Tener que implantar protección de datos en una empresa suele ser resultado de una sanción. Es decir, hasta que no se le ven las orejas al lobo, nadie tiene en cuenta que esta legislación existe. Y esto ocurre hasta en las mejores casas, en las empresas más grandes.
En una conversación que he tenido hoy he defendido una breve historia y evolución de la protección de datos en las empresas, dividida en tres fases:
Primera fase: los mínimos
La ley se implanta como mal menor que hay que soportar, o como resultado del miedo a la sanción. Se considera esta acción como un gasto en la cuenta de resultados. Normalmente se pone en funcionamiento contratando a una empresa o despacho externos que poco o nada conocen sobre el negocio que se gestiona. Los departamentos implicados son el legal, si es que existe, y el dedicado a la informática.
Segunda fase: la integración
Se comienza a incluir la integración del sistema legal de protección de datos en el sistema de calidad o de gestión de seguridad de la información de sus clientes. Los datos personales, o las bases de datos, comienzan a verse como un activo que hay que proteger. Las empresas más avanzadas hoy día se encuentran en esta fase.
Tercera fase: el dominio
Se domina la legislación de protección de datos, y esto se aprovecha para el negocio. Además de la integración del sistema legal en los procesos de calidad y de tener un sistema de gestión de la seguridad de la información, quedan integrados en el sistema departamentos o direcciones como Producción, Marketing, Distribución, etc. Se tienen en cuenta las decisiones a medio y largo plazo de la estrategia empresarial en el diseño del sistema. Es el comienzo de una “ingeniería de datos personales”, similar a la ingeniería financiera, y las empresas comienzan a valorarse por su gestión en este campo, pues este tiene su reflejo económico. No existe ninguna empresa que haya llegado a semejante desarrollo.
Quizá sea una visión demasiado futurista. Pero estoy convencido de que el activo principal que posee una empresa de la Sociedad de la Información son los ficheros que contienen datos personales. ¿A quién vender el producto?, ¿a quién prestar servicios?, ¿cuánto conozco a mis clientes o prospectos (perfiles)?
Y este activo tiene una regulación que cada vez es más profusa y que hay que comenzar a dominar. Las empresas que intenten alcanzar cuanto antes la tercera fase serán las que estén mejor valoradas y conseguirán mejores resultados.