Uno de los mayores retos que toda ley de protección de datos busca regular es la transferencia de datos a terceros y las transferencias internacionales. Proteger la privacidad de la información de los consumidores en su relación con las empresas que le proporcionan servicios es algo vital.
Las reacciones que se están viviendo actualmente en el mundo empresarial mexicano ante la entrada en vigor de la Ley Federal de Protección de Datos (LFPD)son ciertamente similares a las que pudimos observar con su equivalente español, la Ley Orgánica de Protección de Datos (LOPD).
En primer lugar una fase de “negación interna” durante la que muchas empresas presentaron un doble discurso: uno externo reconociendo la importancia de la ley, y uno interno en el que, en la práctica, nada se hacía al respecto. Y posteriormente, en cuanto empezaron a llegar las primeras sanciones, las prisas por hacer en un mes lo que no se había hecho en los meses anteriores.
La nueva regulación de protección de datos obliga a que todas las empresas revisen sus políticas, procesos y aplicaciones de relación con clientes para evitar sanciones, afectando directamente a soluciones de Administración de Relaciones con Clientes (CRM).
El CRM (de cualquier tipo y tamaño de empresa) se nutre de información, de clientes, productos y relaciones que tienen con la compañía. Por lo que se tienen que considerar los siguientes puntos como clave para la alineación de procesos con la LFPD:
• Auditoría interna de los procesos del CRM y su relación con el resto de sistemas.
• Desarrollo de un plan de trabajo para la redefinición de procesos (tiempos, alcances e inversión)
• Creación, Registro y Mantenimiento del nivel de privacidad de cada cliente
• Inclusión de un proceso de actualización masiva de datos existentes con las variables de la LFPD
• Encriptación de datos
• Integración de Data scrambling
La redefinición de procesos que será necesaria para poder dar cobertura a este requerimiento deberá hacerse a detalle, y no simplemente a nivel estético/visual. Se debe revisar desde el nivel de atención telefónica, hasta el proceso de actualización masiva de las bases de datos para registrar el nivel de privacidad del cliente, pasando por la emisión y envío de cartas solicitando/registrando el grado de privacidad deseado.
También se debe incluir un proceso de eliminación de información, siendo este un mecanismo de enmascaramiento (data scrambling) de la información sobre los datos del cliente, en el caso de que el cliente decida darse de baja del servicio y pida desaparecer del sistema. Eso no significa que se le deba borrar físicamente, ya que como tal se debe tener la trazabilidad de los servicios contratados, pero sÍ es cierto que la información sensible debe ser encriptada, de manera que no sea legible por nadie y así poder respetar los deseos de privacidad del cliente.
¿Con esto quedaría cubierta la totalidad del requerimiento y las empresas podrán respirar tranquilas? La respuesta es no. Existe una parte que a menudo tiende a ignorarse por tener el foco sobre la actualización de los sistemas y que es casi tan importante como ésta: la gestión del cambio. Las empresas deben concienciar a toda la estructura interna de la importancia de la correcta operación de la ley.
Es crítico llevar un registro de cada una de las operaciones que pida el cliente en el CRM, para prevenir problemas. Tener la información histórica ayudará a tener trazabilidad sobre todo lo que haya ocurrido en la relación con el cliente.
En conclusión, la llegada de la LFPD va a obligar a las empresas a revisar los procesos que tienen dentro de sus CRM y dentro de la propia compañía para asegurarse que esté interiorizado lo importante que es cumplir con ella, que de entrada puede parecer molesta pero que en retrospectiva es algo que debió haberse implantado hace ya tiempo, para poder proteger los intangibles de los clientes (que no es otra cosa que su información personal).
– Enrique José Martín Rodríguez-Cadarso, Gerente de Tecnología de everis LATAM