Gestión Empresarial de Riesgos Potenciales de Privacidad. Jonathan Avila Vice President, Chief Privacy Officer Wal-Mart Stores, Inc.

Transcripción

1 Gestión Empresarial de Riesgos Potenciales de Privacidad Jonathan Avila Vice President, Chief Privacy Officer Wal-Mart Stores, Inc.

2 Valor agregado de un programa de Privacidad El uso responsable de datos personales es un atributo esencial de responsabilidad corporativa Elemento intrínseco que genera confianza con clientes, empleados y proveedores; Elemento esencial en la reputación de las empresas, especialmente para aquellas organizaciones que aspiran tener un liderazgo en la industria tecnológica. 2

3 Principios de un Programa de Privacidad El uso responsable de la información no significa la ausencia de uso de datos personales. El uso responsable de datos personales facilita tecnologías que los individuos desean y buscan, y puede enriquecer significativamente la prestación de bienes y servicios. Asegurar prácticas responsables en el tratamiento de la información requiere el compromiso organizacional para la administración continua de riesgos potenciales de privacidad; Elementos de un programa de privacidad: Identificación de riesgos Recursos Estructuras Procesos Herramientas 3

4 Identificación de Riesgos Potenciales de Privacidad La evaluación de riesgos comienza con la identificación de daños potenciales a individuos Daño potencial a la dignidad y reputación Ejemplo: Vigilancia intrusiva que invada una zona de privacidad Daño potencial a intereses financieros de individuos Ejemplo: Robo de identidad derivado de medidas de seguridad deficientes Riesgos Organizacionales Reputación Consecuencias Legales 4

5 Cultura Organizacional El rápido avance tecnológico es la antesala para la construcción de controles legales apropiados El uso responsable de datos personales requiere que los profesionales en privacidad no basen sus recomendaciones únicamente el cumplimiento de la ley. Los profesionales en privacidad deben guiar a sus organizaciones en la interpretación y aplicación de normas y expectativas culturales La aceptación organizacional de controles para mitigar riesgos de privacidad es mucho mayor cuando los valores individuales de privacidad pueden ligarse con valores corporativos fundamentales Ejemplo: Respeto por el individuo y Actuar con integridad 5

6 Inversión Organizacional Invertir en recursos y procesos es esencial para la misión de las empresas sobre el uso responsable de datos personales; Contar con personal suficiente, con suficientes recursos; Construir matrices para que los profesionales de privacidad estén asignados a aquellas áreas donde se genera y usa información personal Ejemplos: Sistemas, Mercadotecnia, RH, Desarrollo de Productos Involucramiento externo para compartir mejores prácticas y tener diversas perspectivas Ejemplos: Reguladores, Instituciones educativas, cámaras de la industria 6

7 Estructura Organizacional para detectar Riesgos Potenciales de Privacidad Involucramiento formal del equipo de privacidad en procesos de desarrollo de productos/sistemas Programas de privacidad a la medida vs. Programas de privacidad por casualidad ; Involucramiento del equipo de privacidad en revisión de procesos de seguridad de la información y utilización de sistemas computacionales ; Formación de comités internos que revisen temas como obtención, uso, y transferencia de datos. 7

8 Estructura Organizacional para Toma de Decisiones Para mantener el compromiso de las personas que ejecutan se requiere la habilidad de ofrecer asesorías oportunas y poder tomar decisiones rápidas; Delegar autoridad correctamente para la implementación de políticas, adopción de estrategias de cumplimiento y de evaluación de riesgos Contar con el compromiso de la alta gerencia en la implementación de políticas; Contar con comités y procedimientos para evaluación políticas Delegación de autoridad corporativa en otros asuntos (Ej. autoridad para obligar a la organización contractualmente) Objetivo: Toma de decisiones flexibles pero en forma responsable 8

9 Procesos Organizacionales Monitoreo: Proceso continuo para evaluación y control de riesgos Reto para monitorear prácticas de privacidad: Generalmente estos procesos no se pueden observar físicamente como en seguridad alimentaria o seguridad contra incendios. Auditoria: Foto de la eficacia del control de riesgos y mitigantes Las auditorias permiten revisar la eficacia de las prácticas implementadas Monitoreo/Auditoría Estatus de actividades que puedan crear riesgos potenciales de privacidad Estatus del programa de privacidad 9

10 Herramientas Organizacionales Contar con una Política para la clasificación de la información es un buen punto de inicio para evaluar riesgos relacionados con mal uso de la información; Contar con clasificaciones de la información simples y comprensibles: Altamente Sensible, Sensible, No Sensible; Contar con una Política de Privacidad que fije los estándares generales para que cada país/negocio pueda establecer sus estándares en base a sus propias necesidades Proporcione guía para desarrollar políticas más específicas ciertos países, o para el tratamiento puntual de temas como, obtención, uso, avisos de privacidad, consentimiento, transferencias, acceso, y otros derechos; Modelos de privacidad que sirvan para comparar prácticas en otros mercados, en otras empresas o divisiones para poder enfocar esfuerzos en las áreas que más lo requieran. 10

11 Jonathan D. Avila Vice President, Chief Privacy Officer Wal-Mart Stores, Inc. (479)