El año 2018 será conocido como un año clave para la seguridad de la información mundial. En mayo, entró en vigencia en la Unión Europea el Reglamento General sobre Protección de Datos (GDPR). La directriz es que las empresas locales y, también, las que tengan relaciones comerciales con la región, realicen la recolección y tratamiento de la información solo con el consentimiento explícito del usuario. Poco tiempo después, en agosto, Brasil decidió avanzar en la misma dirección con la Ley General de Protección de Datos (LGPD) siendo sancionada por el presidente Michel Temer. La norma entrará en vigencia en febrero de 2020 y tiene directrices similares al documento europeo.
Las exigencias recaen directamente en el área de compliance, que debe ser responsable de garantizar que todos los departamentos y stakeholders cumplan con los distintos puntos de la ley: pedir autorización para la recolección de datos a cada cliente; señalar el objetivo de la recolección; utilizarlos para el objetivo descrito; y aceptar la autonomía del usuario para solicitar aclaraciones o la exclusión de los datos recopilados. Además, las empresas son declaradas responsables de la protección de la información de sus clientes y, en caso de fugas o errores de uso, tienen la obligación de comunicar los usuarios alcanzados dentro de las 72 horas de ocurrido el hecho. Las multas por el incumplimiento de las exigencias en la LGDP, por ejemplo, llegan a hasta R $ 50 millones, o el 2% de la facturación del grupo económico.
A partir de ahora, los clientes pueden exigir que las empresas detallen qué información personal se recopila, y para qué fin. Lo que todo consumidor, ya sea persona física o jurídica, quiere, es garantizar que los datos cedidos a su proveedor no salgan del perímetro corporativo. En el segmento B2B, actualmente veo clientes interesados en actuar como auditores de sus proveedores, como medida cautelar proveniente de una crónica falta de confianza. Con la reglamentación, lo que antes eran solicitudes poco frecuentes tenderán a convertirse en exigencias recurrentes, esto va a demandar la creación de procesos, adopción de herramientas y construcción de mecanismos que permitan responder a estas solicitudes.
No hay secreto: para que los datos estén protegidos de manera integral es necesaria una inversión en tecnologías de seguridad de la información. Pero eso no es suficiente: como he citado anteriormente, cualquier acción debe partir de una política clara, bien fundamentada y ampliamente comunicada internamente por compliance. En este sentido, los procesos tendrán que estar muy bien coordinados. Otra estrategia importante es la contratación de hackers que trabajen para la empresa buscando vulnerabilidades antes de que hackers malintencionados lo hagan. Especialmente con LGPD y GDPR, el éxito de la estrategia de seguridad de la información está en la anticipación a las brechas y prevención de sucesos más graves.
Otro factor que no puede ser ignorado es contar con profesionales de seguridad de la información certificados y actualizados, que sigan estándares internacionales y realicen reuniones mensuales para garantizar un acompañamiento óptimo del trabajo- incluso con la junta directiva. A partir de ahora, la garantía de protección e integridad de los datos no será una tarea solamente de un departamento o de un ejecutivo puntual, como el Chief Security Officer: es esencial que todos los departamentos de la empresa estén involucrados, en especial aquellos que se relacionan directamente con los clientes y sus datos.
No hay motivos para quejarse ni del GDPR, ni de la LGPD. Adaptarse a las exigencias da trabajo y exige inversión de recursos -tanto de tiempo como financieros-, pero es una actividad importantísima para elevar el nivel de transparencia e incluso la madurez de las organizaciones. Garantizar la seguridad de la información de la cartera de clientes puede no haber sido obligatorio hasta ahora, pero siempre ha sido una actitud estratégica y de sentido común para las compañías que quieren tener credibilidad.
Carlos Pereira es Vice Presidente de Servicios al Cliente y Operaciones para América Latina. En su puesto, es responsable por las operaciones del Major Service Center de Orange en Brasil y por soportar los negocios de la empresa en la región manteniendo un enfoque incesante en la satisfacción del cliente, la calidad del servicio y la rentabilidad. Además, Carlos también se desempeña como Compliance Officer para Latinoamérica y Country Manager para Brasil.