No voy a repetirles esa frase que ustedes habrán escuchado o leído en infinidad de ocasiones en estos, casi ya, dos años. Dice así: «La pandemia ha acelerado, ha impulsado, ha dado el empujón definitivo a, (pongan aquí otra expresión similar) la transformación digital de las empresas».
Quien escribe esto, viene estudiando de largo la adopción de las TIC en todo tipo de negocios y corporaciones, y llega a la conclusión de que la transformación digital era (antes de la pandemia), es (durante la pandemia) y será (una vez superemos la pandemia) un fenómeno inexorable. En cualquier tipo de circunstancia y de contexto.
Voy a ser directo: no había alternativa.
Una vez que una tecnología (pongamos que hablo de internet y de los dispositivos y aplicaciones conectados en red) se universaliza de forma tan global y absoluta, hasta el punto de infiltrarse en las instituciones públicas, en las organizaciones y en los hogares de todo el mundo, ya no hay vuelta de hoja.
Un dato: ¿saben que ya hay más dispositivos conectados a internet que habitantes en el planeta?
Aquella empresa o negocio que no quiera dejar de ser competitiva, que no desee arruinar todas sus opciones de conectar con esos hogares (potenciales clientes), con esas administraciones públicas (licitaciones) o incluso con otras empresas ya plenamente digitales (negocios B2B), deberá jugar a ese juego llamado «transformación digital».
El camino hacia la industria 4.0 supone a cualquier operador del mercado hacer importantes inversiones de equipamiento para dotarse de tecnología, adiestrar al personal en competencias digitales para mitigar ineficiencias y, entre otras muchas cosas, prepararse para afrontar los nuevos riesgos que surgen del propio fenómeno tecnológico o del rodaje en el mundo digital.
Y de eso quería hablarles. De riesgos.
Porque hay una tipología de riesgos a los que, últimamente – y con razón-, se les da mucha visibilidad en prensa y otros medios, que son los ciber-riesgos, que en la mayoría de los casos habrá que prever y gestionar con la correspondiente Política de Ciberseguridad y otra serie de medidas (controles) para contrarrestar las acciones intencionadas de los ciberdelincuentes (impropiamente llamados «hackers») o de los «insiders» (persona que posee gran conocimiento de una empresa, generalmente porque trabaja o trabajó en ella, y que por su situación actual en relación a la empresa, busca cierta venganza).
Como les digo, estos ciber-riesgos o potenciales amenazas cibernéticas para la seguridad de nuestros sistemas de información, cada vez alumbran más literatura y es relativamente fácil hallar (p. ej en las webs del INCIBE, del Centro Criptológico Nacional, o de ENISA, la flamante Agencia de Ciberseguridad Europea) material didáctico suficiente para guiarse en estos aspectos y levantar las correspondientes defensas.
Mi intención es hablarles de otros riesgos que conllevan la tecnificación y la digitalización de nuestras empresas, y que impactan directa o indirectamente en los derechos y en las libertades más fundamentales de las personas a las que nos debemos: nuestros clientes, nuestros proveedores, nuestros usuarios, nuestros seguidores en redes sociales o, muy frecuentemente, las personas de nuestro equipo, es decir las personas trabajadoras o nuestros colaboradores cercanos.
Efectivamente, la incorporación de la tecnología a nuestros negocios se está realizando de forma tan apresurada y poco selectiva (guiada a veces por meros criterios de coste y oportunidad), que no reparamos en las consecuencias que podría acarrear en diferentes ámbitos. En concreto en el ámbito de la privacidad.
Resulta que muchos de los avances tecnológicos que adoptamos en la empresa pueden estar recopilando datos sensibles, o datos no tan sensibles, pero en una cantidad que excede de lo necesario, o enviando esa información personal a terceros, sin que seamos siquiera conscientes de ello. Tampoco percibimos que ese tratamiento o esa cesión de datos-como digo, muchas veces oculto o ignorado por la empresa-pueda, y esto es lo realmente grave, ocasionar perjuicios irreparables para dichas personas.
¿Ejemplos de perjuicios personales? Desde sufrir discriminaciones grupales y exclusiones sociales, o ver menoscabada su libertad para informarse de manera plural, a perder un puesto de trabajo, o a ser rechazadas para la realización de una prueba de diagnóstico médico o para la concesión de un crédito, e incluso a ser víctimas de suplantación de personalidad, que muy frecuentemente conduce a estafas cada vez más sofisticadas y costosas.
