Para aquellos que afirman que implantar un programa de cumplimiento en materia de protección de datos resulta caro, les digo que no lo es. Mucho más caro es no hacer nada, hacerlo mal y terminar siendo víctima de un ciberataque.
Implantar un programa de cumplimiento normativo no es lo que hacen algunas consultoras, que se dedican a enviar al cliente un manual de gestión en 24 horas y, si acaso, que el cliente se lo lea y luego vaya preguntando. Todo ello sin un estudio previo de la organización y sus actividades de tratamiento, sin análisis de riesgos ni nada que se le parezca. El manual de Juan vale para Pedro y para María también. ¿En serio? Eso sí, es barato, pero completamente inútil. Más que «cumplimiento» es «cumplo» y «miento», porque rascas un poco y no hay nada.
Supongo que tiene que haber de todo, como en botica: clientes preocupados que quieren asegurar y proteger la información de su organización; y otros que solo quieren el manual, como si fuera lo primordial, cuando lo verdaderamente importante es ser conscientes de que la información de cada organización es un activo de gran valor y que debemos reforzar la seguridad para protegerla.
En la inmensa mayoría de las organizaciones, el tratamiento de datos está automatizado, por lo que contar con un servicio informático de calidad es prioritario. Seleccionar al mejor profesional para cada circunstancia, garantizar que los equipos y sistemas informáticos se mantengan permanentemente actualizados, implantar medidas de seguridad, recoger evidencias en el caso de sufrir una brecha para facilitar la denuncia y evitar sanciones por parte de la autoridad de control… todo ello forma parte de la protección de datos.
Proteger la información implica formar adecuadamente al personal, asesorar a la dirección en la mejora continua de los programas de cumplimiento, coordinar los distintos departamentos y disponer de capacidad de reacción ante incidentes. Este conjunto integral de acciones es lo que realmente representa la protección de datos, y no simplemente contar con un manual dentro de la organización.
Esta visión cobra aún más relevancia en un contexto en el que la transformación digital avanza aceleradamente. La automatización y la incorporación de tecnologías como la inteligencia artificial exigen a las empresas adaptar y robustecer sus protocolos de seguridad y cumplimiento normativo para proteger sus activos informáticos y datos sensibles.
Hace tiempo publiqué un listado de víctimas de ciberataques en España, basado en noticias de prensa, que pueden consultar aquí y que actualizo periódicamente. Aquellas empresas que no tengan implantado en su organización un programa riguroso de cumplimiento normativo les costará recuperar la normalidad en caso de sufrir un incidente de seguridad, si no terminan cerrando.
Conclusión
Tómense en serio la protección de datos y tengan presente que un trabajo serio y profesional no se puede improvisar y que tiene un coste, razonable en función de la dedicación y esfuerzo realizado. Lo caro es pagar un rescate, paralizar la producción durante semanas, sino bajar la persiana para siempre, además de la multa que pueda imponerles la autoridad de control si los titulares de la información resultan perjudicados en sus derechos.
No se pierda nuestro podcast sobre el artículo
