A medida que las empresas comienzan a liderar sus decisiones basadas en data, una cultura organizacional fuertemente enfocada en la protección de datos influirá significativamente en el logro de los objetivos. Para que la cultura organizacional logre este fin y el mecanismo de control sea apropiado, es esencial comenzar el proceso de adecuación cultural. Así lo sostiene José Antonio Lagos, CEO de Cybertrust Latam y Director académico UEjecutivos, Facultad de Economía y Negocios Universidad de Chile, quien en esta entrevista, profundiza más en lo que es una cultura organizacional centrada en la protección de datos y cómo las empresas pueden alcanzarla.
¿Qué es la cultura organizacional?
La cultura organizacional se define como un patrón de creencias, valores y normas de comportamiento, adoptados inconscientemente por los integrantes de una organización. Estos patrones impactan en sus percepciones, pensamientos, sentimientos y enfoques de resolución de problemas, lo que, a su vez, tiene un efecto significativo sobre la eficacia de las políticas de privacidad y protección de datos de la empresa.
¿Cómo pueden las empresas impulsar una cultura organizacional de protección de datos?
El modelo cultural de Schein, es un marco muy conocido que puede utilizarse para moldear una cultura de protección de datos. Comprende tres niveles: los artefactos, las creencias y valores, y los supuestos básicos subyacentes. Los artefactos son los aspectos observables de la cultura organizacional.
¿Qué incluyen los artefactos?
En el contexto de la protección de datos, estos pueden incluir documentos de políticas de privacidad, políticas bien definidas y accesibles que guían cómo se deben manejar los datos. Principios de privacidad, declaraciones visibles en la organización, que refuercen el compromiso con la privacidad y la protección de datos. Y, finalmente, el Análisis de Impacto de Privacidad (PIA), informes detallados que muestran cómo se evalúan los riesgos de privacidad en nuevos proyectos o sistemas. Estos artefactos son visibles y pueden ser revisados por cualquier miembro de la organización, reflejando el compromiso de la empresa con la protección de datos.
El segundo nivel son las creencias y valores. ¿De qué se trata?
Las creencias y valores son menos visibles que los artefactos, pero igualmente importantes. Representan suposiciones individuales sobre lo que es correcto o incorrecto y guían las decisiones cotidianas. Algunos ejemplos en protección de datos son el compromiso con la transparencia, es decir, la creencia de que ser transparente con los clientes sobre cómo se utilizan sus datos, es fundamental para ganar y mantener su confianza. En segundo lugar, está la valoración de la confidencialidad, un valor que prioriza la confidencialidad de los datos personales y la importancia de proteger esta información contra accesos no autorizados; y la responsabilidad individual, la creencia de que cada empleado tiene un rol activo en la protección de datos y debe cumplir con las políticas establecidas.
El tercer nivel son los supuestos básicos subyacentes. ¿Cuáles son sus características?
Son el nivel más profundo de la cultura organizacional. Estos son patrones de pensamiento que guían el comportamiento grupal de manera inconsciente. En el ámbito de la protección de datos, se incluye la confianza en la seguridad de la información, es decir, la suposición de que la seguridad de la información es un pilar fundamental para el éxito organizacional y debe integrarse en todos los procesos. En segundo lugar, la integridad de los datos: la creencia de que mantener la integridad de los datos es crucial para la toma de decisiones efectiva y precisa. Finalmente, el enfoque proactivo: la suposición de que anticipar y mitigar riesgos de privacidad es más eficaz que reaccionar a incidentes después de que ocurran.
¿Qué pueden lograr las empresas con una cultura organizacional centrada en la protección de datos?
La cultura organizacional cumple muchas funciones, incluida la de guiar el comportamiento de los empleados para alinearse con los intereses de la organización. Por lo tanto, influye fuertemente en el cumplimiento o incumplimiento de los objetivos de privacidad. Una cultura sólida de protección de datos, basada en el modelo de Schein, no solo ayuda a cumplir con las regulaciones, sino que también fortalece la confianza de los clientes y mejora la resiliencia organizacional frente a amenazas de seguridad.