La privacidad es un término relativamente subjetivo en entornos corporativos. Para la mayoría de las empresas el cumplimiento de la privacidad contemporánea descansa sobre los hombros del departamento de TI ya que los demás departamentos consideran la privacidad un problema tecnológico. Pero seamos prácticos: ¿Cómo puede gestionar un departamento por sí solo el cumplimiento de la privacidad de toda una empresa?
Debido a la cantidad de leyes y reglamentos de protección de datos existentes en todo el mundo como el Reglamento de Protección de Datos (GDPR) es fácil que el equipo de TI se pierda y cometa fallos. El cumplir con las regulaciones de privacidad ya no es un gancho de marketing, es una obligación; y las empresas no pueden permitirse el lujo seguir con la actitud de que ellas no sufrirán problemas de privacidad.
A continuación, voy a compartir algunas ideas que han ayudado a mi empresa, ManageEngine, a lograr nuestros objetivos de cumplimiento.
Índice de temas
Configuración de privacidad estricta por defecto
Cualquier acción que implica el tratamiento de los datos personales de los consumidores debe ser manejado con la privacidad siempre en mente, y las empresas deben permitir la configuración de privacidad más estrictas por defecto. En ManageEngine hemos eliminado el código de seguimiento de terceros en nuestros sitios web y aplicaciones para lograr el más alto nivel de cumplimiento. Aunque este tipo de códigos de seguimiento son útiles para la toma de decisiones de los equipos responsables de la comercialización y desarrollo de productos, al final se quitaron porque compartir los patrones de comportamiento de los clientes con Google Analytics, Crazy Egg, Hotjar, y otros terceros sin el consentimiento de nuestros clientes podría crear muchos problemas.
OPD a nivel departamental
Con las nuevas regulaciones, como la GDPR, es vital tener un oficial de protección de datos (OPD). Dicho esto, nombrar a un sólo OPD para toda la empresa le ayudará a alcanzar sus objetivos de cumplimiento por completo. En nuestro caso, hemos decidido situar a un OPD para cada departamento, con un OPD centralizado para toda la empresa. Esto nos ayudó a comprender los diversos casos de uso relacionados con la privacidad de cada equipo, así como la manera de abordar estos casos de uso de acuerdo con nuestros estándares de cumplimiento bajo un marco común.
Riesgo impulsado por el desarrollo
La investigación y el desarrollo son las bases vitales de todas las compañías tecnológicas. Sin embargo, con el uso de técnicas de inteligencia artificial y minería de datos para analizar el comportamiento del usuario se exacerban los problemas de privacidad significativamente. En nuestro caso decidimos adoptar un modelo de riesgo para nuestro equipo de I + D, lo que nos ayudó a identificar y mitigar riesgos de privacidad mucho antes de que comenzáramos la producción. Este modelo permitió a nuestros desarrolladores priorizar los riesgos, aplicar las técnicas de mitigación adecuadas, y ahorrar mucho tiempo.
Usar el lenguaje correcto
Cuando se trata del cumplimiento de la privacidad hay un montón de jerga utilizada entre los diversos departamentos. A menudo es difícil para un empleado de un equipo entender toda la jerga utilizadas por otro departamento. Para hacer frente a esta situación, decidimos traducir todos los términos de privacidad de uso común a un lenguaje más fácil de entender. También comenzamos la concesión de puntos de privacidad a los equipos para lograr los objetivos de cumplimiento interno, se pueden canjear por dinero en efectivo y se quitan puntos por cada fallo. Esto ayudó a que nuestros empleados se acostumbraran a utilizar los términos adecuados, entender las cosas rápidamente, y resolver los problemas de privacidad juntos.
Automatizar los controles de privacidad
Consciente o inconscientemente, los empleados acaban por incumplir las políticas de privacidad. Por ejemplo, dejar papeles con los datos del cliente en una bandeja de la impresora, la divulgación de información de los clientes en los foros internos, o el intercambio de datos de los participantes del evento con otros equipos internos.
Para combatir esto, nuestra compañía construyó bots inteligentes en nuestro servicio de chat interno, Cliq, que nos ayudó a identificar rápidamente violaciones de privacidad. Ahora bien, si un empleado intenta compartir información que parece contener datos personales, como números de teléfono y direcciones de correo electrónico, un bot se activa automáticamente y advierte al usuario de no compartir información personal identificable. Con la construcción de este tipo de controles automatizados hemos ayudado a nuestros empleados a aprender las reglas de privacidad contextualmente.
Mantener un registro de la actividad
Es importante documentar quién se encarga de cada tarea con el fin de supervisar quién es responsable; esto puede hacerse utilizando una matriz de asignación de responsabilidad. Mediante el uso de estas matrices a nivel de departamento hemos sido capaces de mejorar significativamente la tasa de éxito de nuestros programas de cumplimiento. A modo de ejemplo, nuestros desarrolladores enumeran sus 20 mejores tareas de rutina en un documento matriz RACI interna. Si hubiera cualquier desviación de sus respectivas rutinas los equipos de privacidad informarían a los desarrolladores relevantes lo más rápido posible.
La implementación de estos seis puntos por sí solos podría no ayudarle a alcanzar todos los objetivos de cumplimiento, sin embargo sí que proporcionan una base sólida desde la que empezar.
Sobre el autor
Chandramouli Dorai es un vendedor de productos de ManageEngine, la división de gestión de TI de Zoho Corporation. Él maneja la generación de contenidos educativos y proporciona apoyo técnico a los clientes de todo el mundo. Actualmente está involucrado en la investigación de las necesidades del cliente para mejorar la experiencia del usuario para la suite de gestión de identidad privilegiada de ManageEngine.
