Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

¿Su empresa protege, realmente, la información?

En la actualidad, cualquier negocio que se plantee prosperar tiende su mirada al mundo online. El que no tiene una página web, la tendrá en no mucho tiempo, porque si tu negocio no está en Internet, tu negocio no existe (la frase no es mía, es de Bill Gates). 

Las organizaciones que operan en el entorno digital se enfrentan a riesgos y amenazas constantes. Pensemos en una empresa que, al no implementar las medidas de seguridad recomendadas, sufre un ciberataque de ransomware que encripta su base de datos. La empresa disponía de un sistema de copias de seguridad, pero nunca verificaron su correcto funcionamiento, y justo cuando necesitan recurrir a una de esas copias, los archivos están incompletos. La empresa se enfrenta a un dilema: pagar el rescate o cesar sus operaciones, sin perjuicio de las posibles responsabilidades en las que haya podido incurrir en materia de protección de datos. 

Manual de Gestión

Son muchos los que creen que, para cumplir con la normativa de protección de datos personales, basta con disponer de un Manual de Gestión. Sin embargo, esto no es así. Lo realmente importante es que la organización tome conciencia de la necesidad de proteger los datos personales que trata. Y protegerlos implica esfuerzo e inversión.

De poco sirve contar con un Manual de Gestión si luego no se aplica en la práctica. Es como tener un Manual de Prevención de Riesgos Laborales es la estantería, pero no proporcionar los equipos de protección individual a los trabajadores, no formarlos en las medidas de prevención de accidentes, ni realizar un seguimiento de las seguridad. La existencia del documento, por sí sola, no garantiza la protección efectiva.

En cualquier organización, por pequeña que esta sea, se manejan datos personales y tener todo bajo control es una tarea que exige esfuerzo y constancia. Si no asumen ese compromiso, están asumiendo riesgos que, en función del grado de afectación en caso de amenaza, pueden conducirles a situaciones difíciles de gestionar. Programas como Activa Ciberseguridad, impulsado por el Gobierno, ofrecen asesoramiento gratuito a pymes para evaluar y mejorar sus protocolos.

Los datos, tanto personales como no personales, bien gestionados permiten mejorar la productividad del negocio. En la actualidad, hay herramientas informáticas de «business intelligence» que permiten exprimir los datos al máximo. Por ejemplo, a nivel comercial, permiten visualizar el volumen de ventas, filtrando por productos, regiones, vendedores, etc. de forma que podemos saber qué productos son los más demandados, qué perfil de clientes ha comprado más, cuándo realizaron sus compras, qué vendedores tienen más rendimiento en relación a la media de vendedores, etc. A nivel financiero, permiten visualizar de forma desglosada los gastos, las facturas pendientes de cobro, los clientes en situación de morosidad, etc. A nivel productivo, permiten seguir la trazabilidad de un proyecto en sus distintas fases de desarrollo, facilitando el análisis de la inversión y la rentabilidad de principio a fin. Si no tienen bajo control todos los datos de su organización se están perdiendo muchas oportunidades. Herramientas como Power BI, Tableau y Looker integran IA generativa para análisis en tiempo real y predicciones automatizadas, permitiendo a las pymes identificar tendencias con consultas en lenguaje natural.

Esfuerzo y constancia

Cuando una organización se toma en serio la protección de datos sufre un cambio radical. Es como aquel estudiante que es despreocupado y desorganizado y que, días antes de los exámenes, no sabe dónde tiene los apuntes, ni siquiera sabe si los tiene, pero que decide cambiar por miedo a suspender y se vuelve responsable y organizado. Ese estudiante obtendrá resultados positivos en poco tiempo. Claro está que exige constancia y esfuerzo. Si el estudiante se abandona, en el siguiente cuatrimestre, lo más seguro es que suspenda todas las asignaturas.

Seamos honestos: en nuestro país no son tantas las pymes y los autónomos que se toman, realmente, en serio la protección de datos y la razón es la falta de constancia. De nada sirve que empiecen un proyecto de adaptación, si a mitad de camino vuelven a las andadas.

A diferencia de lo que ocurre con la Agencia Tributaria, en materia de protección de datos no existe el mismo temor a las sanciones. La Agencia Española de Protección de Datos carece de una capacidad inspectora tan amplia, por lo que muchas organizaciones relegan el cumplimiento a un segundo plano. Solo cuando el desastre les golpea —por ejemplo, a causa de una brecha de seguridad— los responsables entran en pánico e intentan en 72 horas hacer lo que no han hecho en años. 

Cuestionario de la verdad

Respondan con honestidad:

  1. ¿Existe un compromiso por parte de todos los integrantes de la organización, comenzando por la dirección, para que la protección de datos no sea un mero trámite, sino un valor que distinga a la organización de la competencia?
  2. ¿La empresa cumple de verdad con la normativa de protección de datos personales, más allá de trámites formales?
  3. ¿Se aplica el principio de privacidad por diseño y por defecto en sus actividades de tratamiento?
  4. ¿Han implantado las medidas técnicas y organizativas que corresponden en función de su nivel de riesgo, como cifrado, control de accesos y seudonimización?
  5. ¿Tienen sistemas de registros, pruebas de intrusión y copias de seguridad?
  6. ¿Evalúan el impacto en la protección de datos en tratamientos de alto riesgo?
  7. ¿Los trabajadores están convenientemente formados en materia de protección de datos, con sesiones regulares, simulacros y evaluaciones de conocimiento?
  8. ¿Son constantes en el cumplimiento de los protocolos establecidos en la organización, con revisión y auditorías internas periódicas?
  9. ¿Saben realmente cómo reaccionar si sufren una brecha de seguridad?
  10. ¿Reservan un porcentaje del beneficio anual para mejoras en ciberseguridad, incluyendo actualizaciones técnicas y auditorías externas?

Si todas las respuestas han sido afirmativas, van por el buen camino. Pero si alguna ha sido negativa o han dudado al responder, es señal de que existe un problema.

Conclusión

No vean la protección de datos como una carga para la organización, sino como un valor añadido que aporta seguridad, eficiencia, coordinación entre departamentos y corrección de malos hábitos, entre otros beneficios.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es