24 May, 2012

Empresas viven en fase de negación ante la Ley de Protección de Datos Personales

Por

Jesús Sánchez Berián

Constantemente vemos ejemplos de cómo las empresas lucran con los datos sin consentimiento expreso del cliente, y seguro es, que a diferencia de lo que la compañía haría para expresar su molestia si alguien usara cualquiera de sus activos intangibles o información sin su aprobación, ésta no aceptaría fácilmente las reacciones de indignación que podría expresarle cualquiera de sus clientes por el uso de información personal de la que no ha otorgado el derecho de compartir en ninguna forma.

Para acabar con esta situación es por lo que finalmente (y lamentablemente con varios años de retraso respecto de la mayoría de países de la OCDE) se está poniendo en marcha en México la nueva Ley Federal de Protección de Datos (LFPD), que afecta a todas las personas físicas o morales de carácter privado que lleven a cabo tratamiento de datos personales, es decir, a la gran mayoría de empresas en el país.

Todos llevamos ya tiempo oyendo hablar de esta norma, de las obligaciones que implica, de las penas asociadas a su incumplimiento (que, no olvidemos, pueden llegar hasta cinco años de prisión y millonarias multas), etcétera. Pero, ¿existe una consciencia real de cómo afecta a nuestras empresas? Revisando las acciones concretas que las empresas están tomando al respecto, la respuesta no puede ser otra que un rotundo ¡no!.

Las reacciones que se están viviendo actualmente en el mundo empresarial mexicano ante la publicación de la LFPD son ciertamente similares a las que desde nuestra compañía  pudimos observar en España hace ya más de 10 años con la Ley Orgánica de Protección de Datos (LOPD), el equivalente español a nuestra LFPD y en la que se basó ésta. En primer lugar una fase de “negación interna” durante la que muchas empresas presentaron un doble discurso: uno externo reconociendo la importancia de la ley, y uno interno en el que, en la práctica, nada se hacía al respecto. Y posteriormente, en cuanto empezaron a llegar las primeras sanciones, las prisas por hacer en un mes lo que no se había hecho en los meses anteriores.

Y, exactamente, ¿qué es lo que tenemos que hacer para preparar nuestra empresa a la nueva legislación? En base a nuestra experiencia existen cuatro grandes áreas afectadas por la LFPD: las áreas jurídicas, de atención al cliente, marketing y sistemas. Y en cada una de ellas se debe realizar un assesment detallado sobre el tratamiento que se da actualmente a los datos personales (no sólo de los clientes, sino también de prospectos y, por supuesto, de los propios empleados y colaboradores) para identificar en qué procesos de negocio se recopilan y manipulan estos datos, qué sistemas apoyan dichos procesos y cuáles son los incumplimientos de los mismos respecto de los lineamientos especificados por la norma.

Una vez identificados estos posibles focos de incumplimiento, se deberán definir las modificaciones a realizar en procesos y sistemas, priorizarlas en función de su criticidad, riesgo y costo asociado y, con esta información, poner en marcha un plan de adecuación en el que uno de los factores de éxito clave será una adecuada gestión del cambio en la organización.

En resumen, la LFPD ya está aquí, y si no queremos evitar las sanciones y, sobre todo, impactos muy negativos en nuestra reputación corporativa de cara a nuestros clientes, la estrategia de la avestruz es la peor opción que podemos tomar.

Jesús Sánchez Berián es director de Tecnología de everis México