Empresas, incapaces de cumplir con protección de datos personales

Por María Fernanda Navarro A siete años de la promulgación de la Ley Federal de Datos Personales en Posesión de Particulares, las empresas continúan en un estado de inmadurez en materia de resguardo a la información que poseen de sus usuarios. El informe “Estudio de la Privacidad en México 2016”, elaborado por PwC México, reveló que un elevado número de empresas no tiene conocimiento o control adecuado de los datos personales de sus clientes, proveedores o trabajadores; no capacita a su personal para el manejo de dicha información; no tiene planeado invertir en sistemas y procedimientos en esta materia; y ha detectado robo o fuga de información. Previo a la publicación de dicho informe, Fernando Román y Juan Carlos Carrillo, integrantes de Cybersecurity & Privacy Solutions de Rissk Assurance, explicaron a Forbes México las desventajas de la incipiente cultura empresarial y ciudadana de la protección de datos personales. “La gente lo está viendo como un proyecto. Dicen: ‘¿Qué tengo que hacer? Hago un aviso de privacidad y ya terminé’, y ahí está el grave problema porque no es un proyecto, es un proceso”, dijo Carrillo. De las 309 empresas encuestadas para el informe, entre las que se encontraban organizaciones micro, medianas y grandes e incluso con presencia internacional en 24 estados de la República Mexicana, 43% estuvo involucrado en situaciones que implicaron perdida o fuga de información, y 86% desconoce el impacto de dichos eventos. “Las empresas creerían que con un proyecto van a dar cumplimiento o cubrir todos los riesgos a los que pueda estar expuesta la información de sus clientes, empleados y proveedores y es una lógica de pensamiento erróneo porque muchas veces las empresas no sabemos qué tenemos que información tratamos o quién la trata”, explicó Román. Para prevenir este tipo de fugas o robos existe pocos procedimientos, toda vez que el informe arrojó que 88% de las empresas consultadas estableció trabajos en materia de privacidad, pero únicamente 54% cuenta actualmente con un responsable de dichos procedimientos. Respecto a la capacitación, el porcentaje de empresas que reveló nunca haber presentado uno asciende a 46%, 22% lo hizo una vez en los últimos siete años y 32% señaló que capacitó a su personal en materia de protección de datos una vez al año. Las empresas tampoco consideran necesario estimar el retorno de inversión de la protección a la privacidad y así lo demuestra el informe que señala que una de cada diez empresas mide este indicador y sólo 45% advirtió que no piensa invertir en este rubro al menos en el año que fue elaborado el informe. Sin embargo, el interés de la protección de datos personales tampoco es muy popular entre los ciudadanos. Durante los últimos 12 meses, 66% de los organismos consultados dijo no haber recibido requerimientos de Acceso, Rectificación, Cancelación y Oposición —mejor conocidos como derechos ARCO—, frente a 39% que reveló sí haber recibido alguna de estas solicitudes. Y en caso de que aumentara la solicitud de acceso a estos derechos, las empresas no están preparadas, toda vez que 31% reveló que no cuenta con un procedimiento para responder a estas solicitudes, 15% sí contaba con un procedimiento, pero no tenía forma de probarlo y 54% sí tiene procesos y los tiene documentados. Las consecuencias de la incipiente cultura empresarial del cuidado de datos personales van desde multas millonarias establecidas por la autoridad en la materia, disminución de credibilidad por parte de los clientes y desventajas competitivas ante empresas que resguardan minuciosamente los datos de sus clientes, señalaron los expertos. Carrillo y Román también apuntaron al aumento desmedido del robo de identidad en el país, por lo que señalaron la importancia de atender el buen uso de datos personales.