EU GDPR y su impacto en la transformación digital de las organizaciones

Introducción y contexto

La era digital en la que estamos inmersos provoca que para ser competitivos debemos aprender a gestionar y explotar uno de nuestros activos intangibles más valiosos, los datos. Ciertamente ahora hay infinidad de oportunidades para la generación de nuevos productos y servicios, pero existe un número muy elevado de riesgos inherentes al tsunami de los datos. Difícilmente conocemos y entendemos todos los datos a los que tenemos acceso, y menos aún las maneras en que podemos utilizarlos.

Organizaciones de todo tipo y tamaño recolectan, almacenan, procesan e intercambian grandes volúmenes de información con el deseo de crear nuevos productos y servicios a partir de los datos que generen mayores beneficios, reduzcan los costes, consoliden y refuercen la fidelidad de los clientes, y ofrezcan auténticas ventajas competitivas. Pero al mismo tiempo, se enfrentan a importantes retos tales como gestionar adecuadamente los datos, garantizar su privacidad, o cumplir con regulaciones y estándares internos y externos.

En el ámbito regulatorio es obvio que son necesarias nuevas reglas de juego. En este contexto, en enero de 2012 la Comisión Europea presentó una reforma integral de las normas de protección de datos con el objetivo principal de incrementar el control de los ciudadanos sobre sus datos. Esta reforma se materializó en el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés).

 GDPR establece las reglas de actuación para cualquier empresa privada y entidad pública que gestione, almacene o procese datos personales de ciudadanos de la Unión Europea. El Reglamento nos lleva a la necesidad de revisar nuestra organización, procesos y tecnologías con las que gestionamos datos personales, y por tanto de algunos de nuestros modelos de negocio.

 La transparencia en el uso de los datos personales es ahora un requerimiento legal, pero por otra parte constituye la oportunidad perfecta para la generación de confianza con nuestros clientes, y por tanto de valor añadido.

GDPR y transformación digital, ¿qué tienen en común?

A simple vista nada, excepto por el hecho de que ambos temas, el Reglamento General de Protección de Datos y el imperativo cambio de la transformación digital son actualmente temas candentes.

Al profundizar un poco más en la naturaleza de ambos conceptos, las condiciones previas necesarias y los efectos resultantes, podríamos sentirnos obligados a pintar una imagen diferente. Incluso podría haber una capa común de principios generales o subyacentes que ambos conceptos deben seguir para poder implementarse con éxito.

Respecto a la transformación digital, término de moda, se ha escrito mucho. Por lo tanto, le evitaré profundizar en este tema. Vamos a centrarnos en algunas características que se analizarán más a fondo en el transcurso de este artículo.

La transformación digital es el proceso de cambio de una organización que mediante el uso profundo de las últimas tecnologías digitales busca ventajas competitivas en su mercado. Por últimas tecnologías digitales se entienden aquellas que son lo suficientemente maduras como para ser consideradas seriamente con un riesgo aceptable.

Como en el pasado, este acercamiento raramente da como resultado una reinvención total del negocio, en la mayoría de los casos se reduce a la automatización de procesos que antes se realizaban manualmente.

Sin embargo, mientras tanto se ha producido una transición de aspectos cuantitativos a cualitativos en ámbitos que conforman la transformación digital, convirtiéndose en poderosas herramientas, por ejemplo: la inteligencia artificial, considerada durante muchos años como una tecnología de laboratorio, ha crecido en audiencia y aplicabilidad; o Internet of Things que amplía el rango de los procesos a automatizar.

Esta transición que permite la automatización de gran parte de la capa operacional, provoca la obsolescencia de piezas de la capa de gestión de las organizaciones, al agregar una nueva clase de agentes del cambio, y requiriendo de un proceso estratégico mucho más consciente de las tecnologías en el que toda la organización sufrirá una transformación radical.

European Union General Data Protection Regulation (EU GDPR)

GDPR es aparentemente una historia muy diferente. GDPR tiene la intención de fortalecer y unificar la protección de datos para las personas dentro de la Unión Europea. De naturaleza extraterritorial, afecta a cualquier organización que proporcione bienes y servicios de cualquier tipo a los residentes de la UE, independientemente de si la empresa está situada dentro de la UE o no. También aborda la exportación de datos personales fuera de la UE.

Los ciudadanos y residentes se benefician de una serie de derechos sin precedentes sobre el control de sus datos personales. Las personas tendrán la oportunidad de conocer en profundidad los sistemas y procesos de los proveedores de servicios y descubrir cómo almacenan, usan y comparten sus datos. Para los negocios internacionales, la unificación de la regulación dentro de la UE es un efecto secundario bienvenido, ya que simplifica el entorno regulatorio.

