En este episodio de McKinsey Podcast, el Socio de McKinsey Kayvaun Rowshankish y el Socio Asociado Alexis Trittipo conversan con Simon London acerca del recientemente implementado Reglamento General de Protección de Datos (RGPD) de la Unión Europea, sus implicancias, a quiénes está dirigido y de qué manera las organizaciones pueden manejar mejor la información personal.
Transcripción del podcast
Hola y bienvenidos a esta nueva edición de McKinsey Podcast con su anfitrión, Simon London. No importa a qué se dedique su empresa, les guste o no, la protección de datos también es parte de su negocio. Los datos que obtienen sobre consumidores, empleados, potenciales clientes e incluso visitantes a sus espacios físicos y páginas web están sujetos a regulaciones cada vez más intensas. El nuevo Reglamento General de Protección de Datos de la UE, conocido como RGPD, es parte de esta historia pero de ninguna manera la historia completa. Hoy discutiremos estos temas con dos consultores de McKinsey que colaboran con clientes precisamente en cuestiones relacionadas con datos, analítica, tecnología, privacidad y riesgo. Ellos son Kayvaun Rowshankish, Socio con base en la oficina de Nueva York, y Alexis Trittipo, Socio Asociado de la misma oficina. Kayvaun y Alexis, muchas gracias por esta visita.
Alexis Trittipo: Es un placer. Gracias por la invitación.
Kayvaun Rowshankish: Feliz de estar aquí.
Simon London: Parecería que la protección de datos ya es un elemento más de la gestión de una compañía. Los datos en general, y su protección como un área más específica. Definitivamente siento que si uno es gerente de una compañía, particularmente de marketing, ventas o tecnología, pero probablemente también de muchas otras áreas, es necesario que conozca bien sobre el tema.
Alexis Trittipo: Cada vez que analizamos una organización, de la industria que se trate, observamos que los datos personales invaden todos los niveles de la empresa. Ya no es un problema exclusivo del director de datos o de TI.
Es un tema diría que de RRHH. Y también de los representantes de servicio al cliente. Realmente alcanza a toda la organización en cuanto a quiénes manejan datos personales y quiénes tendrán que conocer todas estas nuevas regulaciones.
Kayvaun Rowshankish: Las organizaciones están avanzando en una dirección que las convierte en instituciones centradas en los datos. Tomemos como ejemplo a Amazon. Sin duda vende productos físicos, pero el 90 por ciento del manejo de su negocio gira en torno a los datos, tanto de los productos que comercializa como de los potenciales compradores. Esta situación se repite en la mayoría de los sectores en la actualidad. Otro aspecto que está creciendo en importancia y captando la atención de los ejecutivos es el hecho de que el alcance de los datos personales (DP) es ambiguo. Anteriormente considerábamos que incluía el nombre del cliente, su número de seguridad social o similar, y alguna que otra información de localización.
Pero ahora, debido al enorme volumen de datos sobre comportamiento que se capturan, y a las múltiples maneras de utilizar analítica avanzada para derivar información, este espacio se ha tornado mucho más complejo y difuso.
Simon London: Uno de los principales temas de conversación actualmente es el nuevo reglamento europeo para la protección de datos, conocido como RGPD, que entró en vigor a finales de mayo pasado. Sospecho que muchos gerentes recién se están dando cuenta de las implicancias de esta regulación para sus operaciones. Probablemente muchas instituciones todavía estén pugnando por ponerse en regla. Kayvaun, ¿podrías describirnos brevemente las principales características del RGPD?
Kayvaun Rowshankish: En pocas palabras, esta directiva tiene como objetivo proteger a los individuos. Y por “individuos” me refiero principalmente a los ciudadanos europeos. Pero ello no significa que las organizaciones localizadas fuera de Europa estén exentas de su cumplimiento. Los ciudadanos europeos viajan, mantienen relaciones con instituciones fuera de Europa, y estas últimas se relacionan a su vez con instituciones que manejan datos de ciudadanos europeos, lo que las coloca dentro del alcance de la norma. Las firmas afectadas constituyen un grupo muy amplio.
El propósito del reglamento es, nuevamente, forzar a estas instituciones a incorporar una estructura y disciplina en torno a los datos personales, su almacenamiento y uso, y otorga más poder a las personas para decidir si desean que una organización acceda a su información y, en su caso, cómo la debe administrar (ver recuadro “El RGPD: Aspectos clave”).
