La autora es Data Risk & Privacy Manager dentro del área de Cybersecurity, Privacy & Forensics en PwC México.
El riesgo de terceros o TPRM –riesgo que supone para una empresa colaborar con otra; con un proveedor, por ejemplo– se posiciona como uno de los principales obstáculos para que empresas extranjeras inviertan en México y formen parte de la gran tendencia del nearshoring. ¿La razón? Pocas son las compañías mexicanas que cumplen con las certificaciones y estándares internacionales de protección de datos.
Hace apenas tres años, sólo California, Colorado y Virginia tenían una regulación en materia de protección de datos. Actualmente, son poco más de 16 estados, del vecino país del norte que la tienen –entre ellos Texas, Nuevo México y Arizona, que comparten frontera con nuestro país–. Si bien, el intercambio comercial entre estas demarcaciones y México es ya muy importante, se espera que incremente notablemente a partir de la tendencia del nearshoring.
Pero ¿por qué el riesgo de terceros podría ser un obstáculo para que las inversiones tengan como destino México? Supongamos que una empresa estadounidense contrata un servicio de centro de atención telefónica en una ciudad mexicana para ser aún más competitiva en su propio país. Sin embargo, la empresa proveedora en México sufre una fuga de datos de los clientes de la compañía que la contrató. ¿Cuáles serían las consecuencias? Primero, se perdió la confianza en esta empresa, y, luego, vendrían las multas por parte de la autoridad estadounidense, pero, por supuesto, no para la empresa en México, sino para la empresa que contrató a la compañía mexicana. Esto claro, sin meternos en temas de inteligencia artificial, lo cual agregaría un nivel de complejidad a la ecuación que no se abordará aquí.
Las empresas que inviertan en nuestro país por la tendencia de nearshoring, buscarán que las compañías en México cumplan con los estándares de regulación de protección de datos de sus países de origen.
Aspectos como este se consideran en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que en su artículo 44 especifica que “las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen lo dispuesto por la presente Ley. Dichos esquemas deberán contener mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento”. Esto es, en la Ley se especifica la existencia de certificaciones, actualizaciones y mecanismos que permitan el cumplimiento de la protección de datos.
¿Una razón más para que las empresas que busquen invertir en México por la relocalización de cadenas productivas exijan el cumplimiento de sus propios estándares? Durante el año 2023, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) impuso multas por un monto total de 46.8 millones de pesos a personas físicas y/o morales que infringieron la LFPDPPP. Además, según el Estudio sobre el Estado Global de la Ciberseguridad de 2023, que realiza Infoblox, 7 de cada 10 organizaciones mexicanas sufrieron, al menos, una filtración de datos. De acuerdo con este mismo informe, la amenaza más urgente en los próximos 12 meses es la fuga de datos (51%). Y sí, México se encuentra dentro de los tres países más vulnerables de Latinoamérica.
En este contexto es importante que las empresas conozcan las certificaciones requeridas que impulsan la protección de datos –una de las más comunes es la serie de normas ISO 27000, que promueven la seguridad de la información–, lo mismo que las certificaciones para profesionales –hay compañías que exigen, por ejemplo, certificaciones de hackeo ético–. Estas últimas son cada vez más comunes.
Ante este escenario, las organizaciones deben alejarse de la mentalidad del cumplimiento, para incorporar una de riesgo ante la pérdida de competitividad. Hoy la gran amenaza es perder oportunidades, la reputación y a los clientes. Y si las empresas aspiran a formar parte de la tendencia del nearshoring, bien vale la pena invertir en las medidas correctas.
FUENTES:
https://home.inai.org.mx/wpcontent/documentos/SalaDePrensa/Comunicados/Comunicado%20INAI-007-24.pdf
https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
https://insights.infoblox.com/resourcesinfographics/infoblox-infographic-mexico2023-global-state-of-cybersecurity-study