GDPR está impulsado por algunos principios fundamentales subyacentes relacionados con el procesamiento de datos personales, tal como se expresa en su Artículo 5: legalidad, equidad y transparencia, limitación de propósito, precisión, limitación de almacenamiento, integridad y confidencialidad, y responsabilidad activa.

Si bien esto parece razonable y la mayoría de nosotros estaremos de acuerdo de manera natural con ello, para las empresas hay motivos para estar preocupados, ya que la regulación abre una nueva frontera de cumplimiento. Algunos de sus requisitos representan conceptos bastante nuevos como: ‘privacidad por diseño’ y ‘privacidad por defecto’, el derecho a la portabilidad de datos a petición de los interesados, el consentimiento explícito, la minimización de los datos o el derecho a ser olvidado, solo por nombrar unos pocos.

Por lo tanto para cumplir con la regulación se requerirán cambios y mejoras en el fondo de los procesos y las estructuras de datos implantadas. Además, las evaluaciones periódicas de riesgos, denominadas evaluaciones de impacto de protección de datos (DPIA) en GDPR, serán obligatorias una vez que nos enfrentemos a “riesgos elevados”, por ejemplo en el uso y explotación de datos personales confidenciales.

¿Por qué GDPR desencadenará la próxima ola de transformación digital global?

Aunque los requerimientos de GDPR provienen de la UE, compañías de todo el mundo lo tendrán en cuenta en su propia estrategia, comenzando así una nueva era de metamorfosis digital.

Cualquier decisión de no tener en cuenta el conocimiento acerca de los datos en sí mismos, en respuesta al desafío del cumplimiento de GDPR, podría devastar un negocio. Simplemente consideremos la inversión ya realizada en datos que podrían descartarse sin comprender el costo; los nuevos datos que nunca se registrarán por temor a no cumplir; y los nuevos sistemas que no se pueden implementar debido al riesgo percibido de invalidar los procesos relacionados con GDPR. El negocio se verá comprometido de manera fundamental y para siempre.

El cumplimiento de la nueva normativa europea está intrínsecamente relacionado con la estrategia desarrollada por el gobierno de la información. Identificar y categorizar los procesos y elementos que implican el uso de datos personales no es la meta del GDPR, es el punto de partida. La legislación requiere que las empresas pongan el riesgo en el punto de mira. ¿Qué quiere decir esto? Será imprescindible disponer de métricas que evalúen el riesgo tanto en los procesos de negocio como en los elementos relacionados con los datos.

Un programa de gestión y gobierno de los datos es la primera pieza sobre la que sustentar una adecuada explotación de la información, considerando los datos y posterior información inferida a partir de ellos como activos empresariales valiosos. Los datos y la información han de ser gestionados de manera cuidadosa, como cualquier otro activo, asegurando la calidad, seguridad, integridad, disponibilidad, uso efectivo, el cumplimiento de regulaciones internas y externas, y por ende los aspectos éticos derivados del uso de los datos.

Tomemos al azar uno de los requisitos del reglamento a modo de ejemplo: GDPR obliga a las empresas a reportar brechas de seguridad de datos dentro de un plazo de 72 horas.  Si no pueden probar que los datos fueron encriptados y las claves privadas han sido suficientemente protegidas, se enfrentarán a multas severas. Dado que el cifrado de los datos en su ciclo de vida ha sido tradicionalmente difícil de conseguir y costoso, se deben buscar e implantar nuevas vías para conseguirlo: nuevos procesos, nuevo software y muy probablemente nuevo hardware especializado. Esto impulsará aún más el avance hacia soluciones cloud, que ofrecen una mayor seguridad que las soluciones in-house.

Por lo tanto, aquí tenemos un ejemplo que allana el camino para una transformación digital adicional, ya que las vulnerabilidades debidas a medidas de seguridad TI insuficientes son una de las principales preocupaciones, impidiendo la transformación hacia organizaciones verdaderamente digitales.

La portabilidad de datos y el derecho a ser olvidado también son ejemplos en los que la arquitectura de datos debe seguir un concepto de identidad holística. Tiene que incluir todo tipo de información de diferentes partes interesadas, tales como clientes, proveedores y todas las partes de la fuerza laboral, no solo los empleados, aumentando exponencialmente el volumen de datos a tener en cuenta. Además, la relación con las actividades comerciales planificadas, en curso y pasadas, y las obligaciones legales deben reflejarse aquí para poder determinar el propósito para el cual se retienen los datos y para decidir sin riesgo si se eliminan de manera adecuada.

