La adaptación a la GDPR (General Data Protection Regulation) debe ser algo más que otro objetivo de cumplimiento. Los líderes tecnológicos que lo ven como una ventaja estratégica, incrementarán su prestigio y obtendrán una ventaja competitiva.
No es difícil tener simpatía por los responsables de IT y Seguridad recientemente expulsados de Equifax, después de haberse producido la brecha de seguridad que ha afectado a millones de ciudadanos.
El caso de Equifax es un tema para debatir. Pocos otros altos directivos incluidos en la toma de decisiones de las compañías, que no pertenecen al departamento de tecnología, tienen la misma presión diaria y el desafío de mitigar ese riesgo en una escala global.
El potencial impacto humano de las brechas de datos es sin duda, un asunto de interés público. Por esto es comprensible que la legislación GDPR se establezca en toda Europa, donde deberá ser implantada por las empresas antes del 25 de Mayo de 2018, poco tiempo, teniendo en cuenta la complejidad que implica. Trabajar para reorganizar e implantar lo necesario para cumplir con esta nueva Regulación, puede percibirse como una carga más, una imposición sobre el rendimiento real del negocio. Sin embargo ¿debemos considerar la GDPR como un motor para obtener una ventaja competitiva que ofrezca mayor transparencia y confianza a nuestros clientes y otras partes interesadas?
GDPR, ventaja competitiva
La estrategia de los organismos en competencias de ciberseguridad, es crear una ventaja competitiva. El objetivo es convertir a Europa en una de las zonas más seguras del mundo para el desarrollo de un comercio de confianza. Esto es, si consideramos los efectos negativos que tienen las brechas de seguridad en la inversión exterior, similares a los probados efectos en los inversores corporativos.
Que una nueva regulación se convierta en un instrumento de innovación y ventaja competitiva, no es nuevo. Las leyes en materia de seguridad y prevención en el trabajo por ejemplo, revolucionaron las prácticas de trabajo en la industria de la construcción. También condujo al desarrollo de nuevos productos y al aumento de la competitividad en la industria del automóvil y en otros sectores.
Tenemos que pensar en la GDPR de esta misma manera. Los líderes tecnológicos visionarios serán los que creen precedentes y transformen los principios de la GDPR en una seña de diferenciación y confianza, convirtiéndose en los defensores de la seguridad y la transparencia para reforzar la fidelización de los clientes.
Estos líderes necesitarán actuar de forma rápida. Los clientes tendrán que tener el control sobre sus datos y sobre quién y cómo los usa.
El enfoque de ventaja competitiva de la GDPR la posiciona más allá de un simple ejercicio técnico o de cumplimiento normativo, situándola como elemento de gestión de la reputación y registro de riesgos. Y como Equifax ha mostrado, los CTOs podrían considerarla como una herramienta para mitigar los riesgos de su propia reputación.
Regulación de la realidad
La información anecdótica de la industria sobre la actitud de los organismos reguladores ante las brechas de seguridad, es que tendrán poca empatía con los negocios, que será una actitud de “han tenido dos años para prepararse”. Es poco probable que los organismos responsables de hacer cumplir con la Ley GDPR, se ocupen de los retos prácticos de la consolidación de los datos no estructurados a través de múltiples sistemas.
Por el momento se ha indicado que permitirán las correcciones oportunas de los incumplimientos en los primeros seis meses, pero también podrían pretenden buscar ejemplarizar con algunas multas elevadas, para desde el principio, dejar huella en la conciencia empresarial.
Algunos podrían pensar que el seguro de responsabilidad civil sería una rápida solución frente a multas mayores: hasta el 4% de la facturación. ¿Pero protege también frente al daño a la reputación o la pérdida de confianza?
240 días para cambiar el discurso
No hay duda de que la GDPR presenta algunos problemas complejos de implementación. Parte de esto depende del tipo de datos personales que las compañías almacenen sobre los individuos. También dependerá de cómo se usan estos datos y del tipo de infraestructura de soporte entre las distintas localizaciones de las empresas y grupos de trabajo.
En SCC queremos sensibilizar a los CTO’s y a los miembros de sus equipos, sobre las diversas cuestiones que deben considerar.
En el futuro, la GDPR se percibirá como algo tan común para los consumidores como la seguridad en los lugares en construcción o los cinturones de seguridad en los vehículos. Con menos de 240 días para su implementación, es hora de cambiar el discurso del efecto de la GDPR y percibirla como la oportunidad que realmente es.