La cuenta atrás de RGPD

¿Cómo llegar a tiempo?  Las estadísticas dicen que la mayoría de las organizaciones no van a conseguirlo. Por eso es mejor reformular la pregunta: ¿cómo fijar las prioridades para estar cubierto?

La regulación es imprecisa. En muchos aspectos, esto es algo inevitable. En otros, la imprecisión es deliberada: la responsabilidad última está en el usuario de los datos. No existe un certificado de cumplimiento RGPD. Por si fuera poco, el reglamento no proporciona una lista de criterios. Ello hace más difícil saber si una empresa está cumpliendo o no. 

Entonces, ¿por dónde empezar? Hay tres aspectos a considerar: el riesgo a terceros, el riesgo propio y la relación con el cliente.

· El riesgo a terceros: piensa como en un seguro de automóvil. No se trata solamente de que puedan robar datos de tus clientes, sino del perjuicio que les puedan causar si caen en las manos erróneas. Por eso, tienes que comenzar por un análisis de riesgo. Pero no el tuyo, todavía no. Primero el de los clientes y empleados, aquellos que han depositado tus datos y su confianza en tu organización. De hecho, el reglamento diferencia específicamente entre datos sensibles, que necesitan ser identificados y protegidos con especial atención. Si los datos que gestionas no son sensibles, el riesgo es mucho menor.

Una vez conocido el riesgo e impacto a terceros, hay que decidir dónde actuar. La lista de acciones no la decide el regulador. Las medidas de seguridad deben ser proporcionales a dicho riesgo; sabemos que la seguridad infinita es imposible.

· El riesgo propio. ¿Cuáles son los riesgos de seguridad de tu empresa? Conviene recordar aquí que el empleado es una fuente de riesgo. Este análisis tiene que ser exhaustivo. Aquí no se trata solo de la seguridad, sino del control sobre el uso de los datos. Tienes que saber quién usa los datos personales tanto dentro como fuera de la organización. Si hay actividades de tu negocio como el marketing, distribución o servicio al cliente que están en manos de terceros, debes asegurarte de que cumplen con la regulación. Eso puede requerir que cambies los contratos.

· Relación con el cliente: La relación con tu cliente va a cambiar, y va a ser mucho más intensa en función de cuál sea tu negocio. La información personal de tu cliente es más valiosa que el producto que le puedas ofrecer. Si observas tu comportamiento cuando el cliente eres tú lo notarás rápidamente. Por eso, si te parece importante la experiencia de cliente en relación con tus productos y servicios, más importante es la experiencia en relación con sus datos. Ya no vale un número de fax o una dirección de correo electrónico. Va a ser necesario incorporar el nuevo flujo de información personal en los canales de comunicación. No pueden relegarse a un canal de segundo orden, como un fax o una dirección de email. Además, vas a tener que informar al cliente de lo que hagas con sus datos, y pedir su consentimiento. Obviamente, el cliente no va a preguntar a menudo sobre sus datos, dónde se encuentran o qué se hace con ellos. Pero cuando lo haga, va a esperar una respuesta ágil. Además, el reglamento le ampara en esta expectativa. ¿Por qué esperar a que el regulador se vea obligado a actuar?

La mayoría de las empresas temen la acción del regulador y están tratando de anticipar cuál va a ser su respuesta. Preguntas como a qué sectores va a mirar, a qué aspectos va a dar prioridad, o incluso si va a otorgar un período de gracia, están en la cabeza de muchos responsables. Están realizando un análisis de riesgo basado en el posible tamaño de la multa frente al coste de cumplir.

En nuestra opinión, esa perspectiva es equivalente a ponerse una venda en los ojos. Estamos poniendo la referencia en el regulador cuando la tenemos que poner en el cliente. ¿Por qué se va a dar cuenta el regulador de que estamos incumpliendo una normativa? Porque el cliente va a realizar una reclamación. Ahora la regulación le da voz propia para hacerlo, bien de forma individual o colectiva. Esa será la señal que le indicará al regulador dónde mirar.

Alberto Bellé es Analista Principal de Delfos Research

Puede leer aquí el resto de la tribuna.