Cuando se empieza una startup, una empresa, o un proyecto en Internet, en la mayoría de ocasiones se desconocen las normas de protección de datos personales que aplican en los distintos países. Más allá de esto, no se suele dar importancia a la seguridad de la información, ya que en ocasiones sólo nos enfocamos en estructurar una empresa, vender y crecer.
Sin embargo, es bueno entender que en la actualidad la información personal y empresarial es uno de los mayores activos de un negocio. Es por eso que cualquier empresa tiene el deber de proteger su información y la de sus clientes, para además cumplir con sus obligaciones legales.
A continuación compartimos 5 recomendaciones para cumplir con las normas de protección de datos personales y proteger la información de tu negocio.
1. Haz tu deber: los datos personales de tus clientes se deben proteger
Es importante que entiendas que tienes la obligación jurídica de proteger los datos personales que te entrega un cliente, como lo son el nombre, correo electrónico, datos de contacto, etc.
En Latinoamérica casi todos los países cuentan con normas de protección de datos personales, las cuales te obligan a que tengas la autorización expresa e informada de tus usuarios para enviarles información de tus productos. Así mismo, se debe cumplir con los principios de finalidad, seguridad y circulación restringida; esto significa que si vendes cursos de tecnología, no puedes mañana enviarles a tus clientes información sobre un partido político o sobre otro tema que rompa la finalidad para la cual te entregaron sus datos.
Muchas personas desconocen la cantidad de sanciones y multas que las autoridades de protección de datos han generado, pero cada país ya cuenta con una entidad que se encarga de proteger los datos personales de los ciudadanos. Intervienen por ejemplo en México el IFAI, en Colombia la Superintendencia de Industria y Comercio (SIC), en España la Agencia Española de Protección de Datos y en Perú el Ministerio de Justicia, entre otros.
Cabe resaltar que la no protección de datos personales puede llevar a responsabilidades económicas y penales. En Colombia hace unas semanas se conoció la sanción interpuesta a una empresa por no respetar el currículo de un aspirante a un empleo, con un proceso que no cumplía con las normas de protección de datos. Otro caso que estamos llevando en la actualidad con Cloud Seguro es el de una aplicación móvil, la cual por un simple error entregó a un tercero los datos personales de uno de sus clientes, lo que generó un daño en el nombre de una persona.
La tendencia actual es que cada vez se investigue y se sancione a las empresas que no cumplen con las normas de protección de datos personales. Aun así, los datos personales se deben proteger no por el temor que te multen, sino porque si proteges la información de tus clientes ellos te respetarán como empresa.
Cuando uno trabaja estos temas y asesora equipos gerenciales, uno se da cuenta que el mayor problema es la dificultad en vincular la protección de datos con el tema de la cultura y de la imagen de cada empresa. Algunos consideran que es copiar y pegar unas políticas o términos y condiciones pero cada negocio o empresa debe ser analizado de forma distinta y especial. Cada empresa tiene su riesgos legales, tecnológicos y empresariales.
2. Recoge solo los datos que sean necesarios y crea políticas de protección de datos
Como consejo, es bueno que solo recojas los datos necesarios: entre más datos personales recojas tendrás que protegerlos de mejor forma. La protección de datos también lleva el principio de calidad del dato, el cual se traduce en que tienes que recoger datos exactos de tus clientes, evitando errores en datos de carácter personal como lo pueden ser un nombre y un correo electrónico.
Es recomendable que utilices herramientas del tipo CRM (del inglés Customer Relationship Management), y que en ellas tengas una casilla para guardar la autorización de cuando la persona te entregó el dato. Incorpora en tu página web formularios y campos para que el usuario te entregue la autorización con un simple clic. Recuerda que la finalidad y la autorización son principios vitales para el cumplimiento de las normas de protección de datos.
Asesórate muy bien sobre las normas legales del país donde empiezas a operar. Un ejemplo, si estás en Colombia debes empezar a cumplir con el Registro Nacional de Bases de Datos, en donde todas las empresas constituidas legalmente deberán reportar ante la SIC las bases de datos que tienen, sus políticas, canales, cómo identificar los responsables y encargados del manejo de datos, entre otros temas que se deben informar a este registro.
