Los datos personales son valiosos en sí mismos. La tendencia actual es a considerarlos un activo más de la empresa. Los datos son información, y la información es valiosa. Por ello, es necesario hacer un esfuerzo por proteger los datos y garantizar su confidencialidad (interna y externa) para evitar posibles incidencias de seguridad: pérdida, fuga o robo de información que puede hacer llegar los datos a personas inadecuadas (empresas de la competencia, medios de comunicación, empleados malintencionados. etc.).
Existe un cierto escepticismo sobre las medidas de protección existentes en la actualidad y se percibe el riesgo legal como algo tangencial y de bajo impacto en el negocio.
Ahondando en el campo del cumplimiento legal, específicamente respecto a la Ley Federal de Protección de Datos Personales en Posesión de Particulares, podría decirse que en estos momentos la PyME no la percibe como un aspecto relevante que impida un acercamiento efectivo a la tecnología.
Como principal causa de esta situación destaca el escaso conocimiento que la PyME tiene, en general, sobre los problemas derivados del uso de la tecnología, especialmente en aspectos más alejados de los conceptos clásicos de protección asociados al uso de internet (antivirus, antispam y cortafuegos). Este hecho provoca una demanda baja de soluciones y servicios de seguridad informática que tradicionalmente han sido aplicados en la gran empresa, tales como soluciones de backup, cifrado o cumplimiento normativo.
Es especialmente relevante la falta de cumplimiento normativo en lo relativo a la LFPDPPP. Si bien el grado declarado de conocimiento de la misma es bastante escaso (23.2%), son pocas las empresas que parecen cumplir con la misma. Esta afirmación se materializa en los siguientes hechos:
– Se desconocen las consecuencias del incumplimiento de la ley. El 86.2% de las empresas no conocen las sanciones previstas en la LFPDPPP por su incumplimiento.
– Sólo el 1.7% de las empresas realizan las auditorías requeridas por la ley.
– Se perciben como poco necesarios, por parte de los encuestados, los servicios relacionados con el asesoramiento jurídico. Sólo el 1.5% de las PyMEs los demandaría con frecuencia en caso de que fueran ofrecidos por una organización especializada.
Reconociendo la existencia de la situación descrita, es necesario puntualizar que la adopción de la normativa sobre protección de datos aporta una serie de beneficios que se traducen en un valor añadido para la empresa. Por ello, las acciones de concienciación y formación deben ir encaminadas a la exposición de las ventajas derivadas de la adopción de la normativa sobre protección de datos.
Una incidencia de este tipo puede tener consecuencias muy negativas para la empresa, y en ocasiones los empresarios no se han planteado las consecuencias ante la pérdida de información de clientes, proveedores o empleados.
La adaptación de la PyME para el cumplimiento de la LFPDPPP contribuye a mejorar los procesos de manejo de la información, ya que proporciona una cultura de calidad en el tratamiento de los datos y la gestión del negocio que puede trasladarse a otros procesos de la empresa. Una cuestión tan básica como poner en orden la información contribuye en ocasiones a detectar problemas o carencias del negocio.
El cumplimiento de la normativa sobre protección de datos garantiza la confidencialidad y el derecho a la intimidad de los titulares de los datos cedidos. En este sentido, es una referencia y garantía de seriedad y confianza para los actores que se relacionan con las PyMEs en su tráfico diario, principalmente clientes y proveedores, pero también empresas de la competencia.
Algunas PyMEs reconocen haber iniciado el proceso de adaptación a la ley ante una solicitud de alguno de sus clientes, o ante la generalización de la cultura de protección de datos entre empresas pertenecientes a su sector de actividad. En general, lo consideran beneficioso para la propia imagen y una manifestación de la responsabilidad social corporativa.
La protección de datos es un derecho recogido en la Constitución que ampara a todos los ciudadanos, y para su garantía efectiva, las empresas han de cumplir las disposiciones previstas en la ley, de lo contrario, pueden verse afectadas por denuncias o sanciones.
El IFAI, como órgano competente declarado en la Ley, tiene las atribuciones necesarias para realizar inspecciones y sancionar a los que incumplen la normativa. Las empresas que disponen de datos de carácter personal pueden verse involucradas en sanciones realizadas bajo denuncias de los diferentes agentes que participan en el negocio ya sea por parte de sus clientes, colaboradores o empleados.
Cumplir con la normativa es una obligación cada día más latente debido en mayor medida a las sanciones y, en opinión de las empresas prescriptoras participantes en el estudio, es el miedo a las sanciones el motivo principal que empuja a las PyMEs a cumplir.
La adopción de la normativa sobre protección de datos puede constituir el primer paso para orientar a la empresa hacia un entorno de seguridad más ambicioso. Así, existen en la actualidad sistemas de gestión de seguridad de la información (SGSI) que persiguen, por un lado, incorporar la seguridad en los sistemas de información de las empresas como elemento de la mejora de la gestión y de la competitividad y, por otro, ofrecer protección contra los riesgos y pérdidas asociados al creciente uso de tecnologías de la información y de la comunicación en las empresas.
Manuel Ballester
Socio Director Área de Consultoría en Auren
Vicepresidente Academia Mexicana Ciencia Sistemas
También podría interesarte
Un seguro contra fugas de datos personales
