El problema de la protección de datos y la privacidad era, hasta hace bien poco, un tema de conversación reservado a un grupo específico de personas dentro de las organizaciones. A menos que uno fuera consultor de TI o un abogado de la empresa, el cumplimiento de la normativa en materia de privacidad era algo de lo que se ocupaban otros. Entonces, cómo hemos alcanzado este punto en el que muchas organizaciones se ven obligadas, por ley, a contratar un DPO? ¿Por qué los CEO están ahora tan interesados en la protección de datos de su empresa y las políticas de privacidad?
Podríamos engañarnos fácilmente pensando que la privacidad de datos es un tema que ha alcanzado relevancia únicamente a partir de 2018, pero estaríamos faltando a la verdad. Desde el punto de vista antropológico, los seres humanos han preservado su privacidad desde hace más de 3000 años. El uso de paredes divisorias internas dentro de los edificios, que comenzó a hacerse algo habitual a partir del año 1500 después de Cristo, demuestra este hecho. El concepto de «derecho a la privacidad», tal y como lo conocemos, es de hecho mucho más moderno, y se formalizó eventualmente como uno de los derechos humanos internacionales en 1948. Suecia se convirtió en el primer país en promulgar una ley de protección de datos nacional en 1973. A pesar de ello, el primer esfuerzo tangible para regular la privacidad de datos se produjo como respuesta a la preocupación del público general sobre el incremento en la utilización de equipos informáticos para procesar y almacenar información personal.
Aunque nuestro entendimiento de la temática actual de la privacidad de datos debería operar dentro de este contexto, no puede negarse que el año 2018 representó un momento decisivo. El Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) puede tener menos de dos años de vigencia, pero su impacto has sido realmente significativo. Además de su naturaleza altamente específica, que hace que sea aplicable la regulación, a los reguladores no les ha temblado el pulso a la hora de aplicarla. Hasta la fecha, ha recaudado casi 429 millones de euros en sanciones, y actúa como firme recordatorio constante para cualquier negocio que procesa datos de ciudadanos europeos, haciendo entender que se aplican sanciones por no adherirse a los requisitos de la normativa en materia de privacidad de datos.
El vacío de conocimientos en materia de privacidad
Además de proporcionar un marco de trabajo claro para aplicar prácticas de tratamiento de datos adecuadas, GDPR ha acercado la protección de datos y la privacidad algo más a las personas. En lugar de hablar en términos de estándares técnicos y requisitos de software, se centra en los derechos fundamentales de los ciudadanos y en cómo los empleados dentro de una organización puede preservarlos. Uno de los puntos más específicos del reglamento GDPR es el Artículo 37, donde se establece que, determinadas empresas deben nombrar un delegado o responsable de protección de datos para cumplir con la normativa. En concreto, cualquier autoridad pública, empresas cuyas actividades principales requieran la supervisión a gran escala de particulares o basen su operativa en el tratamiento a gran escala de datos criminales.
Dondequiera que se nombre a un DPO, no se hace por una obligación implícita de GDPR, al contrario, es una buena práctica aconsejada para las empresas que necesiten garantizar que cuentan con el tratamiento de datos adecuado en curso. Dado que el último Informe sobre Gestión de datos cloud de Veeam revela que las organizaciones de todos los sectores gastarán de media 41 millones de dólares en la implementación de tecnologías para impulsar el business intelligence, los DPO más experimentados se han convertido en auténticos ídolos. En 2018, una vez adoptado GDPR, se necesitaban ocupar 75 000 puestos para DPO, siendo 28 000 de esos puestos solo para EE.UU. y Europa.
Las organizaciones deben fomentar una cultura de la transparencia en el modo en el que se hace uso de los datos, y especialmente durante este periodo de transición. No todo el mundo en una empresa puede ser un experto en protección de datos, pero todos los empleados sí que deben valorar y comprender los principios básicos. Es más, mientras que la responsabilidad del cumplimiento de GDPR recae en el DPO, es el CEO, en última instancia, el que soporta toda la responsabilidad. La protección de datos es un tema de conversación en la empresa, de igual forma que lo es el de la tecnología. Dicho esto, los negocios deben poner en marcha una estrategia de TI que permita aplicar prácticas sólidas de protección de datos.
La mente domina la materia
La investigación de Veeam revela que tres cuartas partes de los responsables de la toma de decisiones de TI a nivel global, buscan la gestión de datos en la nube (Cloud Data Management) como una formar de crear un negocio más inteligente. La gestión de datos en la nube reúne disciplinas como el backup, replicación y disaster recovery a lo largo y ancho de toda la nube de la organización y la provisión de gestión de datos. Garantiza que los datos estén siempre disponibles, sean recuperables y permanezcan protegidos en todo momento. Pero al igual que ocurre con la privacidad de datos, la TI es también una industria de personas. En un mundo donde los negocios necesitan proteger sus datos más que nunca, los CEO, CIO, DPO y otros responsables similares, buscan, de forma similar, partners de confianza para ayudarles a reducir el riesgo de la gestión de sus datos. Esta ayuda puede tomar la forma de configurar sistemas de gestión de datos, proporcionar formación técnica a los administradores, o formar en materia de privacidad de datos básica a los usuarios finales.
El Día de la protección de datos es el momento oportuno para que reflexionemos sobre cómo hacemos uso de los datos, y cómo los visualizamos. Es más, ahora que comenzamos una nueva década, es un buen momento para reconocer que todavía estamos en medio de la transformación. El impacto de la normativa GDPR seguirá produciendo importantes implicaciones a medida que los negocios se adapten a sus exigencias, y los encargados de hacer cumplir estas normativas sean menos pacientes con aquellos que no cumplen la normativa reguladora. El daño en la reputación y un mayor número de sanciones solamente impulsará la demanda de DPOs, gente con los conocimientos y ganas de abordar los desafíos de privacidad de datos de una organización. Aunque la inversión en tecnologías como la gestión de datos en la nube será fundamental para aplicar con éxito la estrategia del DPO, la privacidad es ahora una cuestión de las personas. Por ello, las inversiones más inteligentes serán aquellas que se realicen en partners de confianza que puedan guiar a las personas en todos los niveles de la empresa, a través de los desafíos que supone mantener el cumplimiento normativo y ayudar a crear una auténtica cultura de la transparencia de datos.
Daniel Fried
Director general y vicepresidente sénior, EMEA y Worldwide Channels, Veeam