Créanme, no lo vemos, no tenemos la sensación de que nuestra empresa pueda estar provocando o coadyuvando a dichos perjuicios, pero ese riesgo está ahí. Todos los días, a todas horas. Bajo el disfraz de la eficiencia, de la agilidad, o de la comodidad, incorporamos en nuestros procesos empresariales tecnología de diversa naturaleza que, en no pocas ocasiones, conlleva la recopilación de información personal de manera masiva, ininterrumpida e indiscriminada, de manera que la persona afectada pierde todo control sobre dicha información.
Ese software que hemos instalado para hacer el registro de horas o para control de teletrabajo; esa maquinita de huella dactilar o de reconocimiento facial; ese programa ERP sin el cual volveríamos a la Edad de Piedra; ese grupo de WhatsApp para hablar de cosas de la empresa; esa tablet corporativa que permitimos que el trabajador se lleve a su casa; ese asistente digital u otro aparatito de IOT (internet of things) que nos apaga las luminarias de la oficina o nos hace la vida más cómoda en la organización; ese proveedor que nos hace screening de solvencia de un cliente; ese dispositivo de geolocalización oculto en cada vehículo de nuestra flota; esos anuncios que pagamos a Facebook para hacer promoción de nuestro catálogo en las redes sociales; ese algoritmo fabuloso que ha contratado el departamento de RRHH para hacer selección de personal o para buscar perfiles idóneos… Todo esto, y mucho más.
Miren. La Agencia Española de Protección de Datos (AEPD) publicó el pasado mes de junio una nueva Guía para la Evaluación del riesgo que supone el tratamiento de datos personales en los derechos y libertades de las personas. De todo lo que dice ese documento tan largo y prolijo, les resumo tres cosas clave.
La primera. A la AEPD no le sirve la excusa de que el responsable del tratamiento (en todo esto que les llevo contado el responsable del tratamiento es nuestra empresa o el empresario autónomo…) no conozca las peculiaridades, características e implicaciones de las tecnologías utilizadas en toda la operativa del negocio. Si la empresa no es diligente en estudiar cómo impacta en las personas la tecnología que utiliza, es su problema. Por tanto, toca a la empresa rodearse de todos sus proveedores tecnológicos y emprender dicha gestión de riesgos. Puede que la tecnología que su empresa utilice sea conforme a los requisitos de privacidad. Está bien. Pero la evaluación, el proceso de análisis y gestión de riesgo, hay que hacerlo.
La segunda. Los riesgos de incumplimiento de la normativa de protección de datos no se mitigan con la contratación de un seguro. La empresa puede contratar un seguro que cubra los posibles daños provocados por una fuga de información, por una brecha de seguridad, etc, pero la empresa sigue obligada, en todo caso, a cumplir los requisitos normativos: es decir, a realizar una evaluación del impacto (o como mínimo un análisis de riesgos metódico) de la tecnología empresarial en los derechos y libertades de las personas.
La tercera. Hay que abordar la gestión del riesgo como un proceso transversal a toda la organización y conectarlo con el resto de los procesos existentes de cara a lograr un marco de gestión del riesgo global, integral, eficaz y eficiente que abarque a la organización en su conjunto y en todas sus dimensiones (riesgos financieros, riesgos ambientales y sociales, riesgos normativos, etc). Por supuesto, ese proceso de gestión del riesgo debe realizarse en el marco del principio de responsabilidad proactiva y accountability (documentar para demostrar que se cumple) que impone el Reglamento General de Protección de Datos (RGPD).
Y con esto último me quedo. Y es la reflexión que quería trasladarles.
Mucho más allá de las llamativas sanciones de la AEPD y de entender esta evaluación de impacto de la tecnología y otros tratamientos de datos en los derechos y libertades de nuestros clientes, de nuestros usuarios, de nuestros empleados, etc, como un mero requisito de compliance (cumplimiento normativo), deberíamos enfocar y considerar este proceso de gestión de riesgo como parte sustancial de la revisión de aspectos medioambientales, sociales y de gobierno corporativo (ESG o Environmental, Social & Governance). Que nuestra empresa, nuestro negocio se preocupe realmente de ese impacto, lo documente adecuadamente y ponga los controles que estén a su alcance (dependiendo del particular contexto de cada empresa).
Porque, ya lo decía el tío de Spiderman, un gran poder (la cada vez más invasiva tecnología) conlleva una gran responsabilidad (corporativa).
Palabras clave: transformación digital, industria 4.0, IOT, gestión de riesgos, responsabilidad corporativa ciberseguridad, privacidad, protección de datos, rgpd
Abogado y Delegado de Protección de Datos