La norma obliga a las instituciones a minimizar el volumen de datos almacenado (y procesado), establece controles respecto de los DP que están autorizadas a recopilar, y determina una serie de procesos y medidas de gobierno que incluyen modelos de rendición de cuentas como designar un funcionario responsable y procesos para interactuar con reguladores e individuos en cuestiones relacionadas con el manejo de los datos o la respuesta a violaciones o eventos similares.
Por último, el reglamento implementa fuertes multas si no se obra de la manera prescripta. Puntualmente, se establece una multa de hasta el 4 por ciento de la facturación global. Y también otorga a los sujetos de datos la oportunidad de recurrir a la justicia civil ante una violación de su privacidad.
Alexis Trittipo: El RGPD es la primera regulación a gran escala realmente dirigida a proteger los derechos de los individuos relativos a la información personal. El control que pretende otorgar a los individuos sobre su información, como el derecho a exigir su eliminación o a conocer qué datos posee una compañía sobre la persona, no tiene precedentes. Se trata de un caso de prueba muy interesante para observar sus efectos concretos y la reacción de las organizaciones. Veremos con el paso del tiempo cómo evoluciona el escenario en Europa, y también globalmente.
Simon London: ¿Es correcto decir que más allá de que el RGPD solo aplique en Europa, posiblemente se convierta en la práctica en el estándar para las grandes organizaciones globales?
Alexis Trittipo: Es difícil hablar de un estándar global; lo que estamos viendo en este momento es que su implementación se está llevando a cabo principalmente para las operaciones europeas o cuando están involucrados clientes de ese continente.
Pero la mayoría de las organizaciones están pensando: “Si debemos implementar este nivel de controles, de protección, de procesos para la información personal en Europa, ¿cómo podremos hacer para extenderlos al resto de las geografías?” Y no creo que tengan una respuesta aún. Pero sin dudas éste será el más alto estándar global en términos de control y protección de la información personal.
Would you like to learn more about our Risk Practice?
Kayvaun Rowshankish: Hay mucho ruido alrededor de este tema y de si EEUU debería adoptar un estándar consistente o si las necesidades del mercado norteamericano son diferentes y requieren una regulación específica. Creo que lo mismo debe suceder en el resto de las regiones.
Prevemos que surgirán regulaciones similares para regiones no cubiertas por el RGPD y que apunten a abordar problemáticas similares. Si analizamos las leyes y su historia, en muchos casos donde Europa fue pionero, Estados Unidos optó por hacerlo luego de otra manera.
Pero si sucede lo mismo en este caso sin dudas habrá problemas de todo tipo, ya que las instituciones globales utilizan los mismos sistemas para administrar la información personal en Europa y en EEUU. Tener que aplicar estándares y controles diferentes solo causaría fragmentación, redundancia e ineficiencias, y potencialmente fugas y distracciones al tener que utilizar diferentes mecanismos para realizar el mismo proceso.
En mi opinión, lo ideal sería que hubiera cierta consistencia, y que el reglamento europeo se convierta en una especie de patrón al que las demás regiones adhieran en mayor o menor medida. Pero, como mencioné, los antecedentes me generan algunas dudas sobre la posibilidad de que esto suceda.
Simon London: Una de las cosas que leí acerca del RGPD es que se basa en una serie de principios (Gráfico). Algunos de estos principios son realmente amplios. Me preguntaba, ¿podrían darnos algunos ejemplos de lo que esto representa para las compañías?
Alexis Trittipo: Una norma basada en principios como el RGPD deja un amplio espacio librado a la interpretación. Los principios son bastante generales. Cada compañía tendrá que determinar individualmente la forma de interpretarlos, su alcance y sus implicancias para la organización. Y también veremos cómo responden los reguladores a ello.
Uno de los principios trata de las limitaciones al almacenamiento. Y dice básicamente: “No conserven los datos más que lo necesario para cumplir con el propósito informado al sujeto de datos”. Y el “sujeto de datos” puede ser un cliente, un empleado, es decir, una persona como ustedes o yo.
Esto se contrapone claramente a la manera en que las compañías manejan los datos en la actualidad. El razonamiento típico es: “Voy a recopilar información, conservarla por el tiempo que desee y emplearla en una gran variedad de análisis. Y no pienso, a menos que la ley me obligue a hacerlo, borrar esos datos. Simplemente los mantendré en una base de datos central, o quizás en varias bases de datos”.
Las compañías tendrán que hacer un seguimiento efectivo del tiempo que almacenan los datos y diseñar un proceso de eliminación programada. Uno de los mayores desafíos es cómo determinar si necesito conservar algún dato por razones legales o impositivas, o si necesito eliminarlo en virtud de una ley que pone un límite a su almacenamiento. Eso es algo que las compañías deberán resolver.
