Por: Juan Carlos Carrillo, director de Ciberseguridad y Privacidad de PwC México
Si eres el director ejecutivo de una compañía multinacional, es probable que hayas forjado una nueva estrategia comercial este año y nuevas iniciativas para gestión de datos, digital y de clientes, así como aspectos medioambientales, sociales y de gobernanza (ESG) que han cobrado mucho mayor relevancia en el entorno actual.
Sin embargo, ¿tu estrategia de privacidad de datos se ha mantenido al día con todos estos cambios? Este artículo tiene como objetivo ayudar a las empresas y a los equipos de liderazgo a movilizarse en la dirección correcta.
La típica estrategia de privacidad
La primera pregunta que un CEO (y en realidad cualquier directivo dentro de una empresa) debería preguntarse es: ¿Cuál es la estrategia de privacidad de la organización? Cuando hacemos una evaluación de privacidad (PIA) no en todos los casos esta puede realizarse de forma efectiva.
En la mayoría de los casos, si el CEO no puede recordar si el equipo de liderazgo ejecutivo aprobó una estrategia enfocada en proteger la privacidad de la información, lo más probable es que estén aplicando un enfoque solamente de Cumplimiento: es decir, buscar responder a las autoridades y cumplir con las leyes de privacidad, así como con los términos contractuales (gastando la menor cantidad de dinero posible).
Este enfoque de «Cumplimiento Mínimo Viable “de la protección de los datos personales ha sostenido a muchas empresas durante las primeras décadas de la era de la información. Sin embargo, a medida que la confianza del cliente, la optimización de datos y la aceleración digital se convierten en imperativos comerciales, esto será insuficiente.
Los clientes buscan más. Esperan que el uso de sus datos los beneficie y que les brinde experiencias significativas, pero no que los ponga en riesgo.
Por otro lado, cuanto más dinámico sea el negocio en términos de adquisiciones, lanzamientos de productos y expansión geográfica, más esencial será tener una estrategia de privacidad de datos documentada y respaldada por la Alta Dirección.
Te puede interesar…
Componentes de una estrategia de privacidad
Una vez que entendemos el valor de establecer protocolos que vigilen la seguridad de la información, ¿qué hace resaltar a una estrategia efectiva? De acuerdo con el artículo “Strategy: An Executive’s Definition” publicado en la revista strategy+business, estas deben contemplar dos aspectos esenciales:
- Un objetivo, para crear valor a largo plazo.
- Un plan de acción, que define dónde y cómo aplicará.
Al definir objetivos, priorizarlos y asignar los recursos de forma adecuada, no solo se plantea un enfoque claro para la empresa sino, implícitamente, se destaca en qué no estará invirtiendo.
La estrategia de protección de datos debe tener estos mismos componentes: objetivo y plan de acción. Debe definir las medidas de seguridad y las capacidades que permitirán al cliente, los datos y los objetivos digitales, alinearse con la estrategia empresarial.
Tres aspectos clave
Sea cual sea el sector, generar confianza tanto con los clientes como con los colaboradores y grupos diversos de interés es el principal resultado que necesita la estrategia de protección de datos de cualquier compañía. Para alcanzar esta meta, y hacerla sostenible en el tiempo, las organizaciones necesitan centrarse en cumplir los siguientes objetivos:
- Cumplimiento sostenido. Mantenerse a la vanguardia de la rotación contractual y regulatoria de privacidad, a nivel global, estableciendo una estructura de responsabilidad en las tres líneas de defensa.
- Riesgo mitigado. Proteger a la empresa de los riesgos relacionados con la privacidad a través de un sistema de controles priorizados.
- Valor equitativo. Optimizar, e incluso monetizar, los datos personales de forma transparente, ética y participativa.
Si ponemos estos tres aspectos en práctica, podemos sentar la base para establecer los objetivos estratégicos de protección de datos. Desde luego, se requerirá alguna personalización de estos para alinearlos con las características únicas de la industria y empresa.
No obstante, no es a esta tarea a la que debe dedicarle su tiempo el Líder de Privacidad, sino al plan de acción de protección de datos (mismo que debe ser de carácter único y específico para cada una de las empresas).
El plan de acción
En la misma línea de los objetivos estratégicos, contar con el mismo plan de acción de otra empresa es un error. Cada empresa tiene un contexto distinto que incluye productos y servicios únicos, cultura laboral, presencia geográfica, entidades adquiridas, sistemas heredados, relaciones con proveedores y distribuidores, postura de relaciones públicas y con inversores y consideraciones de asuntos gubernamentales, entre otros.
Todos estos factores influyen en el camino que toma tu programa de privacidad para alcanzar los objetivos planteados.
En cambio, el verdadero reto está en determinar, para el punto de partida específico de una empresa, cuáles de esas capacidades son más urgentes, qué tan ampliamente se aplica cada una en la empresa y a cuáles se asignan relativamente más recursos y tecnología. La velocidad y la magnitud del éxito de la estrategia de privacidad dependerá, en gran medida, de las decisiones de secuenciación, alcance y asignación.
Ninguna discusión rápida con el equipo de liderazgo producirá estas decisiones. Pero la alta dirección ciertamente necesita tener una voz plena en el plan de acción propuesta que el líder de privacidad les brinda (y un respaldo total de cualquier resultado que acuerden).
También puedes leer…
Los KPI
Una vez que establecimos claramente los objetivos y el plan de acción, ¿cómo podemos saber que la estrategia de privacidad va por buen camino, una vez que la Alta Dirección la respalde? Se necesitan informes desde el principio y establecer la periodicidad de los mismos, pero, ¿existe un estándar aceptado en la industria para esto?
Desafortunadamente aún no. Cuando se trata de informar al equipo ejecutivo, la privacidad de los datos se encuentra en la misma posición que la seguridad de la información estaba hace una década. Los indicadores clave de rendimiento (KPI) de privacidad que el equipo ejecutivo está obteniendo hoy (si los obtienen) pueden estar demasiado centrados en el cumplimiento o conectados con el valor comercial.
En este sentido, recomiendo adoptar un enfoque nuevo. La metodología del “cuadro de mando integral” (popularizada por Kaplan y Norton en la década de 1990) podría aplicarse a la privacidad de los datos.
Sus fundamentos funcionan tan bien para la gestión empresarial general como para administrar los tres objetivos estratégicos de cumplimiento sostenido, riesgo mitigado y valor equitativo. Tu equipo de privacidad puede hacer esto estableciendo los KPI y los umbrales de decisión asociados, para posteriormente vincularlos al desempeño de los componentes clave del plan de acción de la estrategia de privacidad.
En resumen,una estrategia de privacidad efectiva se reduce a lo siguiente:
- Capacitar al líder de privacidad para involucrar a otros líderes de las estrategias de clientes, datos, digitales, IA y ESG, así como a cualquier otro que impulse la agenda general de confianza.
- Pedir al equipo ejecutivo un conjunto de objetivos de privacidad, un plan de acción y un cuadro de mando resumido.
- Establecer un dashboard de puntuación por colores de status, hasta que todos los rojos y amarillos se hayan desvanecido constantemente a verde (lo que le permitirá administrar por excepción en el futuro).
Con esas acciones en marcha, podrás informar con confianza a la Junta Directiva que la estrategia de privacidad está alineada con la estrategia comercial de la organización, pero también con las tendencias predominantes de la industria.
También podría interesarte…