La privacidad de la información sobrepasa la responsabilidad del departamento de TI. Toda la compañía debe colaborar y apoyar la protección de datos
Las cuestiones de privacidad que rodean a la recogida y utilización de datos de consumidores se ha revelado en los últimos meses como una de las áreas más importantes de litigio y de legislación para el mundo empresarial. “Si su empresa posee muchas bases de datos, la privacidad podría ser el próximo problema”, afirma Mary Culnan, una experta en privacidad de la Georgetown University.
Mientras los consumidores manifiestan su nerviosismo sobre quién posee sus datos y las asociaciones de consumidores analizan en qué medida vigilarán las empresas el cumplimiento de las normas de privacidad, crear normas y políticas sobre el asunto y verificar después que todos los Sistemas de Información cumplen con estas normas y las soportan, se ha convertido en una tarea crítica tanto para la Administración como para las empresas de Tecnologías de la Información para el año 2000.
Según John Warrington, asesor sobre consultoría y cuestiones legislativas para las actividades mundiales de consumidores de Citigroup, las compañías están siendo objeto ya de reclamaciones legales por no cumplir con las normas de privacidad anunciadas. Dada la importancia de lo que está en juego tanto desde el punto de vista legal como comercial, tanto los directivos como los consultores sobre privacidad coinciden en que ésta no puede dejarse únicamente en manos del departamento de TI. Por el contrario, la privacidad debe ser una iniciativa a nivel corporativo, puesta en marcha y apoyada desde los niveles ejecutivos, y utilizando información y apoyo procedentes de todos los niveles de la empresa.
En opinión de diversos consultores, la política para la privacidad de la información de una empresa pasa por el cumplimiento de la norma sobre “prácticas correctas de información”, indicando a los consumidores qué información recoge la compañía, cómo será utilizada y si deberá ser compartida y con quién. Las normas deberán ofrecer también a los consumidores la posibilidad de “optar por no compartir la información” y denegar el uso de sus datos personalmente identificables, ofreciéndoles también el derecho a revisar y corregir sus propios datos. El soporte de estas normas por parte del departamento TI puede resultar difícil. Si un consumidor opta por no compartir sus datos, no podrá venderse o compartirse ninguna información sobre ese consumidor. Además, habría que actualizar todas las aplicaciones con el fin de reflejar la decisión adoptada por ese consumidor.
Las cláusulas de consentimiento en las que los consumidores dan su consentimiento expreso respecto a cómo podrán ser utilizados sus datos podrían extenderse en el futuro. En ese caso, cada aplicación que utilice datos personalmente identificables deberá ser modificada de forma que pueda aceptar esas cláusulas. Una ampliación o upgrading de sistemas ya existentes añadiendo nuevos campos relativos a privacidad puede resultar difícil y laboriosa, y recomiendan que todas las nuevas aplicaciones se creen teniendo en cuenta posibles cuestiones de privacidad en el futuro.
También será necesario determinar en qué consisten los “datos personalmente identificables”. Por ejemplo, algunos expertos afirman que un nombre, dirección y número de teléfono son datos personalmente identificables. Sin embargo, esos datos están disponibles en muchos directorios y registros públicos. Cada empresa deberá analizar cada porción de información y decidir qué es confidencial y qué no lo es, protegiéndolo en la forma adecuada.
Instrucciones para un director de TI
En primer lugar, el director de TI deberá integrarse en el “bucle” o circuito de privacidad de la compañía, si existe uno, y urgir al presidente ejecutivo a crear una política de privacidad a nivel de toda la compañía, que abarque todos los procesos y procedimientos y no sólo las transacciones relativas al Web. También deberá recordar que el público, los legisladores y los reguladores están concentrando su atención en la privacidad. “Si las empresas no actúan más estrictamente, será el gobierno el que actuará con rigor”, señala John Rord, vicepresidente de privacidad y asuntos externos de la firma Equifax. También será necesario realizar una auditoría de los propios sistemas, determinando quién recoge datos de consumidores y con qué fin. Por ejemplo, )hay suficientes medidas de seguridad para proteger esos datos?
No hay que olvidar tampoco la necesidad de pedir a las empresas con las que se trabaja bajo contrato que cumplan con los propios requerimientos en cuanto a privacidad, así como añadir parámetros sobre privacidad al propio proceso de aprobación de proyectos TI.
Lo que parece claro es que cualquier cosa que se haga respecto a la privacidad, deberá hacerse ahora. Si no revertirá en una crisis y consumirá grandes cantidades del presupuesto. Tampoco hay que perder la oportunidad de ejercer influencia sobre la política y la tecnología de privacidad de la compañía, antes de que se imponga desde fuera.
Factores críticos de éxito
------------------------------------
• Mostrarse decidido y activo con el equipo responsable de establecer la política de privacidad de la compañía.
