El uso generalizado de las nuevas tecnologías como soporte publicitario, junto con el desarrollo de aplicaciones informáticas a medida para el almacenamiento de la información y la automatización de tareas, han hecho que crezca de manera considerable la inquietud por la confidencialidad y la integridad de los datos.
Por otro lado, el estricto cumplimiento de los criterios marcados por la Ley Orgánica de Protección de Datos Personales de Carácter Personal (LOPD) y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) es en el momento actual una preocupación extendida para la gran mayoría de las compañías, ya que se trata de una normativa que afecta a uno de los activos básicos que influyen directamente en su cadena de valor: la información sobre sus clientes.
Esta información no constituye solamente un punto de apoyo fundamental para la toma de decisiones, sino también la clave para hacer posible la comunicación personalizada y para diseñar estrategias a medida de cada uno de los segmentos que componen el target.
De este modo, las empresas de marketing directo, relacional y CRM asumen una responsabilidad especial en cuanto a que se convierten en depositarias y encargadas del tratamiento de los datos personales, y deben hacerse cargo del control y seguimiento de las acciones de comunicación que llevan a cabo.
Como profesionales del marketing de bases de datos, somos conscientes de que es imprescindible garantizar a nuestros clientes total seguridad en lo que se refiere a este aspecto. Por esa razón, y con el fin también de ofrecerles más confianza, Artyco ha implantado un sistema de seguridad de la información (SGSI) certificado por AENOR.
Esta certificación avala la adecuación a la norma UNE 71502, que contiene las especificaciones para la correcta implantación del SGSI, basada a su vez en la norma UNE-ISO/IEC: 17799. Dicha norma define la seguridad en base a los criterios de confidencialidad, integridad y disponibilidad de la información.
Para garantizar el estricto cumplimiento de estos criterios, es necesario tomar en consideración diferentes aspectos dentro de la empresa.
Estructura organizativa eficaz
En primer lugar, es muy importante la estructura organizativa. La preocupación por la protección de los datos debe hacerse extensiva a todo el personal. Ante todo, destaca la relevancia del compromiso de los miembros de la dirección, que, junto con el responsable de seguridad y el grupo de seguimiento encargado del control y la supervisión del desarrollo de las medidas derivadas de la implantación del SGSI, son los encargados fundamentales del correcto desempeño de la política de seguridad de la compañía.
En efecto, el SGSI implica la existencia de un grupo de control que vele por su cumplimiento, y evalúe de manera periódica la evolución y el resultado de la puesta en marcha de las medidas propuestas para su implantación. Debe además controlar las posibles incidencias o desviaciones que puedan surgir, con el objetivo no sólo de minimizar riesgos, sino también de diseñar acciones de mejora para asegurar la calidad total de los resultados.
Pero el compromiso con la seguridad requiere la implicación de todos los departamentos de la compañía.
El papel del área comercial
Si absolutamente toda la plantilla no se implica en el proyecto y conoce a la perfección la política de la compañía, no es posible garantizar el éxito ni disponer de una estructura organizativa para la seguridad eficaz. Por ello es muy importante formar a todo el personal, especialmente del departamento comercial, con el objetivo de que pueda, además, asesorar a los clientes.
En efecto, los jefes de cuentas y de área asumen un papel básico al supervisar todas las entradas y salidas de datos, controlar el flujo de información que se distribuye a través de todos los departamentos y coordinar con el responsable de seguridad la configuración de los requisitos técnicos para adaptarlos a las peticiones personalizadas de cada cliente. Además, son los responsables del correcto desarrollo de los servicios contratados y del tratamiento de la información que se les ha confiado para ello.
La responsabilidad del área técnica
Sin duda el papel del área técnica es especialmente importante, en cuanto a que debe dar el soporte fundamental a la organización, encargándose de los aspectos físicos y de la supervisión del desarrollo de los sistemas de información.
Con el fin de llevar a cabo una implantación segura, el departamento de IT realiza siempre, como condición imprescindible, un estudio de viabilidad de cada nuevo proyecto que haga necesaria la adquisición de nuevos sistemas o aplicaciones. El objetivo es conocer y evaluar los posibles riesgos propios de la introducción de éstos así como su repercusión en aquellos ya existentes.
