Por: CP Iván Rodríguez. Colaborador de Auditool.
Uno de los activos más valiosos actualmente es la información. Por ello, hay una gran preocupación en las organizaciones por su manejo y custodia. Por ejemplo, los organismos reguladores ejercen cada vez más control y presión para que los datos de los clientes sean protegidos debidamente y se garantice que se utilicen de manera responsable. Estas regulaciones ocurren porque las empresas tienen grandes volúmenes de datos de los clientes, que pudieran usarse de diversas maneras y, en ese sentido, se hace necesario que existan normas claras y transparentes sobre cómo utilizarán esos datos.
Ahora, sin importar su tamaño ni la industria a la que pertenezcan, las empresas deben contar con directrices para la protección de datos, puesto que existen riesgos de exposición de la información que son mayores en cuanto más grande es la empresa. No obstante, la mayoría de las organizaciones no cuentan con reglas claras sobre cómo tratar y proteger los datos de los clientes, o cómo prevenir las infracciones por incumplimiento de la normativa de protección de datos, y esto ocurre en las diferentes jurisdicciones que cuentan con disposiciones al respecto.
En ocasiones, estos incumplimientos se dan porque las organizaciones no tienen claridad acerca de a quién corresponde la responsabilidad de la protección de datos e, incluso, suponen que esta responsabilidad reside en los reguladores. En otros casos, se adelantan esfuerzos internos, pero no hay claridad sobre quién debe liderar los procesos.
En este entorno en el que una organización cuenta con una buena política sobre el uso ético de los datos, debidamente difundida y aplicada, este uso se convierte en una ventaja competitiva. En cuanto los clientes prioricen la privacidad de sus datos, seleccionarán proveedores que ofrezcan las mejores condiciones de transparencia al recopilar y procesar datos personales. Es así como el manejo ético de los datos se ha venido constituyendo en una de las principales prioridades para la alta dirección de las organizaciones.
Por su parte, el descuido en el manejo de datos confidenciales puede resultar en incumplimientos normativos y situaciones de riesgo que pueden traer graves consecuencias, tales como la pérdida de reputación o, incluso, el cierre de la empresa. Por estas razones es necesario que las empresas cuenten con una política eficaz y un programa de revisión y actualización permanente acerca del uso de los datos. Entonces, un buen programa de uso ético de datos tiene en cuenta los siguientes elementos[1]:
- Alineación con la misión y visión de la empresa
El programa de uso ético de datos debe estar alineado con la visión y la misión de la empresa, y estar adaptado al contexto de su industria. Esto permite guiar las decisiones sobre el uso de datos, así como la interacción con terceros. Si se tienen valores y estándares claros, esto ayuda a las empresas a decidir con quién trabajar.
- Determinación de la propiedad de los datos y la mitigación de riesgos
En un buen programa de datos están definidos los roles para el uso ético de los datos y la propiedad de estos. Las responsabilidades deben establecerse con claridad y documentarse apropiadamente. Además, los accesos a un sistema o las modificaciones en su procesamiento deben definirse sin ambigüedad y tener claras las consecuencias por un inapropiado uso de los datos recopilados y procesados.
Así mismo, las organizaciones deben ser conscientes de los riesgos a los que están expuestos los datos almacenados y su uso, en particular, aquellos con información personal de contacto del cliente. No hay que olvidar que las acciones que se hagan con información de terceros deben regirse por la prudencia y el cumplimiento normativo, lo que finalmente contribuye a la creación de valor empresarial.
- Evolución de la cultura y el talento
La incorporación de la ética en la privacidad de los datos en la cultura de la organización, además de hacer parte de su ventaja competitiva, se convierte en un valor integrado que permea todos los niveles. Contar con una cultura de transparencia y privacidad que fluya desde la alta dirección, facilita la implementación de las adecuaciones que requiere un programa de ética de datos en el resto de la organización. Así mismo, contar con un enfoque centrado en el cliente, requiere que se tomen decisiones de uso de datos basadas en el impacto potencial sobre la privacidad de los clientes y no solamente en su efecto económico inmediato.
Debe considerarse de manera adicional la capacitación (o su refuerzo) a los empleados nuevos y existentes de manera que se adhieran a la cultura de privacidad de datos y mitigación de riesgos. Así mismo, las organizaciones deben establecer estándares claros en cuanto a la gestión de información confidencial y asegurarse de que solo aquellos con acceso privilegiado puedan ver los datos de los clientes y realizar cambios en el sistema, previas autorizaciones.
- Establecer un comité de ética de datos
Un buen comité de ética de datos está conformado, entre otros, por representantes de las áreas de negocios, cumplimiento y legal, operaciones, auditoría, TI y la alta dirección. Este comité debe servir como referencia para aquellos casos de uso de datos complejos y polémicos, tales como la segmentación de clientes. Es importante la representación de TI debido a sus responsabilidades frente a los datos y el conocimiento técnico del departamento o área. Normalmente, el área de TI es responsable de varias áreas de gestión y protección de datos. No obstante, cada área o departamento debe asegurarse de que sus actividades y funciones cumplen con las políticas adoptadas y deben supervisar continuamente la necesidad de una evaluación del riesgo de los datos. Ahora, quienes lideran productos o servicios pueden plantear ideas de uso de datos con sus compañeros y la alta dirección y, en caso de duda, obtener la aprobación de la junta, toda vez que, además de definir los estándares de datos y asegurarse de que están alineados con los valores de la empresa, debe supervisar si estos estándares se observan en toda la organización.
Los auditores deben tener presente que el uso ético de datos es esencial para construir la confianza entre las organizaciones y las personas, así como para garantizar que la tecnología digital beneficie a la sociedad en su conjunto. En ese sentido, es importante que, además del programa ético, las organizaciones tengan en cuenta obtener un consentimiento informado antes de recopilar los datos de las personas. Esto implica proporcionar información clara sobre el propósito de la recopilación, cómo se utilizarán los datos y cualquier otra información relevante.
Para finalizar, debe promoverse la educación y conciencia sobre la importancia del uso ético de datos, tanto entre los profesionales de la tecnología como entre los usuarios finales, así como respetar los derechos de los individuos sobre sus datos, incluido el derecho a acceder, corregir, eliminar y portar sus datos. Los auditores, desde la órbita de su competencia, deben velar por que las organizaciones faciliten el ejercicio de estos derechos, conforme a la legislación vigente y aplicable en la jurisdicción respectiva.
[1] Tomado y adaptado de: https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/tech-forward/scaling-ai-for-success-four-technical-enablers-for-sustained-impact
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.
Y luego Agregar a la pantalla de inicio.