Cómo implementar el RGPD cuando no somos expertos y contamos con poco apoyo ejecutivo
Las empresas van tarde con el cumplimiento de la legislación y con un apoyo escaso o inexistente
 |
| Glenda Suárez Miembro del Grupo de Trabajo de Tendencias Emergentes de ISACA |
El Reglamento General de Protección de Datos (RGPD), establecido en 2018, ya no es una novedad, sino una realidad que las empresas europeas, e incluso no europeas, deben afrontar. A pesar de que no es fácil obtener estadísticas precisas sobre el nivel de adopción de la ley, es evidente que muchos se han quedado rezagados en la implementación de los correspondientes requerimientos, y que incluso es difícil hablar del tema en reuniones ejecutivas como una de las metas legales fundamentales.
El informe "Privacy in Practice" publicado en enero de 2023 por ISACA, nos muestra cuáles son los principales desafíos que hacen que la tarea de cumplimiento con las leyes de privacidad sea más compleja. La falta de personal técnico que sepa implementar medidas en los sistemas e infraestructuras es uno de los obstáculos más importantes, así como la carencia de experiencia y conocimientos sobre los marcos teóricos, controles y tecnologías.
En muchas empresas, los profesionales ya existentes tratan de cerrar estas brechas a través de la formación. Muchos de nosotros desempeñamos un rol primordialmente como Legal, Riesgos, o Seguridad de la Información, y expandimos nuestro alcance al ámbito de la Privacidad. En PYMES, sobre todo, ser un profesional polivalente es muy común, y por lo tanto, a veces ya se asume que la responsabilidad del tema de privacidad recae sobre nosotros.
Este sobreesfuerzo sin duda ayuda a encaminar las acciones hacia el cumplimiento con el RGPD, pero un impedimento muy grande sigue siendo la falta de apoyo por parte del equipo ejecutivo. Según el informe "Privacy in Practice", el 39% de los encuestados señala que la falta de apoyo ejecutivo es un obstáculo en la elaboración de un programa de privacidad; el 22% de los encuestados no cree que su equipo ejecutivo priorice las acciones de privacidad, mientras que el 20% especifica que no tiene conocimiento al respecto.
Esta situación es alarmante, no sólo porque las empresas van tarde con el cumplimiento de la legislación, sino porque como profesionales de otras áreas intentamos crear un programa con conocimientos limitados y con un apoyo escaso o inexistente. Frente a este desafío, mi recomendación para iniciar la conversación sobre la Privacidad es la siguiente: "Primero entiende el impacto del RGPD para tu empresa, luego convence al ejecutivo".
Muchos de nosotros nos hemos lanzado directamente en las reuniones ejecutivas con un discurso sobre por qué el RGPD es importante, las sanciones dinerarias, la posible pérdida de reputación si ocurre una violación datos personales. Sin embargo, este enfoque puede no ser efectivo. A menudo, los ejecutivos ven el RGDP como algo utópico e inalcanzable en su totalidad. Por lo tanto, en lugar de culpar al ejecutivo, recomiendo reevaluar el mensaje que les presentamos, y si éste realmente se adecua a nuestro entorno. Antes de lanzarnos a convencer, necesitamos indagar: comprobar nuestro rol de privacidad (Responsable vs Encargado); revisar nuestras obligaciones contractuales con terceros (sobre todo clientes) y confirmar las medidas de seguridad ya implementadas en la organización. Esto nos dará, como mínimo un conocimiento sobre el nivel de responsabilidad que debemos asumir como empresa y el trabajo que aún se debe llevar a cabo para limitar los riesgos de privacidad más relevantes a nuestro modelo de negocio.
Nuestra capacidad de trasladar las implicaciones es lo que definirá nuestro éxito cuando busquemos apoyo. Según mi experiencia, el ejecutivo tiende a convertirse en el mejor patrocinador cuando ve que no solo tenemos compromiso para con nuestro ámbito, sino que vemos más allá, y hacemos de los intereses del negocio también nuestra prioridad.