El modo ASP, que es la base del método de trabajo de Artyco, implica una serie de medidas de control que permitan a los clientes disponer de sus datos de manera inmediata, y, a su vez, a los profesionales adaptar el sistema a sus requerimientos concretos, para garantizarles la mayor comodidad y eficacia en la gestión de su base de datos.
Para ello se ha implantado una política de segmentación de redes que permite el control de acceso de los usuarios y la gestión del flujo de información a diferentes niveles. De este modo se puede contar con varias conexiones simultáneas que dan opción a cada cliente de disponer de un espacio privado y completamente seguro para efectuar cualquier consulta, realizar extracciones o llevar a cabo un seguimiento de las campañas de marketing en tiempo real.
Por supuesto también es muy importante no descuidar los aspectos físicos. Los equipos informáticos deben almacenarse en un lugar con unas condiciones medioambientales determinadas y donde los accesos se encuentren debidamente restringidos.
En Artyco disponemos de una CPD (centro de proceso de datos) con sistemas antiincendios, control de alimentación eléctrica ininterrumpida y con las condiciones de humedad y temperatura adecuadas para el buen funcionamiento y conservación óptima de los sistemas.
La implicación fundamental de las áreas operativas
Sin embargo son las áreas operativas, data entry, fulfillment y el call center, las que concentran el mayor número de usuarios que manejan los datos directamente. De ellas depende en última instancia el cumplimiento de los criterios de confidencialidad, disponibilidad e integridad de la información a través de la adecuada utilización de los recursos y las tecnologías de la comunicación.
Por ejemplo, respetando estrictamente las instrucciones para el correcto almacenamiento y archivo de cupones en el caso de data entry, o realizándose un seguimiento y grabación de datos confidenciales en telemarketing, para garantizar al cliente la disponibilidad de la información de manera inmediata en caso necesario. Además, deben controlar cualquier incidencia que pudiera surgir y supervisar que todos los miembros del personal dispongan de las autentificaciones necesarias para el acceso a las aplicaciones.
El valor añadido del SGSI
Todos estos aspectos son auditables, para verificar que se ajustan estrictamente a los controles y medidas establecidos. De manera periódica deben realizarse auditorias y revisiones de seguridad para evaluar el nivel de cumplimiento de objetivos y llevar a cabo un seguimiento exhaustivo mediante indicadores de eficacia.
Hay que destacar también que el SGSI implica obviamente el conocimiento y la absoluta adecuación a las especificaciones establecidas por la LOPD y la LSSICE. Para ello es necesario mantenerse siempre al día de las novedades producidas y su repercusión en el sector, como, por ejemplo, la próxima publicación del nuevo borrador en materia de protección de datos o el desarrollo de la nueva ISO 27000, que será certificable y definirá los requisitos que debe cumplir un sistema de seguridad de la información para su correcto funcionamiento y desarrollo.
Así los clientes pueden estar seguros no solamente de que se cumple el compromiso de confidencialidad, y la responsabilidad como depositarios de los ficheros, sino también de que el desarrollo de las campañas se realizará siempre dentro del marco de la más estricta legalidad.
Por supuesto, hay que tener presente el derecho que tienen aquellas personas que así lo manifiestan expresamente a no recibir información de carácter promocional o publicitario. Por eso hay que acudir siempre las Listas Robinson de cada cliente y cruzar los datos con la lista oficial de FECEMD, evitando así incidencias derivadas de la realización de envíos innecesarios o inadecuados.
Por último cabe resaltar que el SGSI contempla un plan de contingencia cuidadosamente definido que salvaguarda en todo momento la continuidad del negocio frente a posibles amenazas externas que pudieran poner en peligro la integridad de la información.
De este modo, la certificación de AENOR para el SGSI aporta no sólo la credibilidad necesaria para lograr la fidelidad del cliente a través de la confianza y la tranquilidad de desarrollar su actividad dentro del marco de la más estricta legalidad, sino también la garantía de ofrecer un servicio basado en la calidad total para el tratamiento y la protección de datos personales. G
(*) Ignacio Escolano Ramos es director técnico de Artyco.