Otro ejemplo es la limitación en función del propósito. La norme exige informar al sujeto de datos por qué se almacena su información personal. Y ese propósito tiene que ser específico y legítimo. Una vez cumplido ese fin legítimo, la información no puede utilizarse para nada más. De esta manera, si yo digo: “Estoy recolectando esta información para abrirle una cuenta en nuestro banco”, por ejemplo, no podré usarla después para marketing u otros fines. Las compañías también deberán informar a los sujetos de datos sus intenciones antes de poder emplear los datos con fines comerciales.
Kayvaun Rowshankish: Otra cuestión que preocupa a las compañías es cómo establecer el alcance del nuevo reglamento. Por ejemplo, ¿quiénes están cubiertos por la norma? ¿Cómo definir qué constituye DP para esas personas?”
Sin dudas los clientes están alcanzados, al igual que los empleados. Pero también está el caso de las personas que por ejemplo visitan un edificio y deben informar sus datos personales para obtener acceso, o los no clientes que hacen consultas. ¿En qué punto pasa a ser responsabilidad de la empresa proteger la información que alguien ingresa en su sitio web, por ejemplo?
¿Qué es la información personal identificable? El nombre, domicilio y número de seguridad social o equivalente lo son sin dudas. Pero si pensamos en cosas como la dirección IP o información sobre páginas visitadas, no resulta tan claro saber si están alcanzadas o no, y sería extremadamente difícil implementar los controles que exige el reglamento para ellas.
Simon London: Pero si bien el RGPD se basa en principios, también prevé derechos muy específicos, ¿no es cierto? El RGPD establece derechos muy claros para los ciudadanos de la UE. ¿Podrían comentarme más al respecto?
Want to subscribe to The McKinsey Podcast?
Alexis Trittipo: Correcto. Cuando pensamos en los objetivos de la nueva norma, uno de los principales es dar a las personas un mayor control sobre sus datos personales. Y para ello establece derechos como el de acceso a la información. Un ciudadano de la UE tiene derecho a llamar a una compañía y decir: “Quiero ver toda la información personal que tienen sobre mí”.
Otro derecho es el de solicitar la eliminación de los datos, también conocido como el “derecho al olvido”, gracias al cual puedo exigir a una empresa que borre toda mi información personal. También está el derecho a la portabilidad. Puedo pedir que mis datos sean transferidos a un tercero.
También existe el derecho a evitar que los datos se procesen en forma totalmente automatizada, lo que equivale a decir: “Quiero que una persona participe en la toma de decisiones que me involucren; no deseo que una empresa tome decisiones sobre mí en base a analítica, máquinas o robots”.
Todos esos derechos forman el núcleo del RGPD. Hallar la manera de cumplir todos los requerimientos de los sujetos de datos dentro de los plazos de respuesta establecidos, generalmente de 30 días, será muy importante.
Kayvaun Rowshankish: Otro abordaje posible es que las empresas hagan un cálculo de costo-beneficio de tener a la persona como cliente. Y para las personas que plantean: “No estoy de acuerdo con que automaticen las decisiones que me afectan”, o “No estoy de acuerdo con que almacenen este tipo de información sobre mí”, muchas instituciones simplemente dirán: “OK, entonces no podremos tenerlo como cliente”.
Para fazer o GDPR funcionar da forma correta e para lidar com a privacidade da forma correta, é preciso que toda a organização esteja se movendo na mesma direção.
Simon London: Antes mencionaron el requerimiento (para algunas compañías) de designar un director de protección de datos como consecuencia de la nueva regulación. ¿En qué consiste la tarea de los responsables por la protección de datos? Parecería ser un rol clave para arribar a una respuesta a muchos de los interrogantes abiertos.
Alexis Trittipo: El director de protección de datos, o “DPO”, es el centro de la rueda en lo relativo al cumplimiento del RGPD, y debe asumir un rol protagónico para la protección de la información en general con el fin de facilitar los procesos cuando un sujeto de datos plantee algunos de sus nuevos derechos. También deberá ocuparse cuando haya una violación de información y enviar las notificaciones a los reguladores exigidas por la legislación, además de verificar la consistencia de los estándares de datos en las políticas y los procedimientos. Esta persona es quien debe responder por la aplicación del RGPD.
Kayvaun Rowshankish: Algo muy interesante acerca de este rol y que se ha convertido en un tema espinoso es que el DPO es responsable directo ante las agencias y las autoridades, y no a través de su empleador. Además, la regulación incluye disposiciones que establecen que el DPO debe reportar a los más altos niveles jerárquicos, es decir, al CEO o al directorio.
