Inicio Articulos. Privacidad: Más allá del cumplimiento. 1ª. de 2 partes

Privacidad: Más allá del cumplimiento. 1ª. de 2 partes

Revista Mundo-Contact

    Privacidad: Más allá del cumplimiento. 1ª. de 2 partes

Steve Skinner*

La Custodia Responsable de la Información representa para las relaciones comerciales lo que la confianza para las relaciones interpersonales. Si yo revelo algo acerca de un problema personal a un conocido, y éste me da un consejo útil, nuestra relación se fortalece y yo estaré dispuesto a compartir más información en un futuro. Lo mismo sucede en los negocios”.

Las reglas fundamentales: Confianza, privacidad, seguridad y ROI

Una cosa es indudable: el mercado se mueve en función del cliente. Para no quedarse atrás, las empresas están analizando y aprovechando sus bases de clientes a fin de crear una ventaja competitiva de largo plazo. El reto: extraer conocimientos valiosos y cultivar relaciones redituables que generen ROI. Las empresas buscan maximizar el valor de cada una de las relaciones con sus clientes mediante un aprovechamiento inteligente y responsable de información relevante.

Las relaciones con clientes que se traducen en un retorno atractivo están cimentadas en la confianza. El cliente está dispuesto a suministrar Información Identificable a Nivel Personal (PII, por sus siglas en inglés) a las compañías con las que ha entablado una conexión fiduciaria. Para crear esta dinámica, las empresas deben comprometerse a forjar relaciones de confianza con sus clientes de manera paralela a una recolección y uso responsables de sus datos.

Del riesgo a los ingresos

No obstante, la información trae aparejados riesgos. Para recolectar, almacenar y explotar enormes cantidades de PII es imprescindible contar con políticas de privacidad y seguridad de la información que cumplan con los mandatos estatutarios y mitiguen el riesgo. Por consiguiente, cada vez son más las compañías que han nombrado a Directores Generales de Privacidad (CPOs) a quienes encomiendan la responsabilidad de protegerlas contra demandas y la erosión de marca derivadas de incumplimiento o, lo que puede ser peor, de incidentes de quebrantamiento de la privacidad.

Sin embargo, el esquema de “administración de riesgo” para la privacidad y la seguridad es fundamentalmente defensivo y limita a las organizaciones principalmente en dos sentidos. En primer lugar, etiqueta al CPO y al departamento de privacidad y seguridad de la información como centros de costos, en vez de consideradlos como fuentes de generación de ingresos. En segundo, el esquema de administración de riesgos contrapone de lleno las estrategias basadas en el cliente y la protección de la privacidad cuando, en realidad, ambos están en sincronía. Resultado: Se pierden oportunidades de negocios significativas y se multiplica el potencial de cometer infracciones a privacidad que, amén de ser costosas, resultan sumamente públicas.

Sin embargo, existe una alternativa viable. Cuando se conjuga una estrategia innovadora de clientes con el uso responsable de información sobre la clientela, las empresas pueden optimizar las relaciones con sus clientes y crear ventajas competitivas. Hoy por hoy, ejecutivos de todas las industrias y de empresas de todos los tamaños están avanzando más allá del cumplimiento, al considerar la privacidad y la seguridad de la información como oportunidades para fortalecer relaciones de confianza con sus clientes a fin de incrementar los ingresos, abatir costos y fortalecer su marca. Como se plantea en el presente artículo, esta transición para llegar “más allá del cumplimiento” se está convirtiendo con rapidez en una directriz estratégica integral del mercado moderno.

Esto no quiere decir que una misma estrategia resulte adecuada para todos los casos. En un nivel determinado, cada empresa es distinta y enfrenta una serie de desafíos que están íntimamente ligados a su modelo de negocios, situación económica, estructura de costos y metas de desempeño. Por lo tanto, toda estrategia orientada a la privacidad, la seguridad y las relaciones debe estar adaptada a la medida de los recursos, procesos y metas de cada empresa. Con ello, la privacidad, la seguridad de los datos y las relaciones uno a uno pueden trabajar en conjunto para generar sustentación a lo largo y ancho de la empresa.

