Por José Miguel Aparicio, director del Área de Protección de Datos de TOMARIAL. El motivo recurrente al que acuden muchas empresas de nuestro sector para convencer al empresario es el evitar costosas sanciones previstas por la normativa. Si bien hay que evitarlas, éste debe ser un motivo más y no presentarse como el más importante, pues hace que la empresa no detecte la importancia del cumplimiento en otros términos y se limite a realizar lo imprescindible para “cumplir el expediente”, acabando además por ser una molestia más que un factor de desarrollo.
Entendemos que el principal motivo para cumplir con esta normativa es la mejora en la imagen de la empresa: transmitir profesionalidad y respeto a la privacidad. Y ello tiene repercusiones en términos económicos:
- Si una empresa procedimenta el tratamiento documental y automatizado, normalmente no existirán pérdidas de tiempo y se maximizará el mismo; si el personal se acostumbra a archivar la documentación antes de finalizar la jornada, ello no se nota en términos de tiempo; por el contrario, si se deja la documentación en estanterías varios días, cuando se proceda al archivo el tiempo de tarea, por regla general, se duplicará.
- En términos de imagen, no es lo mismo una oficina organizada que una donde los documentos “campan a sus anchas” u ordenadores a los que cualquiera puede acceder; pensemos en asesorías, despachos de abogados, clínicas… con el agravante de que cualquiera podría acceder a datos, transmitiéndonos además poca confianza para ponernos en sus manos.
- Debemos tener en cuenta la pérdida de tiempo e imagen que transmitimos cuando se nos solicita una factura o un expediente… y no se encuentra. Es lo más parecido a una mini-crisis: prisas, gritos, reproches… en resumen, ansiedad y estrés además de las sensaciones que transmitimos a terceros. Estamos más cerca de perder al cliente o, en el mejor de los casos, llevarnos una “bronca”.
Por otra parte, cabe indicar que la normativa (igual que la anterior) se preocupa por regular temas que las empresas ya deberían cumplir y que por diferentes motivos (falta de tiempo, no querer realizar la inversión necesaria…) no cumplimos; así con la protección de datos como excusa, la ley actúa para obligarnos y es clara: las empresas deben asegurar la confidencialidad, el secreto y la integridad de la información y de los datos personales.
Un ejemplo claro son las copias de seguridad de sistemas automatizados; vemos continuamente empresas que dejan el disco duro en el que se realiza siempre conectado al servidor sin ser custodiado con medidas de seguridad suficientes (por ejemplo, cifrado). ¿Qué pasa cuando nuestro sistema se ve afectado por un malware que entra en el sistema al abrir un mail y como no disponemos de firewall y antivirus fiable, nos encripta la información? o ¿qué pasa cuando se “funden” los sistemas por una subida de tensión y no hemos dispuesto S.A.I.´s en cada ordenador de sobremesa o en el servidor?…
En el mejor de los casos perderemos tiempo (y productividad). En el peor escenario supondrá el cierre y ello dejando de lado las infracciones que pueden ser sancionadas, así como la obligación existente de comunicar las brechas de seguridad a la autoridad de control. Por contra, si tenemos la copia, se recupera y a trabajar. Además, recuerde que la información que su empresa trata es un activo más de su organización, seguramente de valor incalculable y que en ocasiones supone el trabajo de años.
Otro ejemplo: cumplir con la confidencialidad. No nos suele preocupar hasta el primer problema; si cuando contratamos un empleado/a con acceso a datos (administrativos, comerciales…) se le informa de cuáles son los medios que la empresa pone a su disposición, cómo utilizarlos y cómo tratar la información… y firma la documentación que demuestra que hemos dado esta información y, además, disponemos de medidas que eviten accesos no autorizados y de medidas que eviten el robo de información, nos aseguramos que si ese comercial intenta sacar el listado de clientes, no lo podrá hacer y, si lo hace, demostraremos que hemos puesto medios para evitarlo y podremos tomar acciones contra el infractor. Proteja sus activos (la información es poder).
Otro punto que la normativa exige es que se mantenga una actitud proactiva frente a tratamientos de datos que realicen. Se describe la responsabilidad proactiva como la necesidad de que se apliquen medidas técnicas y organizativas dirigidas a garantizar y que el tratamiento es conforme a normativa. En términos prácticos las organizaciones deben analizar qué datos tratan, con qué fines y qué tipo de operaciones realizan y a partir de ello, determinar la forma en que aplicarán las medidas que necesarias, asegurándose que son adecuadas y de que pueden demostrarlo, documentado cada paso y decisión, ante interesados y ante autoridades.
A modo de resumen, recordar que el coste de un solo incidente en esta materia, tanto en términos de pérdida de imagen, confianza y tiempo como en términos de sanciones, indemnizaciones y costes de defensa, es infinitamente superior al coste que supone implantar correctamente esta normativa en nuestra organización, siendo vital para ello contar con personal preparado o empresas de consultoría que nos asesoren de forma profesional y continua.