Lo que esto significa en la práctica, y lo que la mayoría interpreta, es que también deben tener acceso a esos niveles. Y como dijo Alexis, deben rendir cuentas, pero en términos legales. Si hay una violación y una sanción, y alguien debe responder por ello, sin dudas será el DPO.
Esto ha generado una serie de problemas en la industria para definir dónde ubicar a este funcionario en la organización, qué deberes asignarle y en qué geografía localizarlo, en particular en el caso de las organizaciones no europeas con presencia global. ¿Debe estar en EEUU? ¿O sería mejor asignarlo a una entidad legal europea, que podría ubicarlo algunos niveles por debajo del directorio? Hay muchas complicaciones de este tipo.
Alexis Trittipo: Podemos verlo en los diferentes niveles de la organización. Algunas veces está a la sombra de un director de seguridad de la información (CISO). Otras a la par de los ejecutivos del grupo CxO, o un escalón debajo.
Las compañías han tomado caminos diversos. Y, nuevamente, ésta es una de esas cosas donde el tiempo dirá qué funcionó mejor y qué no. Creo que con el paso del tiempo veremos una cierta estandarización de la manera de tratar a los DPOs.
Otro aspecto que es importante tener en cuenta es que no son solamente las personas que ejercen el rol de DPO las que deben involucrarse. Para poder aplicar correctamente el RGPD y proteger debidamente la privacidad, es esencial que toda la organización se mueva en la misma dirección.
Esto involucra al DPO y el equipo de privacidad, pero también a legales y a toda la organización de datos. Es necesario contar con un equipo colaborativo en toda la organización. No es algo que pueda hacer una sola persona.
Existen numerosas maneras para que la inteligencia artificial contribuya en esta área, por ejemplo, ayudando a identificar los datos personales, procesarlos y depurarlos.
Simon London: Esto sucede en un momento en que las instituciones de todos los tipos están haciendo un gran esfuerzo por reunir y procesar datos y sacar provecho de tecnologías como aprendizaje automático (ML) e inteligencia artificial (IA). Hay mucha actividad en marcha que parecería estar yendo en la dirección contraria al RGPD. No parecen ser buenas noticias para las compañías y sus esfuerzos por aprovechar los datos y capturar ventajas competitivas.
Kayvaun Rowshankish: Eso es totalmente cierto, en especial si hablamos de comunidades de la ciencia de los datos que han gozado de la posibilidad de explorar en enormes volúmenes de datos y entornos de big data. Estas personas están realmente preocupadas por las limitaciones que experimentarán con esta regulación y el impacto en, por así decirlo, su creatividad. Deberán incorporar más controles a los modelos de IA que están desarrollando.
Subscribe to the Shortlist
Alexis Trittipo: La manera más fácil de reducir el impacto del RGPD, si uno desea continuar utilizando los datos, es anonimizarlos y enmascararlos. En ese caso, los datos son perfectamente utilizables. Tampoco hace falta informar al sujeto de datos con anticipación cuáles son los fines.
Es necesario evaluar en qué casos es suficiente contar con datos anónimos para analizar, y a la inversa en cuáles es condición saber quién es la persona involucrada. Este aspecto será clave para hallar la manera de continuar utilizando los datos sin quebrantar el reglamento.
Kayvaun Rowshankish: Irónicamente, si uno adopta la postura opuesta a pensar que el RGPD obstaculiza el uso de IA, es posible analizarlo desde la perspectiva de que en realidad la inteligencia artificial posibilita el cumplimiento del RGPD y que las dos disciplinas pueden combinarse en una misma dirección. Existen numerosas maneras para que la inteligencia artificial contribuya en esta área, por ejemplo, ayudando a identificar los DP, procesarlos y depurarlos mediante vinculación de registros y otras capacidades derivadas de IA, auto-depuración, y borrado o enmascaramiento de DP.
El concepto clave aquí es que existen múltiples interacciones diferentes con clientes que están pasando, por caso, de equipos de ventas o call centers atendidos por humanos a interfaces de IA como robots de chat o call centers automatizados donde, francamente, uno no puede controlar qué tipo de información suministran los clientes. Es posible estar capturando DP sin buscarlo porque los clientes comparten su información, de modo que el otro factor que entra en juego aquí es investigar si es posible emplear IA para identificar instancias donde se comparten DP y enmascararlos o eliminarlos inmediatamente o hallar otra manera de bloquearlos para no exponer a la compañía a un potencial incumplimiento regulatorio.