Custodia Responsable de la Información

Vistas bajo esta luz, la privacidad y la seguridad la información se convierten en componentes de una práctica mucho más extensa y de mucho mayor alcance, lo que Peppers and Rogers Group denomina Custodia Responsable de la Información (CRI). CRI es el proceso de engendrar confianza en la manera en que los líderes, el personal y los representantes de una organización administran información privada, delicada y confidencial. Implica una alineación de las preferencias de información de todas las partes involucradas –por ejemplo, consumidores, empleados, accionistas y el público en general—con las prácticas de administración de los negocios, la información y la tecnología en la organización.

Este artículo explora la dinámica entre la CRI y la estrategia de clientes, por qué la fusión de ambos se ha convertido en un aspecto crítico de misión en el mercado moderno, las propuestas de valor para cada uno de los miembros del equipo ejecutivo y los pasos necesarios para pasar de la teoría a la práctica.

El imperativo de negocios de hoy: Cultivar confianza, generar ingresos

Impulsada por el Internet, la era de la información ya está aquí y, con ella, una revolución de las relaciones en los negocios. La información sobre los hábitos de compra, preferencias, necesidades, estilo de vida, etapa de vida y valor real y potencial de los clientes para la empresa representa para las compañías una clara ventaja. Para capitalizar esta oportunidad, están interactuando con los consumidores a niveles nunca antes visto y a través de todos los canales, por ejemplo web, correo electrónico, chat de texto, voz sobre protocolo de Internet (VoIP), call centers, equipos móviles y también en forma presencial—y recordando lo que dice cada cliente. A medida que la tecnología continúe abatiendo el costo de interactuar con los clientes y de aprovechar la información recabada, la revolución de las relaciones seguirá madurando.

La recolección y el uso de información personalmente identificable deben llevarse a cabo de manera responsable y con absoluta atención a las preferencias de cada persona. A medida que las empresas sopesan las oportunidades de generación de ingresos a partir de sus bases de datos de clientes contra los requerimientos de seguridad y privacidad –y tratan de sobreponerse a las sonoras impugnaciones por parte del público en relación con la “falta de confiabilidad” de las compañías– es importante dar un paso atrás e identificar las principales razones por las cuales las empresas se esmeran tanto por incorporar prácticas de gestión de información en sus procesos de negocios.

Para la mayoría, hablar de administración de la información significa hablar de cumplimiento. La posibilidad muy real de convertirse en objeto de alguna demanda o acusación por parte de las autoridades (por ejemplo, la Comisión Federal de Comercio en el caso de E.U.) constituye una motivación muy convincente para administrar la información de manera responsable.

Más allá del cumplimiento

Cumplimiento y protección contra demandas son, sin lugar a dudas, importantes motivadores que han fomentado una mejoría en las prácticas relacionadas con la privacidad y la seguridad. Sin embargo, más allá del cumplimiento, existen oportunidades significativas de capturar valor. Cultivar la confianza del cliente y, en el proceso, desarrollar relaciones prósperas que generen fidelidad, retención y ROI están íntimamente ligados a la utilización inteligente y responsable de información valiosa. Los clientes dependen de las relaciones con las empresas para sortear el torbellino de la información y la seguridad, y muchos sólo están dispuestos a proporcionar información verdadera a una empresa cuando están seguros de que no va a vender su información de contacto ni a quebrantar su confianza de ninguna otra manera.

Las empresas que cultivan confianza con el tiempo a través de una combinación de estrategias focalizadas en el cliente y Custodia Responsable de la Información impulsan el ROI a nivel de ingresos, abatimiento de costos y cambio cultural.

Así, se van generando resultados porque la práctica proactiva y orientada a beneficios de la Custodia Responsable de la Información abarca y supera a las prácticas defensivas y orientada a costos del cumplimiento normativo, la protección contra demandas y la mitigación de escándalos de relaciones públicas que tan comunes resultan hoy día. Entre las áreas donde se obtienen rendimientos están un mayor flujo de ingresos derivado de una creciente intimidad con el cliente (satisfacción, lealtad y retención) y un fortalecimiento de la marca debido a la asociación de centricidad en el cliente con la protección de la privacidad y la seguridad. En otras palabras, las empresas que ponen en práctica una CRI privilegian el valor de toda una relación con un cliente más que el valor de una transacción determinada.

