LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 16:44:34

LegalToday

Por y para profesionales del Derecho

Cómo contribuye una buena política de protección de datos a la buena marcha del negocio desde la perspectiva de la seguridad de los datos y de la competitividad en el mercado

Legal Today

Los activos más importantes que hoy en día puede tener una organización son de naturaleza intangible. Los datos personales conviven con otros activos inmateriales como: la información privilegiada, la propiedad intelectual e industrial y la información confidencial. Todos ellos tienen un elemento en común: la vulnerabilidad. Estos activos intangibles se conservan en formato digital y residen en los sistemas informáticos de la organización, a los que acceden los usuarios autorizados en función de los permisos que tengan asignados. Los elementos más críticos para la protección de estos activos son los recursos TIC en los que se albergan y las personas que los gestionan.

A pesar de la importancia de estos activos, los esfuerzos voluntarios que realizan las organizaciones para protegerlos han sido históricamente insuficientes en algunos sectores, en los que la seguridad de la información no ha sido una prioridad hasta que se han establecido fuertes sanciones por el incumplimiento de las obligaciones establecidas en materia de protección de datos.

La exigencia de la normativa de protección de datos personales de establecer medidas técnicas y organizativas para protegerlos tiene como efecto inmediato una mejora en la gestión de los recursos TIC y en la actividad de los usuarios, que redunda inevitablemente en un incremento de la protección para los restantes activos intangibles. Pensemos que la normativa que protege la información privilegiada, la propiedad intelectual y los secretos empresariales no aporta el nivel de detalle ni el nivel de desarrollo que se asocia a la normativa de protección de datos. La cuantía de sus sanciones es importante, pero no han generado un nivel de preocupación tan transversal como el de la protección de datos. Las organizaciones pueden estar más o menos expuestas a los riesgos relacionados con la información privilegiada, la propiedad intelectual o los secretos empresariales, pero todas ellas tienen datos personales.

La primera conclusión de todo ello es que el esfuerzo realizado por una organización para cumplir las obligaciones de seguridad y confidencialidad tiene como efecto colateral el incremento de la protección de todos los activos intangibles en general, tanto propios como de terceros.

Otro efecto es el mantenimiento de la confidencialidad, la integridad y la disponibilidad de los datos, atributos que van asociados a la continuidad del negocio, ya que, si se produce una fuga de datos, una destrucción o una pérdida de acceso, la marcha del negocio quedará alterada, y la organización verá afectada su reputación y su competitividad en el mercado.

Apostar por el cumplimiento en materia de protección de datos y seguridad significa dar un mensaje de confianza a los consumidores, que llegarán al convencimiento de que los datos están protegidos en manos de la organización.

En las memorias de RSC las organizaciones incluyen referencias a los estándares GRI (Global Reporting Iniciative) relacionados con la protección de los datos personales y de otros activos críticos para la organización. El GRI 418, relativo a la privacidad del cliente se concreta en el contenido 418-1, mediante el que se informa a los grupos de interés sobre las reclamaciones fundamentadas relativas a violaciones de la privacidad del cliente y a la pérdida de sus datos.

1. El número total de reclamaciones fundamentadas relativas a violaciones de la privacidad del cliente, clasificadas por:

a. Reclamaciones recibidas por terceras partes y corroboradas por la organización.

b. Reclamaciones de autoridades regulatorias.

2. El número total de casos identificados de filtraciones, robos o pérdidas de datos de clientes.

3. Si la organización no ha identificado ninguna reclamación fundamentada, basta con señalar este hecho en una declaración breve.

La protección de la privacidad del cliente es un objetivo reconocido en la legislación nacional de un número creciente de países. En las Líneas Directrices de la OCDE para Empresas Multinacionales de OCDE, se indica que el mercado espera que las organizaciones respeten la privacidad de los consumidores y adopten medidas razonables para garantizar la seguridad de los datos de carácter personal que recaban, almacenan, procesan o difunden.

Como podemos comprobar en la Ley 11/2018, de 28 de diciembre, por la que se modifica el Código de Comercio, el texto refundido de la Ley de Sociedades de Capital aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio, y la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas, en materia de información no financiera y diversidad, las organizaciones deberán informar cada vez más al mercado y a los grupos de interés en general, sobre los riesgos que genera su actividad y los esfuerzos realizados para cumplir la ley.

Existe por lo tanto una conexión necesaria entre la empresa y el cumplimiento normativo que suministra sólidos argumentos a la alta dirección de la organización sobre las ventajas del cumplimiento de la normativa de protección de datos. Entre dichos argumentos destacan los siguientes:

  1. Eficiencia operativa derivada de la mejora de los procesos y del tratamiento de datos y de la información confidencial.
  2. Ahorro de los costes derivados de reclamaciones, sanciones e indemnizaciones, así como de las pérdidas derivadas de una reducción de la facturación.
  3. Incremento de la cultura de cumplimiento y de la colaboración de los departamentos que gestionan datos de carácter personal.
  4. Ampliación del perímetro de control y mejora del control de los proveedores que tratan o acceden a datos personales.
  5. Incremento de la seguridad de los datos y de los restantes activos intangibles que residen en los sistemas de información.
  6. Estrategia de defensa basada en pruebas preconstituidas, ordenadas, centralizadas y con sello de tiempo (Defense file)
  7. Cumplimiento de las expectativas de inversores, accionistas y fondos activistas.
  8. Continuidad del negocio y sostenibilidad basada en el cumplimiento.
  9. Prevención de responsabilidad heredada en fusiones y absorciones.
  10. Mejora de la posición en concursos públicos y privados.
  11. Reducción del riesgo de exclusión del mercado ante la progresiva vigilancia entre empresas y la exigencia recíproca de compliance.
  12. Mejora de los resultados al plantear el cumplimiento como un factor diferencial frente a los competidores.
  13. Incremento de la confianza del mercado en la empresa a través de los indicadores de cumplimiento en la memoria de RSC o en su portal ético.
  14. Mejora de la posición negociadora al contratar o renovar un seguro de responsabilidad civil.
  15. Exención o atenuación de la responsabilidad penal.

Estos argumentos pueden ayudar a un delegado de Protección de Datos o al responsable de esta materia en una organización a convencer a la alta dirección sobre la necesidad de invertir en medidas de protección. El objetivo es que los directivos lleguen al convencimiento de que cualquier partida económica destinada a la prevención y al cumplimiento de la normativa de protección de datos es una inversión y no un gasto.

Para buscar una referencia sobre la influencia de esta normativa en el negocio vale la pena analizar la evolución de Facebook en los últimos años. De la famosa frase “Privacy is over” de Mike Zuckemberg, la compañía ha pasado a reforzar las medidas de protección de los datos de sus usuarios. Alentado por la tendencia de los usuarios más jóvenes de exponer su intimidad en las redes sociales, el presidente de Facebook había llegado a la conclusión de que la cultura cambiaría y que el derecho a la intimidad iría perdiendo valor. Sin embargo, el impacto en la cotización que ha sufrido la compañía cada vez que se ha producido una fuga de datos o cada vez que ha salido a la luz un acuerdo de explotación de datos de los usuarios, ha hecho que cambiar las ideas del presidente y la estrategia de la compañía en esta materia.

Estos ejemplos nos hacen llegar a la conclusión de que las compañías irán adoptando la cultura de la protección de la privacidad de sus clientes y grupos de interés para estar alineadas con los valores que defiende el mercado y para evitar el impacto reputacional que supone su transgresión.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.