En la actualidad, cualquier negocio que se plantee prosperar tiende su mirada al mundo online. El que no tiene una página web, la tendrá en no mucho tiempo, porque si tu negocio no está en Internet, tu negocio no existe (la frase no es mía, es de Bill Gates).
Las organizaciones que se mueven en el mundo digital se enfrentan a constantes riesgos y amenazas. Pongamos por caso el de una empresa que, por no adoptar las medidas de seguridad propuestas, ve como su base de datos es encriptada en un ciberataque de ransomware. Ante esta situación, nunca deseada, el responsable de la empresa tiene dos opciones: pagar el rescate o cerrar, sin perjuicio de las responsabilidades en las que pudiera haber incurrido.
Pongamos que la misma empresa tiene una copia de seguridad, pero nunca han comprobado si el sistema de copias funciona correctamente, y justo cuando necesitan una copia, el sistema da error y la copia no es completa. Ahora, pongamos por caso que no se han limitado los accesos a la información confidencial y que un trabajador descontento por su despido ha tenido acceso a la misma. A saber lo que puede hacer con la información, viéndose fuera de la empresa. La casuística es amplia.
Son muchos los que piensan que para cumplir con la normativa de protección de datos personales lo importante es tener un Manual de Gestión, cuando no lo es. Lo verdaderamente importante es tomar conciencia de que deben proteger los datos personales que trata la organización. Protegerlos exige esfuerzo e inversión. ¿De qué sirve tener el Manual de Gestión si no lo llevan a la práctica?. Es como si tienen el Manual de Prevención de Riesgos Laborales en la oficina, pero no compran los EPIs para los trabajadores, no les forman para prevenir los accidentes laborales, no hacen un seguimiento de las medidas de seguridad, etc.
En cualquier organización, por pequeña que esta sea, se manejan datos personales y tener todo bajo control es una tarea que exige esfuerzo y constancia. Si no asumen ese compromiso, están asumiendo riesgos que, en función del grado de afectación en caso de amenaza, pueden conducirles a situaciones difíciles de gestionar.
Los datos, tanto personales como no personales, bien gestionados permiten mejorar la productividad del negocio. En la actualidad, hay herramientas informáticas de «business intelligence» que permiten exprimir los datos al máximo. Por ejemplo, a nivel comercial, permiten visualizar el volumen de ventas, filtrando por productos, regiones, vendedores, etc. de forma que podemos saber qué productos son los más demandados, qué perfil de clientes ha comprado más, cuándo realizaron sus compras, qué vendedores tienen más rendimiento en relación a la media de vendedores, etc. A nivel financiero, permiten visualizar de forma desglosada los gastos, las facturas pendientes de cobro, los clientes en situación de morosidad, etc. A nivel productivo, permiten seguir la trazabilidad de un proyecto en sus distintas fases de desarrollo, facilitando el análisis de la inversión y la rentabilidad de principio a fin. Si no tienen bajo control todos los datos de su organización se están perdiendo muchas oportunidades.
Cuando una organización se toma en serio la protección de datos sufre un cambio radical. Es como aquel estudiante que es despreocupado y desorganizado y que, días antes de los exámenes, no sabe dónde tiene los apuntes, ni siquiera sabe si los tiene, pero que decide cambiar por miedo a suspender y se vuelve responsable y organizado. Dicho estudiante obtendrá resultados positivos en poco tiempo. Claro está que seguir la misma senda exige constancia y esfuerzo. Si el estudiante se abandona, en el siguiente cuatrimestre, lo más seguro es que suspenda todas.
Seamos honestos: en nuestro país no son tantas las pymes y los autónomos que se toman, realmente, en serio la protección de datos y la razón es la falta de constancia. De nada sirve que empiecen un proyecto de adaptación, si a mitad de camino vuelven a las andadas, por eso les exijo a mis clientes compromiso con el proyecto, y sino lo asumen, sigan su camino.
A diferencia de lo que ocurre con la Agencia Tributaria, no existe el miedo a las multas para los casos de incumplimiento, porque la Agencia Española de Protección de Datos no tiene la misma capacidad para iniciar actuaciones inspectoras. Sólo cuando el desastre asola a la organización –por una brecha de seguridad, por ejemplo– los responsables entran en pánico y quieren hacer en 72 horas lo que no hicieron en años. O cuando una empresa, que puede ser un potencial cliente, les exige una prueba de que cumplen con la normativa de protección de datos, por ejemplo, mediante una declaración jurada o un informe de auditoría.
Para concluir, quiero formularles una serie de preguntas. Respóndanse a sí mismos con sinceridad:
- ¿Su organización cumple, de verdad, con la normativa de protección de datos personales?
- ¿Han implantado las medidas técnicas y organizativas que corresponden en función de su nivel de riesgo?
- ¿Reservan un porcentaje del beneficio anual para mejoras en ciberseguridad?
- ¿Son constantes en el cumplimiento de los protocolos establecidos en la organización?
- ¿Los trabajadores están convenientemente formados en materia de protección de datos?
- ¿Saben, realmente, como han de reaccionar si sufren una brecha de seguridad?
- ¿Existe un compromiso por parte de todos los integrantes de la organización, empezando por la Dirección, para que la protección de datos no sea un mero trámite, sino un valor que distinga a la organización de la competencia?
Si las respuestas han sido todas afirmativas, van por el buen camino, pero si son negativas o han dudado en la respuesta, háganselo mirar.
No vean la protección de datos como una carga para la organización, sino como un valor añadido que aporta seguridad, eficiencia, coordinación entre departamentos, corrección de malos hábitos…
