La privacidad: una preocupación creciente en el ámbito empresarial
Autor: Rubén Ríos, NICS Lab, Universidad de Málaga
Desde la entrada en vigor de la Regulación General de Protección de Datos (RGPD) de la Unión Europea en Mayo de 2018, muchas empresas se han visto en la necesidad de invertir en recursos y procesos para cumplir con las exigencias de privacidad impuestas por ésta, y evitar así las potenciales multas y sanciones, que podrían alcanzar los 20 millones de euros o el 4% de los beneficios globales de la empresa.
Recientemente, la multinacional de las comunicaciones Cisco ha publicado, dentro de su serie de estudios de ciberseguridad, un estudio anual conocido como “Data Privacy Benchmark” en el que trata de dilucidar cómo es el estado actual de la privacidad en el ámbito empresarial a nivel internacional. Este estudio es el resultado del análisis de una encuesta realizada a más de 4.700 profesionales de un total de 26 países en América, Europa, Asia y Oceanía, entre los que se encuentra España. La mayor parte de los profesionales encuestados, en torno al 50%, trabajan en empresas del ámbito TIC con más de mil empleados, aunque también se incluyen empresas de otros sectores y menor tamaño, a partir de 50 empleados.
El estudio se divide en cuatro partes. La primera parte se centra en entender la importancia que tiene la privacidad para la empresa y el impacto que tiene el gasto en medidas para la protección de datos. En este sentido, el 95% de los encuestados aseguran que la privacidad es un aspecto fundamental de su negocio, no sólo porque permite cumplir con las regulaciones existentes, principalmente porque genera valor a su negocio y confianza en sus clientes. Así pues, no es de extrañar que las inversiones en privacidad hayan aumentado considerablemente desde 2018 y que, a pesar de las dificultades económicas a nivel global del último año, la inversión se haya mantenido e incluso aumentado entre las empresas de menor tamaño encuestadas. De hecho, el retorno de inversión en este ámbito no es nada desdeñable y se encuentra en promedio en 1.8 veces lo invertido y llega a multiplicarse por cinco en algunos casos.
La segunda parte del estudio se dedica a analizar la integración de la privacidad entre las responsabilidades y roles de la empresa. El 95% de los encuestados afirmaron que la protección de la privacidad no es una tarea exclusiva del personal técnico, sino que es responsabilidad de todos los empleados. De hecho, cada vez más empresas, el 98% de las encuestados, utilizan alguna métrica de privacidad para informar a sus Juntas Directivas. Entre las métricas más utilizadas se encuentra el haber sufrido filtraciones de datos, el número de evaluaciones de riesgos en la protección de datos. En este ámbito también se incluye un análisis sobre el impacto que ha tenido la presencia de legislación relativa a la privacidad. Curiosamente, el 79% de los encuestados asegura que estas leyes han tenido un impacto positivo a pesar del esfuerzo y coste que supone ajustarse a lo establecido en ellas. Concretamente, en España, esta cifra asciende hasta el 84%, y sólo un 3% responde que el impacto de la ley ha sido negativo.
En la tercera parte del estudio, Cisco tiene como objetivo conocer si existe una alineación entre la visión de las empresas y de sus clientes, para lo cual utilizan otro estudio de Cisco, el Consumer Privacy Survey. Según los resultados, existe cierta discrepancia entre las empresas y sus clientes. Por un lado, las empresas consideran que el factor más importante (30% de las respuestas) para que sus clientes confíen en ellos en lo que a protección de datos se refiere, es cumplir con la legislación, mientras que lo que los clientes necesitan (39% de las respuestas) es transparencia en cómo se tratan sus datos. Esto está alineado con el temor que existe entre los clientes (60%) respecto al uso de la inteligencia artificial (IA). De hecho, la mayoría de los clientes (76%) considera que estaría más cómodos si las empresas les ofreciera la posibilidad de no participar en aquellas soluciones que usen IA. Sin embargo, aunque parece que la mayor parte de las empresas encuestadas (92%) es consciente de que necesitan trabajar en la confianza de sus clientes sobre el uso de la IA, sólo el 21% de los encuestados ofrece a sus clientes la posibilidad de no participar.
En la última parte del estudio, se analiza el problema de la localización de los datos, es decir, cómo afecta a empresas y clientes el mantener los datos en un país o región frente a mantenerlos alojados en un proveedor global. En este caso, la mayoría de las empresas (88%) consideran que los datos estarían mejor protegidos en local pero aún más (90% en promedio, 93% en España) prefieren que sus datos sean gestionados por un proveedor global. Por tanto, la solución ideal sería que un operador global pudiera gestionar sus datos dentro de su país o región.
Así pues, los resultados y conclusiones más relevantes de este estudio son:
- La mayoría de las empresas encuestadas ve fundamental invertir en privacidad para crear confianza en sus usuarios, lo cual, en la mayoría de casos, supone un importante retorno de inversión.
- La protección de la privacidad es responsabilidad de todos los empleados de la empresa y cada vez más empresas emplean alguna métrica privacidad para evaluar sus objetivos en cuanto a protección de datos.
- No existe una alineación entre las prioridades de los clientes y las medidas utilizadas por las empresas. Los usuarios demandan transparencia y la posibilidad de no participar de determinadas soluciones, sobre todo aquellas que utilizan inteligencia artificial.
- Las empresas preferirían mantener sus datos en local, pero los costes asociados y la posible degradación de la funcionalidad, seguridad y privacidad les hace optar por proveedores globales.
A pesar de los esperanzadores resultados de este estudio que evidencian la preocupación e inversión de las empresas en privacidad, tanto a nivel global como en España, aún queda un largo camino por recorrer. Si los usuarios demandan transparencia y la posibilidad de no participar con sus datos en determinadas aplicaciones es, en gran medida, por desconocimiento y desconfianza en el uso que se hacen de sus datos. En la actualidad existen tecnologías avanzadas de privacidad que permitirían cubrir estas expectativas de los clientes, como el cifrado homomórfico, el aprendizaje federado o los contratos inteligentes, pero en la mayoría de los casos el coste de aplicar tales tecnologías es muy elevado. Por otro lado, existen soluciones sencillas que podrían ser fácilmente integradas, como dar a los clientes la posibilidad de no participar con sus datos de determinadas aplicaciones, pero este tipo de prácticas está en contra del modelo de negocio de muchas empresas que giran en torno al procesamiento de los datos de usuario.