• Realizar una auditoría de todos los sistemas de datos. Por ejemplo, ¿qué datos se recogen y con qué fin? ¿Cómo son protegidos?
• Establecer prácticas de privacidad, tales como reglas de acceso a la información, en las políticas, procedimientos y sistemas de TI.
Mientras los consumidores manifiestan su nerviosismo sobre quién posee sus datos y las asociaciones de consumidores analizan en qué medida vigilarán las empresas el cumplimiento de las normas de privacidad, crear normas y políticas sobre el asunto y verificar después que todos los Sistemas de Información cumplen con estas normas y las soportan, se ha convertido en una tarea crítica tanto para la Administración como para las empresas de Tecnologías de la Información para el año 2000.
Según John Warrington, asesor sobre consultoría y cuestiones legislativas para las actividades mundiales de consumidores de Citigroup, las compañías están siendo objeto ya de reclamaciones legales por no cumplir con las normas de privacidad anunciadas. Dada la importancia de lo que está en juego tanto desde el punto de vista legal como comercial, tanto los directivos como los consultores sobre privacidad coinciden en que ésta no puede dejarse únicamente en manos del departamento de TI. Por el contrario, la privacidad debe ser una iniciativa a nivel corporativo, puesta en marcha y apoyada desde los niveles ejecutivos, y utilizando información y apoyo procedentes de todos los niveles de la empresa.
En opinión de diversos consultores, la política para la privacidad de la información de una empresa pasa por el cumplimiento de la norma sobre “prácticas correctas de información”, indicando a los consumidores qué información recoge la compañía, cómo será utilizada y si deberá ser compartida y con quién. Las normas deberán ofrecer también a los consumidores la posibilidad de “optar por no compartir la información” y denegar el uso de sus datos personalmente identificables, ofreciéndoles también el derecho a revisar y corregir sus propios datos. El soporte de estas normas por parte del departamento TI puede resultar difícil. Si un consumidor opta por no compartir sus datos, no podrá venderse o compartirse ninguna información sobre ese consumidor. Además, habría que actualizar todas las aplicaciones con el fin de reflejar la decisión adoptada por ese consumidor.
Las cláusulas de consentimiento en las que los consumidores dan su consentimiento expreso respecto a cómo podrán ser utilizados sus datos podrían extenderse en el futuro. En ese caso, cada aplicación que utilice datos personalmente identificables deberá ser modificada de forma que pueda aceptar esas cláusulas. Una ampliación o upgrading de sistemas ya existentes añadiendo nuevos campos relativos a privacidad puede resultar difícil y laboriosa, y recomiendan que todas las nuevas aplicaciones se creen teniendo en cuenta posibles cuestiones de privacidad en el futuro.
También será necesario determinar en qué consisten los “datos personalmente identificables”. Por ejemplo, algunos expertos afirman que un nombre, dirección y número de teléfono son datos personalmente identificables. Sin embargo, esos datos están disponibles en muchos directorios y registros públicos. Cada empresa deberá analizar cada porción de información y decidir qué es confidencial y qué no lo es, protegiéndolo en la forma adecuada.
Instrucciones para un director de TI
En primer lugar, el director de TI deberá integrarse en el “bucle” o circuito de privacidad de la compañía, si existe uno, y urgir al presidente ejecutivo a crear una política de privacidad a nivel de toda la compañía, que abarque todos los procesos y procedimientos y no sólo las transacciones relativas al Web. También deberá recordar que el público, los legisladores y los reguladores están concentrando su atención en la privacidad. “Si las empresas no actúan más estrictamente, será el gobierno el que actuará con rigor”, señala John Rord, vicepresidente de privacidad y asuntos externos de la firma Equifax. También será necesario realizar una auditoría de los propios sistemas, determinando quién recoge datos de consumidores y con qué fin. Por ejemplo, )hay suficientes medidas de seguridad para proteger esos datos?
No hay que olvidar tampoco la necesidad de pedir a las empresas con las que se trabaja bajo contrato que cumplan con los propios requerimientos en cuanto a privacidad, así como añadir parámetros sobre privacidad al propio proceso de aprobación de proyectos TI.
Lo que parece claro es que cualquier cosa que se haga respecto a la privacidad, deberá hacerse ahora. Si no revertirá en una crisis y consumirá grandes cantidades del presupuesto. Tampoco hay que perder la oportunidad de ejercer influencia sobre la política y la tecnología de privacidad de la compañía, antes de que se imponga desde fuera.
Factores críticos de éxito
------------------------------------
• Mostrarse decidido y activo con el equipo responsable de establecer la política de privacidad de la compañía.
• Realizar una auditoría de todos los sistemas de datos. Por ejemplo, ¿qué datos se recogen y con qué fin? ¿Cómo son protegidos?
• Establecer prácticas de privacidad, tales como reglas de acceso a la información, en las políticas, procedimientos y sistemas de TI.