Simon London: Quisiera ahondar en este punto sobre big data y aprendizaje automático. Para una persona común, suena casi como crear un lago de datos combinando información de clientes de múltiples fuentes para luego ejecutar algoritmos con el propósito de enviar ofertas distintas a diferentes clientes. De esta manera, Simon recibiría un tipo de oferta, Alexis otra, y así sucesivamente. Suena como una potencial violación del RGPD.
Alexis Trittipo: Creo que has regresado a la razón por la que se reúnen los datos. Es esencial ser explícitos en cuanto a por qué estamos recopilando datos, con la condición de que se trate de un propósito comercial legítimo. Un fin legítimo puede ser ofrecer a los clientes los productos que mejor se ajusten a sus necesidades.
De modo que si reuniste esa información y el cliente conocía el propósito, en mi opinión ese análisis estaría permitido. Retomando la cuestión del consentimiento del sujeto de datos, es fundamental dejar bien en claro que la información se utilizará a los fines de conocer mejor al cliente y ofrecerle productos relevantes.
Kayvaun Rowshankish: Si consideramos las aplicaciones online, habrán notado que muchas de ellas han agregado mensajes emergentes que solicitan el consentimiento del usuario al acceder al sitio. Y estoy seguro de que la gran mayoría de la gente ni siquiera lee los avisos; simplemente hacen clic en “OK”. El efecto básicamente es que estamos consintiendo que la compañía utilice la información que le proveemos para ajustar su proceso de ventas.
Creo que debería haber una fase dos y una fase tres en la que se acceda a las copias de respaldo y los documentos físicos para eliminar por completo a la persona de los registros.
Simon London: Eso me parece bien para datos recogidos ahora o recientemente. La pregunta es, ¿todo lo que está en el lago de datos fue recopilado bajo las mismas condiciones? ¿O incluye datos históricos capturados bajo las normas vigentes en esa época y no alineadas con el RGPD? Y en esos casos quizás la compañía no fue tan explícita como podía o debía haberlo sido acerca de los posibles usos de esos datos.
Kayvaun Rowshankish: Lo que dices es interesante, porque los consentimientos que mencionaba, si han sido redactados correctamente, parecerían aplicar también a datos recopilados en el pasado. Quizás estén en una base de respaldo, o tal vez la organización los esté usando con una variedad de propósitos. La mayoría de las instituciones están redactando sus declaraciones de consentimiento en forma bastante amplia. La cuestión es, ¿qué sucede si la respuesta es no? Supongamos que el sujeto dice: “No, no quiero que almacenen mis DP, y exijo que eliminen todo lo que tengan acerca mío”. No creo que haya una sola institución que haya ideado un mecanismo para llevar esto a cabo.
Lo están manejando estableciendo límites falsos, por ejemplo: “OK, buscaremos en nuestros sistemas en uso y hallaremos la manera de eliminar todos los datos. Pero si están en un sistema de respaldo o en papel, no son tan fáciles de ubicar, y por lo tanto lo pasaremos por alto”.
No queda completamente claro si esto se ajusta a lo que los reguladores tuvieron en mente al dictar el reglamento. Se trata de un espacio bastante ambiguo.
Alexis Trittipo: Y por lo que estamos viendo en varias industrias, como Kayvaun acaba de mencionar, esto deberá ser un proceso por fases. La mayoría de las organizaciones afirma que no tendrá problemas en eliminar toda la información de sus sistemas actuales. Creo que debería haber una fase dos y una fase tres en la que se acceda a las copias de respaldo y los documentos físicos para eliminar por completo a la persona de los registros. Será interesante ver cómo harán las empresas para trasladar ese nivel de cumplimiento de los datos almacenados en los sistemas activos a los archivos en papel de hace 20 años.
Kayvaun Rowshankish: Y también es interesante que gracias a la digitalización y a tecnologías como reconocimiento óptico de caracteres (OCR) o procesamiento de lenguaje natural sea posible extraer los datos necesarios de documentos físicos o .pdf, por lo que en poco tiempo más las copias en papel desaparecerán por completo.
Los costos de almacenamiento continúan bajando, de modo que acceder a las copias de respaldo también será más fácil dentro de algunos años si una organización deseara satisfacer el deseo de una persona de borrar todos sus datos.
Simon London: Muy bien, creo que se nos acabó el tiempo. Muchas gracias Alexis y Kayvaun por esta charla. Y gracias a nuestra audiencia por escucharnos. Si desean conocer más sobre protección de datos, el RGPD, riesgos y regulación, no dejen de visitar nuestra página web McKinsey.com.