El auditor y el uso ético de datos

Detalles
Categoría de nivel principal o raíz: Blog
Auditoría Externa

Por: CP Iván Rodríguez. Colaborador de Auditool 

Las organizaciones de diverso orden tienen cada vez más presión para proteger los datos de los clientes y garantizar que se utilicen de manera responsable, esto requiere que cuenten con un programa de datos formalizado.

En el entorno actual, la vigilancia digital y la tecnología están en auge; las empresas privadas y las entidades gubernamentales manejan grandes volúmenes de datos y la cantidad viene en aumento. Cada vez que existe la posibilidad de que los gobiernos efectúen diferentes acciones de rastreo, existe la preocupación sobre este hecho. En ese sentido, a medida que aumenta el acceso a los datos de los clientes, las empresas deben tener estándares claros y transparentes sobre cómo usarán esos datos.

Si bien las organizaciones de diferentes tamaños deben contar con pautas de protección de datos, cuanto más grande sea la organización, mayor será su nivel de exposición a los riesgos que involucran los datos.

En ocasiones, las organizaciones no tienen reglas claras sobre cómo tratar y proteger los datos de los clientes o cómo prevenir infracciones y esto puede ocurrir porque se asume que la mayor parte de la responsabilidad de la protección de datos reside en los organismos reguladores. También ocurre que, aunque las organizaciones han organizado comités u otras instancias equivalentes para crear directrices de protección de datos, la falta de éxito ocurre porque no se cuenta con una visión clara de la manera de gestionar este tema.

Sin embargo, tener una buena política y hacerla cumplir, en torno al uso ético de los datos es una ventaja competitiva para las empresas. A medida que los clientes prioricen la privacidad de los datos, elegirán proveedores que ofrezcan total transparencia sobre su recopilación y procesamiento.

Hoy en día la ética en el manejo de los datos es una preocupación en la agenda de los CEO, ya que la negligencia en este tema puede resultar en consecuencias graves, como la pérdida de reputación o incluso el cierre del negocio. Ahora bien, para crear una política efectiva, las empresas necesitan un programa formal para garantizar que los estándares se mantengan y evalúen regularmente.

Los organismos reguladores tienden a centrarse en cómo los recopiladores y difusores de datos, como los corredores de datos, los gobiernos y las grandes corporaciones, supervisan la privacidad y la protección de los datos personales, más que en su utilización. Si bien en muchas jurisdicciones ya existen normas y leyes de protección de la privacidad de los datos, aún falta robustecer su efectividad. Por ejemplo, el Reglamento General de Protección de Datos (General Data Protection Regulation – GDPR por sus siglas en inglés) de la Unión Europea, funciona bien como un sistema de notificación de infracciones, pero no ha sido tan efectivo en la imposición de sanciones para disuadir a la empresa. comportamiento que viola la privacidad de los datos del cliente[1].

Un programa de datos debe ir más allá de la simple regulación en la protección de la privacidad y el uso de los datos de los clientes. Debe centrarse en proporcionar transparencia sobre qué datos se recopilan y cómo se hace euso de la información y si esta es apropiada. Además, las empresas deben poder identificar el uso potencial de datos que podría considerarse ilegal (por ejemplo, influir en los votantes a partir de ciertos análisis).

Un programa sólido para el uso ético de datos de una organización debe considerar al menos los siguientes elementos que deben ser tenidos en cuenta por los auditores:

  • Determinar la propiedad de los datos y la mitigación de riesgos

Un buen programa de datos define roles para el uso ético de los datos y la propiedad de estos. Por ejemplo, si un algoritmo necesita ser anulado o modificado o el acceso de un sistema a los datos debe ser ajustado, debe ser claro quién debe ejecutar esos cambios. La política del programa también debe aclarar la responsabilidad de la empresa frente a los datos recopilados y procesados.

Las organizaciones también deben ser conscientes de los riesgos de datos existentes, como el uso de la información de contacto personal del cliente. En los casos en que haya un uso indebido como podría ocurrir en un fraude de reclamos de seguros,  la empresa necesitará un proceso de escalamiento seguro. La prudencia y el cumplimiento deben ser facilitadores en la creación de valor empresarial.

  • Alinearse con la visión y la misión de la empresa

Las organizaciones necesitan que su programa de datos este en armonía con la visión y misión; también que esté adaptado a la industria. El programa debe ser claro sobre  cómo el uso de datos está alineado con los valores de la empresa y de esta manera pueda guiar las decisiones sobre su uso. Por ejemplo, una empresa de salud no debería vender o compartir datos, decisión orientada en función de su ética.

  • Incorporarse en la cultura organizacional

La privacidad de los datos puede ser parte de la ventaja competitiva de las empresas, si está incluida en su programa de ética de datos, sino también asegurándose de que sea un valor integrado en toda la C-suite[2]. Tener una cultura de transparencia y privacidad a nivel de liderazgo hace que sea más fácil implementar esos cambios en el resto de la organización. Tener un enfoque centrado en el cliente también significa tomar decisiones de uso de datos basadas en su impacto potencial en la privacidad del cliente en lugar de su efecto económico inmediato.

También es fundamental capacitar a los empleados nuevos y existentes para que se adhieran a la cultura de privacidad de datos y mitigación de riesgos. De hecho, establecer expectativas por adelantado en torno al uso de datos es vital para proteger los datos de los clientes del uso poco ético. En un programa ético de datos, las organizaciones deben establecer estándares claros de identidad y gestión de acceso garantizando que solo aquellos con acceso privilegiado puedan ver los datos de los clientes y realizar cambios en el sistema.

  • Establecer un consejo o comité de ética de datos

Idealmente, un consejo o comité de ética de datos debe estar compuesto por representantes de negocios, área de cumplimiento, operaciones, auditoría, TI y la C-suite. La representación de TI es fundamental debido a las responsabilidades que tienen sobre los datos y su conocimiento técnico. De hecho, este departamento es responsable de varias áreas de gestión y protección de datos. Sin embargo, sigue siendo el trabajo de los departamentos de negocios y los propietarios de datos garantizar que sus áreas cumplan con las políticas adoptadas y monitorear continuamente los nuevos casos de uso que puedan necesitar. La auditoría debe efectuar una evaluación del riesgo de los datos. El consejo o comité de ética de datos no solo debe definir estándares de datos y asegurarse de que se alineen con los valores de la empresa, sino que también debe tener supervisión sobre si estos estándares se observan en toda la organización.

Ahora bien, incluso el programa más completo en torno al uso ético de los datos no logrará el éxito a largo plazo si no se integra en las diferentes áreas de la organización. La creación de una política formal de datos y un comité de ética de datos ayuda a las empresas a integrarla en su cultura. Ver la ética de los datos como un riesgo a nivel empresarial, es clave para mantener un programa de datos a largo plazo y los auditores, desde la órbita de su competencia, deben tenerlo en cuenta.

[1] Ver: https://slate.com/technology/2019/03/gdpr-one-year-anniversary-breach-notification-fines.html

[2] Con el término C-Suite se conoce a un grupo de importantes ejecutivos de una empresa junto al CEO. Tienen la responsabilidad de establecer el rumbo de la organización, considerar y asumir el riesgo de la toma de decisiones, asegurar el alineamiento de la operatividad y los objetivos empresariales, estableciendo estrategias y marcando pautas.

CP Iván Rodríguez

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá DC, Colombia

 

Escribir un comentario

Enviar
Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado