Una guía para las juntas directivas sobre evaluaciones de privacidad

Juan Carlos Carrillo Director de Ciberseguridad y Privacidad de Datos, PwC México 23/02/21

La agenda de los CEO en el primer trimestre del 2021 se ha llenado de un cambio acelerado en el negocio. ¿Por qué debería llamar su atención el tema de la evaluación de la privacidad en este momento?

Con un año histórico de regulación de la privacidad global en proceso, y niveles récord de multas por faltas a la privacidad en todo el mundo, necesitamos una guía para evitar quedarnos atrás y acumular una “deuda de privacidad” excesiva.

Pero, ¿Qué tipo de evaluación de la privacidad es el óptimo para cada empresa?

¿Evaluación de brechas, riesgos o madurez?

Si le pedimos a los directivos de la empresa una respuesta a esta pregunta, es posible que obtengamos diversas y muy variadas respuestas. El director ejecutivo de auditoría (CAE) podría proponer una auditoría de la privacidad, es probable que el área legal nos aconseje una evaluación de brechas, y el director de información (CIO) se incline hacia una evaluación de riesgos. Es posible que se deba intervenir y arbitrar. Aquí un poco de ayuda al respecto:

  • Evaluación de la brecha de privacidad: este enfoque es mejor cuando la empresa se enfrenta a una fecha límite reglamentaria importante, como la fecha de 2023 que se avecina para la Ley de Derechos de Privacidad de California o la fecha de entrada en funcionamiento del inminente proyecto de ley de privacidad en India. Hay que verlo como lo que es: una verificación de estado en un momento determinado en un subconjunto de su negocio. 
  • Evaluación de riesgos de privacidad: cuando se está contemplando un cambio comercial importante, como ingresar a un nuevo mercado en otra geografía, cambiar el modelo comercial de B2B (Business to Business) al B2C (Business to Consumer), alterar la estrategia digital o una migración a la nube, este es el enfoque a seguir. Este análisis ayudará a los líderes responsables del cambio a tomar las mejores decisiones de costo-beneficio.
  • Evaluación de la madurez de la privacidad: en este enfoque se está realizando un “check up médico” integral y de forma anual, es la forma de saber la capacidad del programa de privacidad para respaldar la estrategia de negocio en evolución.

¿Dónde encajan las auditorías formales de privacidad, generalmente patrocinadas por Auditoría Interna?

En este caso existen tres escenarios habituales:

1. Evaluaciones de madurez o riesgo de privacidad, realizando pruebas más detalladas de los riesgos o revisión de las debilidades específicas que se identificaron.

2. El director ejecutivo de auditoría (CAE) también puede llenar un vacío de liderazgo en privacidad al realizar una auditoría integral para resaltar este riesgo, para el conocimiento de los ejecutivos.

3. Si la empresa es B2B, tendrá una ventaja cada vez mayor para mantener una certificación de privacidad contra un estándar reconocido como SOC-2 para Privacidad o ISO 27701.


¿Equipo Interno o de terceros?

Teniendo la experiencia en ambos escenarios: tanto como director de privacidad, como consultor de privacidad. 

Esta pregunta es fácil de contestar. 

Si la empresa no tiene un CPO, si el equipo de Privacidad está completamente asignado a otras prioridades estratégicas, o si el negocio nunca ha hecho una evaluación previamente, es mejor traer a un consultor externo.

Para estos trabajos es mejor continuar contactandolos cada año hasta alcanzar el nivel de madurez objetivo, para luego hacer la transición al equipo de privacidad interno y mantener el impulso.

Evaluación de madurez de privacidad

¿Qué nivel de madurez es suficientemente bueno?

El momento vital de cualquier evaluación de madurez es el informe que se envía al responsable de Privacidad y su equipo. Esto significa una oportunidad para establecer la dirección de la privacidad en la empresa durante los siguientes meses, y obtener el compromiso de toda la organización. Sin embargo, hay que tener mucho cuidado, la evaluación puede generar un gran impulso o debilitar el programa de Privacidad.

Los resultados de los estudios deberán interpretarse de la siguiente manera:

  • Nivel 1: Esta puntuación significa que no se tiene un programa de Privacidad. Probablemente, la empresa, no sobreviviría sin multas a una revisión del regulador y probablemente esté incumpliendo contratos. Si la empresa no tiene un líder de privacidad totalmente dedicado, es necesario tener uno. Si se tiene uno que lleva en sus funciones menos de un año, se debe dar un impulso al presupuesto y revisiones regulares para mostrar el progreso. Si se ha tenido uno durante más de un año, es hora de buscar uno nuevo.
  • Nivel 2: Esta fue la puntuación más común antes de GDPR. Significa que tiene un programa de privacidad, pero probablemente no está listo para escalar con los planes de crecimiento y no esté listo para una revisión del regulador. Puede que tenga el líder de privacidad que necesita, pero requiere más personal, más presupuesto y, sobre todo, compromiso del negocio.
  • Nivel 3: Esto significa que se tiene un programa de privacidad defendible y probablemente se tenga un líder de privacidad de primer nivel. Si los reguladores llegan a su puerta, es trascendental contar con políticas, procedimientos, manuales e información para entregarlos. Este nivel ha sido suficientemente bueno en el pasado, pero para las empresas B2C,  en particular, no será suficiente para sortear la próxima ola de auditorías, revisiones o evaluaciones constantes de privacidad habilitadas por la tecnología. Probablemente se requiere realizar importantes inversiones en tecnología para automatizar el programa de privacidad.
  • Nivel 4: Enhorabuena, la privacidad no está en la lista de preocupaciones principales. Es adecuado para lo requerido por las leyes de privacidad, a menos que la empresa se encuentre en el grupo de empresas que están bajo el mayor escrutinio mundial por parte de los consumidores y las partes interesadas en la aplicación de estas. Se debe ampliar la responsabilidad del líder de privacidad para incluir la ética de los datos, la gobernanza de los mismos y la agenda de confianza en la información de forma más amplia, porque este líder ha demostrado que puede lograrlo.
  • Nivel 5: Como director ejecutivo, incluso de aquellas empresas inspeccionadas bajo el microscopio global, es casi imposible ver un informe con esta puntuación. Esto se debe a que el programa de privacidad es tan eficaz que se ha distribuido y delegado en toda la empresa, y se están realizando pruebas y remediaciones más profundas en áreas específicas de cambio empresarial.

Aprovechar al máximo a los asesores

El equipo ejecutivo necesita más que una puntuación o una nueva lista de problemas. Necesitan un conjunto de recomendaciones prácticas que tengan el tamaño adecuado para permitir su estrategia empresarial. Sin embargo, uno de los desafíos más comunes de los equipos de evaluación de la privacidad es obtener suficiente acceso con el equipo de liderazgo ejecutivo para incorporar la estrategia. Dado que gran parte de la agenda depende del uso eficaz de los datos y la tecnología, los líderes no pueden darse el lujo de perder esa oportunidad anual de opinar.

Reportando a la Junta

Los comités de auditoría y políticas públicas preguntan cada vez más a sus equipos de gestión sobre su preparación para cumplir con leyes como GDPRCPRALGPD o LFPDPPP

Algunos están planteando preguntas aún más amplias. Por ejemplo,  estos cinco cuestionamientos siguen vigentes a la fecha.  

¿El informe de madurez de la privacidad es el vehículo adecuado para responder a estas solicitudes a nivel de Junta Directiva sobre la privacidad de los datos?

Para la mayoría de los directores ejecutivos, la respuesta será sí, y algo más. El informe de madurez de la privacidad es un componente necesario en una explicación más amplia de cómo la estrategia de privacidad y ética de datos habilita la estrategia comercial. A medida que las huellas de privacidad empresarial se expanden en todo el mundo en 2021, esta se convertirá en una pregunta más común que terminará en la puerta del CEO.

Originalmente publicado en LinkedIn

 

{{filterContent.facetedTitle}}

Ponte en contacto

Juan Carlos Carrillo

Juan Carlos Carrillo

Director de Ciberseguridad y Privacidad de Datos, PwC México

Teléfono +52 55 5263 6000

Síguenos: