La transformación digital se inició hace aproximadamente diez años, o quizá antes, dependiendo de la definición que queramos considerar. Sin embargo, este tema nunca había sido tan relevante como lo es hoy, y muchas grandes empresas aún no saben cómo deberían reorganizarse para abordar este importante desafío, resultado de la constante evolución de la sociedad.

Hay muchos problemas relacionados con los datos en este contexto. Entre ellos, está el riesgo de filtración de datos, que supone un problema legal y financiero de gran magnitud.

A continuación, se muestran algunas cifras interesantes relativas a la protección de datos:

• 900 millones de datos se ponen en riesgo debido a errores de seguridad
• Entre el 88 % y el 90 % de los incidentes son fortuitos
• En Estados Unidos, la usurpación de identidad se produce una vez cada cuatro segundos (10 millones de víctimas)
• Uno de cada 400 mensajes de correo electrónico contiene información confidencial
• Uno de cada 50 archivos se comparte con las personas equivocadas
• Uno de cada 10 ordenadores portátiles es robado o perdido
• Una de cada dos memorias USB contiene información confidencial.

A menudo, se habla de los costes ocultos que comporta la filtración de datos, si bien se suele pasar por alto un efecto colateral, altamente perjudicial y duradero: la pérdida de la confianza de los clientes y usuarios.

La incapacidad para evitar que se produzcan incidentes de seguridad sin duda perjudica la percepción que los consumidores tienen de la marca. Lo que está en juego es la lealtad de ellos, que está intrínsecamente relacionada con la manera en que se percibe la marca. Parece que algunas empresas obvian las consecuencias sobre los resultados corporativos, pero la cuestión se está abordando cada vez más y exige a las empresas que tomen medidas preventivas para garantizar la protección de datos. Según un estudio de Forrester, entre dos y tres ejecutivos de alto nivel se verán obligados a renunciar a sus puestos este año debido al robo de datos.

Aunque todas las empresas pueden verse afectadas, en mayor o menor medida, por la filtración de datos (LinkedIn sufrió un pirateo en 2012 y VK —el equivalente ruso de Facebook— este año), es posible establecer una serie de medidas para minimizar los riesgos. Una de ellas consiste en ir eliminando sistemáticamente los tags obsoletos mediante un TMS.

¿Qué datos se ven afectados?

En los últimos años, los datos se han vuelto un tema muy recurrente en conferencias y, a medida que pasa el tiempo, la diferencia entre información sensible e información personal se difumina. Los datos personales son la información que se tiene sobre un individuo; se asocian a él a través de un código de cliente, dirección de correo electrónico u otros elementos.
Por su parte, los datos sensibles son la información relacionada con el origen étnico, las opiniones políticas, filosóficas o religiosas, la salud o las preferencias sexuales de una persona, entre otras. En Francia, la ley prohíbe la recopilación de datos sensibles, excepto cuando es esencial para la actividad de un sitio web, como en los sitios web de citas. Los datos se han convertido en una cuestión estratégica para una gran cantidad de empresas en Francia y en todo el mundo, y una de las mayores preocupaciones relacionadas con ellos es la protección.

¿Qué es una empresa basada en datos?

Una empresa basada en datos es, literalmente, una empresa cuyo enfoque, estrategia y procedimientos están completamente orientados hacia la información. Todo se basa en una fuerte «cultura de datos», donde los datos no solo son accesibles sino que se sitúan en el centro del pensamiento estratégico e impulsan la acción empresarial. En este contexto, los datos son un activo primordial para la toma de decisiones y hacen que sea imprescindible que las empresas se preocupen de ellos de manera constante y exhaustiva.

Un requisito mínimo sería la creación diaria de paneles adaptados a las necesidades de cada equipo, con un fuerte enfoque empresarial y abiertos a todas las demás partes interesadas, y que contuvieran información clave que pudiera resultar necesaria.

Algunos departamentos dependen más que otros, y con mayor frecuencia, de los datos a la hora de tomar decisiones: los sitios web de comercio electrónico, por ejemplo, basan sus estrategias de promoción durante las temporadas de venta en los datos. Pero los datos no deberían considerarse solamente como una herramienta para tomar mejores decisiones, sino que deberían usarse para añadir valor, ofrecer mejores servicios y mejorar la satisfacción del cliente.

Para sacar el máximo provecho de los datos, las empresas deben dejar de recopilarlos y almacenarlos en silos, si bien esto podría obligarlas a someterse a cambios estructurales y organizativos, ya que implicaría entablar una estrecha colaboración entre todos los equipos y modificar la forma en que trabajan.

En el contexto actual, donde los datos son el núcleo de cualquier estrategia fundamental, ceñirse y respetar la legislación es una cuestión de vital importancia.

CNIL, privacidad y protección de datos

En Francia, el organismo de control encargado de la protección de datos es la Commission Nationale de l’Informatique et des Libertés —CNIL— (Comisión Nacional de la Informática y de las Libertades), que vela por la protección de la información personal de la ciudadanía y se ocupa de informarle de sus derechos. También asesora a las empresas que desean cumplir los nuevos reglamentos; alerta y sanciona a las empresas y organizaciones que incumplen la normativa y anticipa el uso futuro de los datos y la información personales.