Una vez que la primera organización de un sector de actividad cumpla, los competidores se enfrentarán entre sí para ofrecer el mismo nivel de protección de datos y transparencia a sus clientes. En resumen, hay una serie de factores que indican que GDPR podría ser un catalizador para una transformación global mucho mayor.

En primer lugar, la naturaleza extraterritorial de la regulación significa que cualquier compañía internacional que preste servicios a los residentes de la UE deberá cumplir. No es sorprendente que expertos y medios de otras partes del planeta hayan mostrado sus puntos de vista sobre el impacto local que tiene. Y si los expertos y medios locales lo están discutiendo, entonces las organizaciones locales lo tendrán en cuenta en sus planes de transformación digital.

El segundo factor determinante es las cambiantes expectativas de los consumidores. Con el advenimiento de las redes sociales, las tendencias y preocupaciones públicas pueden extenderse por el mundo de la noche a la mañana. Naturalmente, GDPR otorga a los individuos muchos más derechos que antes y esto cambia el equilibrio de poder. A medida que los consumidores aprendan a utilizar sus nuevas “armas de privacidad”, será imposible obviar estas elevadas expectativas respecto a una mejor protección y transparencia simplemente dentro de los límites de la UE.

El tercer factor es la naturaleza global del comercio de bienes y servicios, y las operaciones transfronterizas de muchas empresas digitales. Para aquellas organizaciones en las que la UE es solo una parte de la huella global, mantener a la UE junto con las variantes de procesos fuera del continente sería muy desafiante, si no imposible. Es probable que muchos intenten hacer que todas las actividades cumplan con GDPR en todos los mercados.

¿Cómo tener en cuenta GDPR en nuestros procesos de transformación digital?

Lo que se ha hecho evidente en este período de preparación a GDPR es que las compañías no pueden darse el lujo de dejar este tipo de decisiones únicamente a un área determinada, con independencia de si se trata del departamento IT o del departamento de cumplimiento o legal. En lugar de confiar en acercamientos puramente tecnológicos, las empresas deben incorporar la protección de datos en su estrategia, estructura y cultura. Es una tarea que ningún departamento puede asumir por sí solo: todos en la organización tienen un papel que desempeñar.

Junto con la transformación organizacional estratégica, las empresas necesitarán soluciones que se construyan desde cero para incorporar los principios de protección de datos y privacidad por diseño. Sin embargo, esto no significa necesariamente un desmantelamiento y reemplazo de la infraestructura existente. Se requerirán soluciones que sean flexibles y adaptables para permitir que las empresas evolucionen y se adapten a medida que llegue la próxima ola de transformación digital. GDPR obligará a las empresas a arrojar luz sobre los datos que almacenan y cómo los usan, posiblemente por primera vez. Esto a su vez provocará la primera ola de empresas diseñadas específicamente para proteger los datos y hacer que los procesos sean transparentes, y en el primer mundo digital interconectado y actual, es difícil imaginar que este enfoque sea exclusivo de la UE. Por supuesto, las nuevas regulaciones siempre desencadenan un cambio cultural en el mundo de los negocios. Pero GDPR será uno de los primeros en convertirse en verdaderamente global.

Sin embargo, rezagarse de la competencia no es una amenaza menor. La dinámica del mercado ha aumentado considerablemente. Si bien en el pasado reciente una compañía tardaba aproximadamente unos 20 años en alcanzar el tamaño suficiente como para tener una visibilidad considerable en el mercado, hoy esto puede suceder fácilmente después de un año. Mientras tanto, la vida corporativa promedio se ha reducido a alrededor de 12 años.

Definitivamente no hay tiempo para perder. Sin embargo, la buena noticia eque: hacer ambas cosas no es exactamente el doble de trabajo. Hay muchas similitudes y razones para suponer sinergias sustanciales al abordarlas de manera conjunta. Y por cierto, ambas tienen que hacerse de todos modos.

Sobre el autor: Óscar Alonso Llombart

Information Strategist // Chief Data Officer (CDO) // Data Protection Officer (DPO) // Data Management & Analytics Technical Manager @ everis // Teacher & mentor @ UOC
Linkedin: https://www.linkedin.com/in/oscaralonsollombart/  
Twitter: @oalonsollombart

Artículos relacionados

Deje su comentario

Share This