identificándolos, y a partir de allí tomando la decisión de empezar a trabajarlos.
Sabemos que este tipo de procesos son de mejora continua.
Se puede manifestar que se quiere llegar hasta un punto y cuando se llega a esa instancia, puede ocurrir algo nuevo: por ejemplo, una regulación o un proceso reciente.
Esto significa, como comentamos antes, que en la gestión de los datos personales se sabe cuándo se empieza, pero el proceso nunca termina.
En este camino, se va inundando a la organización con un cambio cultural. Y vas trabajando con esa accountability o responsabilidad demostrada. Un principio clave, que se usa desde la entrada en vigencia del Reglamento General de Protección de Datos Personales en Europa (RGPD).
Consiste en una obligación legal y ética que recae sobre las organizaciones que procesan datos personales, y que apunta a asumir la responsabilidad por la protección de dichos datos y el cumplimiento de las normativas y estándares aplicables.
Hoy en día, una organización se distingue de otra, independientemente de una oficina, una marca o el rico café que puede servir en una sala de reuniones, por el tratamiento ético de sus datos personales. Es decir, independientemente de que exista una ley que obligue a tratar datos personales, que cuente con políticas internas que los protejan.
Hay muchos ejemplos de compañías que vienen trabajando muy bien esta temática y están absolutamente convencidas de hacerlo, aunque los países en los que operan no tengan una legislación que les exija o imponga multas.
Esas empresas ganan en competitividad y se destacan, haciendo de la gestión de los datos personales uno de sus grandes valores.
Diversos estudios determinaron que los consumidores cada vez valoran más a las empresas que cuidan sus datos, que se preocupan y que toman medidas al respecto.
¿Cómo pueden resolverse estos desafíos?
Las organizaciones tienen que analizar desde dónde están partiendo, a través de un assessment o pequeña auditoría, con foco en la privacidad y gestión de los datos personales. De allí surgirán temas que habrá que ajustar.
No hay que olvidar que las leyes de datos personales lo que buscan es que cualquier persona, como titular de datos, pueda presentarse en una empresa y preguntar qué datos tiene la compañía sobre ella.
Por lo tanto, el desafío reside en construir y revisar estos procesos, para que cuando alguien venga y ejerza alguno de sus derechos de acceso, rectificación o portabilidad, se pueda responder adecuadamente.
Si las organizaciones no tienen coordinado este proceso, hay que trabajarlo. Porque si una compañía no contesta dentro de los plazos legales (varían entre 5, 10, 15 o 30 días, según el país), estará incurriendo en incumplimiento.
Conclusión
Es fundamental tener en cuenta que estos procesos vinculados a la gestión de los datos personales, están ligados y profundamente conectados con los procesos de transformación cultural. Sin duda, este es el desafío más grande para quienes trabajan en el sector.
Se puede tener una buena política de privacidad y contratos de transferencia, pero si la organización no piensa en términos de protección y gestión de los datos personales, aún tiene asuntos importantes por resolver.
El cambio cultural es esencial y en este punto vuelve a tener relevancia aquella palabra que mencionamos hace unos momentos: accountability. Una palabra muy importante y presente en las regulaciones más modernas, que puede ser traducida como responsabilidad demostrada o proactiva.
A través de nuestro Data Innovation Studio, acompañamos a las organizaciones en su proceso de transformación en empresa Data Privacy Compliance, con un equipo especializado en creación de programas de gobierno de datos, verificación de cumplimiento de normativas, diseño de estrategias de gobernanza de datos e implementación de frameworks mundiales. Contacta a uno de nuestros expertos ahora.