La CRI ayuda a las empresas a hacer esta transición y aprovechar la ventaja competitiva de generación de ingresos que ésta propone. La CRI entrega los siguientes beneficios generales:

Mejora el desempeño de negocios gracias a un proceso mejorado y más seguro para recolectar, almacenar y aprovechar información valiosa. Magnifica la lealtad del cliente –y, por lo tanto, las oportunidades de generación de ingresos—como resultado directo de cultivar relaciones fincadas en la confianza. Hace que las políticas de privacidad y seguridad de la información resulten significativas y tangibles para todas las partes involucradas, lo cual incluye tanto a empleados como a clientes. Ayuda al personal a aprender sobre el rol que desempeña en la gestión de la privacidad y la protección de la información. Sirve como herramienta para que empleados y gerencia se enriquezcan con retroalimentación y lecciones de aprendizaje. Fomenta un cambio cultural con respecto a la rendición de cuentas y el empowerment. Permite identificar y reducir los casos preponderantes de riesgos relacionados con la protección de información y el cumplimiento.

De los datos a la confianza: La Custodia Responsable de la Información en la práctica

Hasta el momento, hemos presentado el concepto de Custodia Responsable de la Información y por qué tiene sentido incorporarla a la práctica de negocios. Las siguientes interrogantes giran en torno a la evaluación y la implantación: ¿Cuáles son los componentes medulares explícitos de la CRI? ¿Cómo saber si su compañía debe comenzar a introducir la CRI? ¿Cómo es que la utilización responsable de los datos se traduce en mayor confianza por parte del cliente? Y, por último, ¿cuál es el primer paso?

Evaluación: Definir los términos, establecer los procesos

Conforme a una definición formal, CRI es el proceso de engendrar confianza en la manera en que los líderes, el personal y los representantes de una organización administran información privada, delicada y confidencial. Implica una alineación de las preferencias de información de todas las partes involucradas –por ejemplo, consumidores, empleados, accionistas y el público en general—con las prácticas de gestión de negocios, información y tecnología en la organización.

La Custodia Responsable de la Información es un proceso holístico conformado por programas de cumplimiento y sistemas diseñados para motivar, medir y monitorear las prácticas que aplica una organización para recolectar, utilizar, compartir y conservar información. La CRI es susceptible de aplicarse a todo tipo de información de negocios, incluyendo los datos sobre clientes actuales, clientes objetivo, empleados, accionistas, socios de negocios y proveedores. La práctica de la CRI también es aplicable a la mayor parte de las áreas funcionales que manejan información esencial en un negocio o dependencia de gobierno. Estas funciones incluyen ventas, mercadotecnia, recursos humanos, atención al cliente, nómina y contabilidad.

¿Cómo saber si la Custodia Responsable de la Información es el camino correcto? Todo negocio depende de grandes cantidades de información, y la recolección, utilización y transferencia responsables de esta información resultan absolutamente críticas. El reto está en cómo operacionalizar estos procesos. Cinco elementos medulares de la CRI giran en torno a las inquietudes éticas y de proceso que rodean a la recolección y uso de información:

Privacidad. Es necesario satisfacer y proteger las preferencias y derechos que, en torno a la privacidad, tienen clientes, empleados, socios, proveedores y otras partes involucradas. Es necesario contar con procesos internos en relación con el uso de la información a fin de contribuir a garantizar la rendición de cuentas. Un paso muy importante es hacer valer toda promesa o política manifiestas en torno a la privacidad.

Seguridad. La CRI implica tomar medidas para proteger información vital contra acceso y uso no autorizados. Algunos ejemplos incluyen proveer seguridad física para la infraestructura de información o elaborar e implantar planes de respaldo y contingencia diseñados para proteger los datos en caso de interrupciones, alteración dolosa o catástrofes.

Exactitud. La información que está siendo recolectada y utilizada, ¿es razonablemente exacta? Es necesario implantar procesos y controles específicos para garantizar una evaluación y gestión continuas de la exactitud de la información de clientes y empleados.

Eficiencia. Para poder satisfacer las necesidades y metas de negocios de la empresa, también es necesario utilizar la información de manera apropiada y eficiente. Un componente crucial en este sentido consiste en aprender a: recolectar información (qué canales son los más adecuados y eficaces para un modelo de negocios determinado), almacenarla correcta y eficientemente e identificar qué datos son susceptibles de ser traducidos en acciones tendientes a cultivar relaciones redituables. Muchas empresas recaban y almacenan enormes cantidades de información, pero lo más importante es: ¿Cuentan con la información correcta para forjar relaciones individuales de confianza con sus clientes y otras partes involucradas?