Crea políticas de protección de datos personales que sean operacionales y escalables; si haces eventos públicos donde recolectas correos, utiliza formularios que incluyen avisos de privacidad en donde el usuario te dé su autorización para el manejo de datos. En la eventualidad de que un usuario se queje, lo que siempre te van a exigir es una copia de la fecha, momento y hora en que te facilitó su información personal.
3. Utiliza medidas técnicas y jurídicas para proteger la información
Empieza utilizando medidas técnicas y jurídicas para la protección de la información personal y empresarial. Exige de tus empleados y proveedores que firmen cláusulas de confidencialidad. Por regulación existe la figura de responsable y encargado del tratamiento de datos. Imagina el caso de que eres una empresa y le entregas tu base de datos en Excel a un tercero para que te haga un envío de correo electrónico; si este tercero por desconocimiento empieza a utilizar la base de datos de tus clientes para enviar publicidad de otro negocio, te podría llevar a un riesgo de queja o demanda. Es por esto que debes blindar de forma jurídica cualquier entrega de información: deja claro por escrito las responsabilidades y usa cláusulas de protección de la información y violación de datos.
De forma técnica también puedes empezar a utilizar firmas digitales y electrónicas para la entrega de la información. Desde este aspecto existen en el mercado soluciones de cifrado de datos para que un tercero que tenga acceso a tu información no la pueda consultar, ya que al estar cifrada se garantiza la confidencialidad.
Desde el aspecto de seguridad de la información existe el concepto de integridad, confidencialidad y disponibilidad. Debes entender que la protección de datos personales es un cajón, lo mismo el de seguridad de la información y seguridad informática. Cada uno tiene unas obligaciones y necesidades distintas personales y empresariales.
Es bueno conocer las distintas metodologías relevantes para la protección de datos y seguridad de la información. Es el caso la Norma ISO 27001 para seguridad de la información, como desde el aspecto de desarrollo seguro de la metodología OWASP. Cada día el mercado exige que no solo se programe en distintos lenguajes, sino que desarrolles con metodologías como OWASP, la cual incluye unos principios y buenas prácticas en seguridad en todo el ciclo del desarrollo del software.
4. Más vale prevenir que curar
La protección de datos y la seguridad de la información tiene que ser una de las mayores preocupaciones que debe tener cualquier empresa, y la desconfianza es la mejor prevención. No es que te vuelvas un Edward Snowden o una persona paranoica, pero sí debes entender que dependiendo del tipo de negocio que llevas, tendrás que tomar medidas de seguridad y protección de la información más o menos sofisticadas. No es lo mismo un colegio que guarda datos sensibles de menores de edad o un portal de comercio electrónico que solo pide un correo electrónico y que no recoge información.
Analiza los riesgos de tu negocio: en la actualidad existen metodologías como la ISO 31001, la cual te recomienda que analices los factores de riesgo y que te definas objetivos y medidas concretas para mitigar el riesgo. Uno puede tener la mejor innovación, pero si no se protege ten la seguridad que pueden robársela.
En general, debes entender que todos tipos de empresas se encuentran expuestas en Internet: si hackean al Pentágono y a Sony, no hay duda de que le puede pasar a cualquiera. Como usuario, no entregues información personal o bancaria cuando un sitio te genera desconfianza.
También puedes usar muchas herramientas para protegerte. Ha crecido tanto el mercado y es tan importante la atención dada a seguridad y la privacidad que puedes conseguir desde teléfonos enfocados en la privacidad como lo son el Blackphone y el Granitephone hasta una gran cantidad de soluciones tecnológicas como VPNs, bloqueadores de publicidad, storage cifrado como Tresorit o el conocido Mega, correos electrónicos seguros como el de Protonmail, servicios de doble autenticación como Latch, etc.
5. Las personas, en el centro
La protección de datos personales y la seguridad de la información son parte un proceso global, el cual es centrado en las personas. Algunos consideran que la protección de datos se limita a cumplir con los aspectos legales, pero esto es un error: la protección de datos es un tema cultural, tecnológico y jurídico.
Lo mismo pasa con la seguridad de la información, que es mucho más que hardware o software, como lo explicó el hacker Kevin Mitnick: “Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil que son las personas.”
En este contexto, no puedes desatender estos temas para enfocarte en hacer crecer tu empresa, sino que tienes la obligación de generar mecanismos de protección de la información personal y empresarial en tu negocio. Tu éxito también depende de ello: si lo haces, ten la seguridad que tus clientes te van a valorar.
Por Germán Realpe, escrito para Platzi.
