Las últimas décadas han traído consigo un crecimiento y cambio acelerados en todos los sectores de la economía. Nuevas industrias, modelos de negocio y formas de inversión surgen cada vez con mayor rapidez en el contexto de la globalización y las nuevas tecnologías. De la mano con estos fenómenos, ha nacido también una mayor difusión y preocupación por los impactos que generan a nivel global tanto empresas como consumidores en el medio ambiente y en la sociedad.
Actualmente, tanto consumidores como inversionistas ven más allá del aspecto financiero al seleccionar nuevos proveedores u oportunidades de negocio, por lo que, al buscar clientes o capital, las empresas deben demostrar que sus proyectos cuentan con un mejor récord que los de sus competidores en cuanto a sustentabilidad, abarcando aspectos ambientales, sociales, y de gobierno corporativo (ESG, por sus siglas en inglés). Mientras que la gran mayoría de los consumidores prefieren adquirir productos o servicios de empresas que promueven el bienestar individual o colectivo, un inversionista apuesta por empresas que siguen criterios ESG, al interpretarlos como un medidor de riesgo legal y reputacional.
Si bien es cierto que el concepto de ESG es amplio y abarca diversos parámetros dentro de sus tres principales rubros (Ambiental, Social y de Gobierno Corporativo), ESG no debe considerarse como un conjunto de categorías estáticas, sino que debe incluir nuevos parámetros y conceptos que evolucionen de acuerdo con los intereses que tienen mayor valor para una determinada sociedad.
Por este motivo, la garantía de la privacidad y la protección de datos personales debe considerarse como un nuevo parámetro en el cumplimiento de los criterios de ESG. Si bien la economía en la que surgió el concepto de ESG estaba basada en industrias de combustibles fósiles y en la transformación de recursos físicos, la economía actual y futura tienen un carácter digital, ya que están construidas sobre el análisis e intercambio de información. Algunos autores consideran que los datos son el nuevo petróleo, en ese sentido, el enfoque ESG, centrado en el compromiso y el bienestar social, debe contemplar su protección como un tema central. Siendo así, ¿dentro de qué rubro de ESG pudiera caber la protección de estos datos, y de qué manera podría ejercitarse en el marco de nuestra ley y vida cotidiana?
De acuerdo con los estándares de rendición de cuentas utilizados por la mayoría de las empresas comprometidas con los criterios ESG, la privacidad y protección de datos se incluye dentro del rubro social. Esta clasificación resulta apta debido a la cercanía entre datos personales y el acceso a servicios financieros, telecomunicaciones, movilidad y medicina, por lo que la vulneración de una misma base de datos podría tener efectos verdaderamente masivos y dañar a comunidades enteras. Asimismo, podría exponer a cualquier empresa responsable a un sinfín de multas y demandas colectivas e individuales (sin contar el daño a su reputación). En una economía de datos, toda empresa sin una estrategia clara para defender este bien sufriría las consecuencias de dicha omisión, tanto públicas como comerciales. Por lo tanto, la protección de datos personales es un concepto social y extrajurídico, ya que afecta tanto a los distintos grupos de interés como a la empresa misma.
El ordenamiento jurídico de nuestro país destaca la relevancia social de la privacidad y la protección de datos personales. La Constitución mexicana considera ambos conceptos como derechos humanos, y contempla a un regulador facultado para garantizar su observancia. Diversas normas secundarias obligan tanto a sujetos del sector público como privado a informar a aquellas personas físicas cuyos datos tengan en su poder sobre las condiciones del tratamiento de dichos datos, instándolos a solicitar su consentimiento previo, así como a informar acerca de cualquier vulneración de su información personal. Estas leyes hacen alusión expresa a los conceptos fundamentales de ESG, al establecer que quienes tratan datos personales deben respetar principios de lealtad y responsabilidad para con los respectivos titulares.
Una segunda faceta de ESG en cuanto a la protección de los datos personales y la privacidad es el rubro de gobierno corporativo. Para que el compromiso social que hace una empresa como responsable del tratamiento no quede indeterminado o se limite a la redacción de avisos de privacidad o códigos de conducta, deben ponerse en práctica las medidas de cumplimiento y seguridad que marca la ley. De hecho, se requiere de un individuo o departamento al interior de la empresa que se encuentre efectivamente facultado y capacitado para realizar estas labores y promover el uso debido de la información sujeta a tratamiento.
Aunque las obligaciones establecidas al respecto en la legislación mexicana son limitadas, ya que comprenden únicamente la designación de un encargado de responder solicitudes relacionadas con datos personales, las medidas adoptadas por diversas empresas, ya sea voluntariamente o con base en legislaciones extranjeras, son indicadores positivos de la relevancia que ha adquirido la protección de datos personales. Entre estas medidas se encuentran la designación de directivos específicamente encargados de revisar el cumplimiento de la normatividad aplicable en materia de privacidad; la difusión de material y políticas internas para capacitar al personal de la empresa en el correcto y mínimo tratamiento de datos personales; y la contratación de proveedores especializados en el tratamiento seguro de la información.
Siendo tantas las medidas y agentes involucrados en el ecosistema de datos personales, es comprensible por qué la protección de datos personales genera preocupación. Aunque este tema es relativamente nuevo dentro del concepto de ESG, el resguardo de la información de clientes, proveedores e inversionistas ha tenido que integrarse de manera repentina en las empresas, ya que diversas organizaciones han experimentado efectos negativos por no atender este tema, los cuales se manifiestan en ya conocidas vulneraciones de datos personales o data breaches.
En promedio, cada uno de estos incidentes ha llegado a costar a empresas norteamericanas entre 3 y 7 millones de dólares en el corto plazo. Sin embargo, el daño generado por vulneraciones como las sufridas por Equifax, Facebook, Target, o Marriot no se detiene ahí. Al igual que con ESG, los efectos pueden ser multidisciplinarios, abarcando demandas colectivas, sanciones gubernamentales y daños de relaciones públicas y a sus clientes que serían muy difíciles de cuantificar. Asimismo, el conocimiento que tiene el público en general sobre el valor y los peligros implicados en el tratamiento de sus datos personales va en aumento. Así lo demuestra el hecho de que recientes reformas para permitir a entidades privadas del sector financiero y agentes gubernamentales recabar datos personales de manera masiva hayan enfrentado serios cuestionamientos.
Por los motivos anteriormente expuestos, es evidente por qué cualquier empresa debería enfocarse en evitar estos riesgos e incidentes, y la razón por la cual para sus directivos e inversionistas sería atractivo hacerlo, incluso si significase ir más allá del cumplimiento legal. En un contexto como el que vivimos actualmente, resulta fácil no solamente explicar la aparición de los criterios de privacidad y protección de datos personales dentro del esquema de rendición de cuentas de ESG, sino predecir que dichas materias pronto ocuparán un lugar central en la planeación y vida de las empresas. La suya: ¿está preparada?
Para obtener información adicional sobre el tema de esta nota, favor de contactar a nuestros expertos:
Luis Burgueño, Socio: +52 (55) 5258-1003 | lburgueno@vwys.com.mx
Gloria Martínez, Consejera: +52 (55) 5258-1016 | gmartinez@vwys.com.mx
Rubén Villegas, Asociado: +52 (55) 5258-1003 | rvillegas@vwys.com.mx