Consistencia. Los métodos y procesos internos empleados para proteger y controlar la información de negocios deben ser consistentes para toda la empresa. Los departamentos que tienen acceso a las fuentes de datos deben proteger toda información delicada y confidencial de manera consistente.

Mapear las prácticas de información de una organización contra los elementos éticos y de proceso enumerados anteriormente constituye el primer paso para poder determinar si se requiere implantar un programa de CRI. Entender los procesos clave de la CRI y cómo llevarlos a la práctica es el segundo paso.

Cómo llevar la CRI a la práctica

Para entender los procesos clave de la CRI, es necesario entender a cabalidad los cinco elementos imprescindibles de la CRI. Estos elementos garantizan que las prácticas de utilización y manejo de la información por parte de una empresa sean congruentes con sus metas de negocios y con las preferencias de todas las partes involucradas.

Administración de procesos

Convertir una estrategia de privacidad y seguridad en procesos susceptibles de ser implementados –y hacer que estos procesos sean relevantes para todas partes involucradas— exige una combinación de habilidades de visión e implementación. Los procesos incluyen medición en función del desempeño, scorecards, verificación externa y tecnologías habilitadoras.

Educación y concientización

Para que las prácticas y estrategias de privacidad y seguridad puedan echar raíces, es necesario contar con iniciativas de educación y capacitación – como parte de un programa más amplio de administración de personal. Capacitación teórica en el aula, capacitación con ayuda de un facilitador y programas de e-learning para todos los empleados que manejan información personal delicada son cruciales para lograr el compromiso de todos.

Monitoreo

También es importante la supervisión de las prácticas ya implantadas de CRI. “Monitoreo” es un proceso formal para identificar áreas de riesgo y vulnerabilidad en la protección de los datos y la privacidad dentro de las principales unidades de negocios, las bases de datos y las aplicaciones de software.

Comunicaciones

Para lograr un compromiso a nivel de toda la empresa con la CRI es esencial que exista una comunicación eficaz hacia todas las partes interesadas. El apoyo que se requiere en cuanto a comunicaciones para prácticas de CRI recién instituidas incluye políticas, comunicados a nivel corporativo, manuales para el personal, procedimientos de cumplimiento e intervenciones para el manejo de crisis.

Rectificación y cumplimiento

Los aspectos de rectificación y cumplimiento abarcan los mecanismos y procedimientos formales para responder a las necesidades, problemas e inquietudes de consumidores o empleados. Es fundamental establecer estos procesos, pues la rectificación interna puede servir como última línea de defensa antes de que una persona recurra a la asesoría de un bufete de abogados, una dependencia gubernamental o un grupo para la defensa del consumidor.

Para contar con un programa realmente exhaustivo de CRI (Costo día Responsable de Información) se requiere la ejecución satisfactoria de cinco procesos medulares. Al integrar estas prácticas, las empresas pueden ir más allá del cumplimiento para construir un ROI incremental sustentado en sus iniciativas de privacidad y seguridad.

*Steve Skinner, Presidente y Director General, Peppers and Rogers Group

Continuará…

 

Una cosa es indudable: el mercado se mueve en función del cliente. Para no quedarse atrás, las empresas están analizando y aprovechando sus bases de clientes a fin de crear una ventaja competitiva de largo plazo. El reto: extraer conocimientos valiosos y cultivar relaciones redituables que generen ROI. Las empresas buscan maximizar el valor de cada una de las relaciones con sus clientes mediante un aprovechamiento inteligente y responsable de información relevante.

Impulsada por el Internet, la era de la información ya está aquí y, con ella, una revolución de las relaciones en los negocios. La información sobre los hábitos de compra, preferencias, necesidades, estilo de vida, etapa de vida y valor real y potencial de los clientes para la empresa representa para las compañías una clara ventaja.

Para contar con un programa realmente exhaustivo de CRI (Costo día Responsable de Información) se requiere la ejecución satisfactoria de cinco procesos medulares. Al integrar estas prácticas, las empresas pueden ir más allá del cumplimiento para construir un ROI incremental sustentado en sus iniciativas de privacidad y seguridad.

 
Opinión