No parece que las medidas tomadas por las empresas para adaptarse a la crisis del COVID-19 vayan a ser temporales, y esto conlleva una serie de consecuencias para las operaciones de tratamiento de datos.
En este artículo he recogido algunas opiniones clave de algunos expertos de varias industrias y las he puesto en común con mi propia experiencia y la del equipo de Delegados de Protección de Datos (DPO) de Aphaia.
Más oportunidades significa más datos
Ha quedado claro que la falta de oportunidades “offline” ha creado un gran número de oportunidades online en aquellas industrias que no dependen necesariamente del contacto físico con el cliente o de una prestación presencial. Lo describe bien Susana Cárdenas, fundadora del galardón Cárdenas Chocolate: «Es increíble como la situación actual ha cambiado nuestro negocio. Por ejemplo, los hoteles y restaurants están cerrados y las ventas están suspendidas. Sin embargo, aquellos clientes que venden online han agotado nuestro chocolate porque la gente lo ha pedido como regalo para sus seres queridos durante la cuarentena”.
Un cambio aún más notable puede observarse en el mercado del arte. Conforme a Arianna Perini, una profesional de gestión del arte “Las casas de subastas sólo han tenido ventas online desde hace tres meses, y la mayoría de galerías globales han abierto salas online de visita para permitir a los clientes “ver” y comprar sus obras de arte. Un buen ejemplo lo encontramos en Gagosian and Zwirner”. Ms Perini destaca también que muchas startups se han aprovechado de esta situación con sus ideas para digitalizar y democratizar el mercado del arte, como Vortic, lanzado por Victor Miro en Londres. Aunque la posibilidad de vivir el arte físicamente es atemporal, ella prevé un giro permanente hacia el plano online incluso después de que la situación haya vuelto a la normalidad.
Mientras que tales acontecimientos pueden significar para vendedores experimentados un aumento no sólo en los beneficios sino también en los datos de consumidores, aquellos otros que acaban de descubrir la venta online pueden encontrarse con la guardia baja en lo que se refiere a los requisitos para el tratamiento legítimo de datos. Y en este contexto, algunos negocios han dejado a un lado incluso las condiciones básicas de cumplimiento como el principio de transparencia del tratamiento de sus datos, pero también hemos visto otros que temen que cualquier cosa que hagan con los datos pueda ser ilegal, por ejemplo la falsa creencia de que cualquier actividad que incluya datos personales de sus clientes está condicionada al consentimiento de los mismos.
Transformar tu negocio online no debería tomarse a la ligera
Así, si bien mover tu negocio al plano online es ahora mucho más fácil de lo que era hace unos años, parece que hay una gran diferencia entre aquellas empresas cuyo ADN ya incluía actividad online antes de la pandemia del COVID-19, y los que no. Este ADN normalmente tiene poco que ver con el hecho de que las compañías vendan bienes físicos o tengan que prestar servicios en persona.
Aphaia lanzó en 2017 nuestro producto de subcontratación de DPO, que se basa principalmente en interacción colaborativa con el cliente en Trello. Por aquel entonces, la industria de la privacidad aún se desarrollaba sobre el enfoque de consultores invirtiendo largas horas en las instalaciones de los clientes, un modelo de negocio que es insostenible para startups tecnológicas, que están ahora obligadas por el RGPD a designar a un DPO. Sin embargo, si el mercado ha permitido que este tipo de modelos de negocio heredados sobreviviesen, el COVID-19 le ha puesto fin. Si tu negocio puede operar online, debe operar online.
Conforme a Olga V. Mack, CEO de Parley Pro, una colaborativa e intuitiva plataforma de contratos, la migración de los servicios legales hacia el teletrabajo puede enfrentarse a lo que a primera vista resultan ser retos básicos: los trabajadores con portátiles y buen acceso a internet y un buen plan anti catástrofes para la compañía. También se podría añadir el uso de servicios en la nube seguros que permitan la cesión de datos con encriptado de extremo a extremo y que cumplan con los términos del Artículo 28 RGPD.
Consecuencias indeseadas para el aumento de los negocios online
Desafortunadamente, nuevas oportunidades para negocios legales también significan nuevas oportunidades para negocios ilegales cuyo objetivo sean los datos y pertenencias de la gente. Y sus efectos han sido más tangibles de lo que uno podría pensar. Conforme a Pamela Mcloughlin, Head of Digital Money & New Ventures en Hello Soda, la pandemia del COVID-19 ha generado un pico en el tráfico del e-commerce, pero un aumento del mismo viene unido a un incremento en el fraude: «Esto no es ni siquiera específico de una industria; hemos detectado que muchos de nuestros clientes han vivido un aumento en el fraude. Nosotros, como prestadores de servicios KYC, prevención del blanqueo de capitales y verificación de identidad, hemos tenido que dar respuesta y gestionar un influjo de negocios que necesitan integrar herramientas antiblanqueo de manera urgente y también automatizar sus procesos de verificación de identidad, lo cual antes se hacía de forma manual”.
Huelga decir que aquellas empresas que traten datos financieros y otras categorías especiales, como datos de salud principalmente, necesitan asegurarse de que sus canales de comunicación y medios de almacenamiento son seguros para prevenir cualquier potencial brecha de seguridad.
Nuestros consejos para gestionar bien la protección de datos después del COVID-19
Mientras que las consecuencias de privacidad del COVID-19 pueden variar de un negocio a otro, hay algunos mensajes universales que pueden aplicarse:
- Si anteriormente habías realizado venta de bienes o servicios online sólo de vez en cuando pero ahora lo haces de manera regular, deberías revisar tu política de privacidad- o elaborar una si no la tienes todavía. Podría sorprenderte la cantidad de clientes que realmente se lee esos documentos y presentan quejas a las autoridades de control si no les gusta lo que ven;
- Revisa tus canales de comunicación y asegúrate de que las principales transacciones de información están encriptadas de manera adecuada;
- Revisa tu lista de encargados y sub-encargados que utilizas para almacenar en la nube, analizar o enviar información de tus consumidores o empleados. Todos ellos deben contar con los términos del artículo 28 RGPD para sus servicios. Sin excusas, sin excepciones;
- Si tus empleados están usando sus propios dispositivos (BYOD) para trabajar desde casa, asegúrate de que tienen instalada la debida protección anti-malware;
- Lista las obligaciones y procedimientos para proteger los datos personales de tus empleados en una política de protección de datos interna;
- Asegúrate de que estás listo para afrontar una potencial brecha de seguridad, la cual debería ser notificada a la autoridad de control tras 72 después del descubrimiento.