Cuando Bojana Bellamy exploró los distintos ámbitos en los que podría desempeñarse con su capacitación en el área legal, le pareció que los temas vinculados a la privacidad eran un nicho interesante, una especialidad prometedora. En aquel entonces, a mediados de los 90, la Unión Europea estudiaba cómo regular la manera en que las compañías manejaban la información sensible que adquirían en el curso de sus negocios. Se trataba de un momento en que se intensificaba la preocupación de los consumidores en torno al tema.
La incursión de Bellamy en el ámbito de la protección a la privacidad tuvo su recompensa. La invasión de la informática en casi todas las áreas de las compañías trajo consigo una floreciente profesión: ahora miles de profesionales se dedican a ayudar a las empresas a comprender las complejas regulaciones en torno al manejo de datos sensibles.
En estos momentos, Bellamy es directora de privacidad de datos en Accenture, el grupo de servicios profesionales. Ella supervisa a un equipo de seis personas, con otras 60 que desde adentro del estudio se aseguran que la información personal -ya sea de empleados, clientes o los consumidores de sus clientes- se maneje de manera apropiada.
El crecimiento de la profesión cambió su prestigio dentro de las organizaciones y surgió el puesto de CPO (Chief Privacy Officer), "El tema pasó a ser inevitable para las compañías", comentó Bellamy. "Estratégicamente, uno tiene que demostrar que se preocupa por ello."
En la Unión Europea, que se rige por algunas de las normas de privacidad más estrictas del mundo, ya están redactando una nueva legislación. Algunas personas están presionando para que todas las grandes compañías estén obligadas a contar con un responsable para el área de protección de la privacidad.
Las nuevas regulaciones abordarían temas complicados como si una compañía puede enviar al extranjero una base de datos de recursos humanos para su procesamiento. O si un socio de un joint venture debería tener acceso a la base de datos del departamento de marketing corporativo.
"La protección de datos se convirtió en un área de inmensa importancia para las empresas", señaló Christopher Kuner, socio del estudio jurídico Hunton y Williams. "Los datos son la materia prima para muchas compañías, al igual que el acero en épocas pasadas. Debe haber procedimientos que rijan el manejo de la información privada, tal como hay procedimientos para el manejo de productos químicos".
Eso no es válido sólo para las empresas que participan de desarrollos tecnológicos de avanzada -como la computación en nube- que abarcan temas de privacidad muy complejos, señaló Kuner. "Todas las compañías tienen una base de datos de Recursos Humanos, y la mayoría tiene listas de clientes, lo cual está estrictamente regulado".
Cómo evitar que la base de datos termine publicada en Internet, al estilo WikiLeaks, es uno de los temas que deben abordar estos ejecutivos encargados de velar por la privacidad.
Casi todas las grandes corporaciones ahora cuentan con el puesto de CPO, señaló Trevor Hughes, director de la Asociación Internacional de Profesionales de la Privacidad, una organización estadounidense que agrupa a 8.000 miembros de todo el mundo.
A medida que la tecnología avanza, va cambiando el paisaje legal en torno a ella. "Hay un increíble nivel de inestabilidad cuando se trata de regulación de datos en todo el mundo. Las normas constantemente sufren modificaciones en Europa, en Estados Unidos y cada vez más en los países en desarrollo, y las compañías deben mantenerse al tanto", agregó.
El desafío más común gira en torno a el registro de bases de datos que contienen información privada, lo cual es obligatorio en la mayoría de las jurisdicciones. Si la lista incluye entradas de diferentes países, podría requerir que la inscripción sea ante varias autoridades nacionales que aplican diferentes enfoques en cuanto a la privacidad.
Es aún más complicado cuando las empresas quieren enviar datos al extranjero, por ejemplo para realizar tareas administrativas como facturación o liquidación de salarios.
"En la Unión Europea, la ley exige "una adecuada protección," por lo que no se puede ignorar leyes de protección de datos cuando uno envía datos al extranjeros", señaló Gabriela Krader, experta en protección de datos corporativos en Deutsche Post DHL, el grupo de logística. "Es necesario demostrar que uno cuenta con un marco de protección para los datos".
Las compañías también pueden tener problemas propios de su sector. Muchas firmas de la industria tecnológica estudian cómo ofrecer servicios en determinados lugares por ejemplo a través de smartphones, sin violar la privacidad de sus clientes.
Los bancos y las compañías de seguro de salud manejan información particularmente sensible y sus clientes esperan que no se use para promociones. Otros, como las empresas de entrega a domicilio, acumulan gran cantidad de direcciones como subproducto de sus actividades.
"Todos tienen un desafío en cuanto a la privacidad aunque levemente distinto, pero todos enfrentan algún reto", comentó Hughes. Gran parte del trabajo diario del responsable de velar por la privacidad implica ayudar a que la organización sea conciente de las leyes de datos, aseguró Krader.
La principal tarea es la comunicación. Hay que transmitir lo que realmente indica la legislación", agregó. Por supuesto, que la principal función es evitar violaciones a la privacidad, aunque pueden ocurrir. Los sistemas deben funcionar para garantizar que un empleado junior no pueda descargar muchos archivos sensibles sin que sea interrogado, por ejemplo. O que la pérdida de la laptop de un empleado, que ocurre habitualmente en cualquier empresa, no derive en una crisis cuando se descubra que contiene una lista no encriptada de, digamos, detalles personales de los empleados.
La UE está analizando que por ley las compañías que pierden datos personales estén obligadas a notificar a quienes se vean afectados por la pérdida. La idea proviene de Estados Unidos, donde en los últimos años muchos estados han adoptado una legislación similar.
En 2007, una violación a la privacidad en TJX, el grupo de venta minorista estadounidense dueño de TK Maxx, tomó notoriedad justamente debido a que se aplicó ese sistema de notificación. Tuvo que pagar u$s 24 millones a los bancos, después de que fue obligado a revelar públicamente que habían sido robados de sus sistemas más de 45 millones de números de tarjetas de crédito y débito.
Al aumentar la visibilidad, y los costos financieros ligados a los errores que se cometen y que afectan la privacidad, las compañías intensifican sus esfuerzos para cumplir las normas.
Más allá de las amenazas legales y a la reputación vinculadas a la falta de protección de datos, los responsables del área sostienen que su labor también incluye mejorar la forma en que los datos se utilizan dentro de una organización. "Es una función tanto estratégica como preventiva", comentó Belamy.