La CNIL afirmó que, en el año 2015, se presentaron 2.800 quejas relacionadas con la privacidad. Desde su creación, se ha ido consultando a esta comisión y ha participado en más de 2.500 decisiones y deliberaciones. La ley francesa n.º 78-17, de 6 de enero de 1978, ha sido modificada y ahora cuenta con más de 70 artículos.
A principios de 2016, la Unión Europea aprobó una nueva normativa en materia de datos personales, con el objetivo de proteger mejor a la ciudadanía europea. Contiene una serie de medidas y sanciones que deben entrar en vigor en todos los países de la Unión Europea a partir del año 2018.
En el caso de que una empresa vulnere los derechos relacionados con los datos recopilados, será sancionada con una multa equivalente al 4 % de sus ingresos totales anuales.

¿Qué principios deben tenerse en cuenta?

1. Propósito

Una organización debe tener un fin lícito para recopilar información personal y privada. El uso que pretende hacer de esa información debe ser claro y legítimo.

2. Proporción

Solo puede recopilarse la información que sea necesaria y relevante para un propósito bien definido.

3. Relevancia

Los datos recopilados deben ser relevantes para la actividad de la empresa que los recopila: un sitio web de venta de calcetines no necesita datos como el sexo, la edad, el estado civil o las preferencias sexuales, mientras que un sitio web de citas sí.

4. Período de conservación

Los datos no deben almacenarse más tiempo del necesario para cumplir su propósito inmediato. Una vez logrado el objetivo, pueden almacenarse en un dispositivo o base de datos diferentes.

5. Seguridad y confidencialidad

En Estados Unidos, el robo de datos se produce dos veces al día. La protección de datos y la confidencialidad son las cuestiones más delicadas para las empresas, ya que están obligadas a garantizar la privacidad y evitar la intrusión, el deterioro y la filtración de los datos. Las medidas de seguridad deben respetar la naturaleza de los datos y los posibles riesgos.

6. Transparencia

Las partes encargadas de recopilar los datos deben advertir a sus usuarios que tienen la intención de recopilarlos y compartirlos con terceros.
Los usuarios pueden decidir qué desean compartir y qué no.

7. Derecho a la información

Los usuarios deben estar informados en todo momento del uso que se pretende hacer de la información que comparten. Tienen derecho a modificar, controlar y aprobar o denegar la recopilación y el intercambio de datos.

Cómo minimizar los riesgos relacionados con la protección de datos

Los responsables de la protección de datos deben adoptar las medidas de protección necesarias para evitar que los datos se «dañen», se utilicen de manera indebida o cualquier persona externa a la empresa pueda acceder a ellos. Solamente podrán acceder y utilizar la información el personal o terceros expresamente autorizados (organismos gubernamentales, policía, etc.) que estén debidamente habilitados para ello. Los responsables de la protección de datos también deben determinar un plazo de tiempo razonable de conservación de la información privada y, en caso de no hacerlo, se les impondrá una pena de 5 años de prisión y una multa de hasta 300.000 euros.

Minimizar los riesgos relacionados con la protección de datos empieza por identificar las posibles fuentes de pérdida de datos (prevención de pérdida de datos) y los problemas de seguridad, y evaluar su importancia. Esto implica el mapeo de todos los datos que se desee proteger.

Además, los datos cuya correspondencia pudiera ser potencialmente sensible deben codificarse y almacenarse por separado. Las claves de codificación deben modificarse de forma regular y almacenarse en servidores externos con conexiones seguras.

Por último, las estrategias de protección de datos deben actualizarse con bastante frecuencia, ya que la información se ve constantemente amenazada. Cada vez que ocurre un incidente, se debe abrir una investigación, con el fin de identificar el origen del problema, y reforzar las medidas de seguridad adoptadas.

Siempre existe un porcentaje de riesgo y no hay ningún sistema que sea 100 % seguro. El factor humano es una amenaza indirecta y es difícilmente controlable (a menudo, los empleados son los responsables de ataques e intrusiones, sin saberlo). Sin embargo, se podría facilitar al personal directrices y precauciones básicas que deberían adoptar en su trabajo diario para evitar la pérdida de datos.

¿Quién debería encargarse de la seguridad dentro de una empresa?

El 27 de abril de 2016, el Parlamento Europeo aprobó una normativa en materia de protección de datos personales. Este reglamento obliga a las empresas cuya actividad consiste en el tratamiento de datos y en la realización de seguimientos de los individuos de forma regular a que designen un responsable encargado de la protección de datos (ya sea interno o externo). Dicho responsable debe informar a la empresa para la que trabaja de las normas y obligaciones relacionadas con los datos personales; asimismo, debe fomentar dichas normas y formar al personal para que cumpla con ellas, proporcionar asesoramiento en materia de análisis de los efectos, así como cooperar y estar constantemente en contacto con la CNIL.

Las empresas francesas disponen de dos años para cumplir con las nuevas leyes.