Jeffrey Batt , Vice Presidente de la Práctica en Ciberseguridad de Marsh y Director del Global Master in Cibersecurity ISDE – Deloitte
El daño reputacional será una consecuencia central de cualquier multa o sanción relacionada con el reglamento Europeo de GDPR, similar a las consecuencias de un incidente de seguridad o de seguridad relacionada con la ciberseguridad. Los costes financieros asociados pueden ser difíciles de discernir inmediatamente, porque el daño reputacional es menos una pérdida independiente y más un impulso para varias consecuencias potenciales, es decir, consumidores perdidos (en los contextos B2B y B2C), disminución del precio de las acciones y subsiguiente dificultad para la innovación y crecimiento debido a los mayores costes de endeudamiento.
El daño reputacional relacionado con la GDPR es un riesgo esquivo porque el tamaño y el alcance dependen de muchos factores, como los ingresos y la industria, la naturaleza del presunto incumplimiento, la duración del proceso de investigación y el calendario.
Las grandes empresas líderes en ingresos pueden verse sometidas a un mayor escrutinio regulatorio y, por lo tanto, tener una exposición reputacional basada en el alcance de sus esfuerzos de recopilación y procesamiento de datos (además de su reconocimiento de marca más amplio). Esto es llamativo en el caso de las industrias que ya se encuentran en la mira reguladora de la UE, como el sector de tecnología de EE. UU.
Sin embargo, las grandes empresas en estos sectores industriales de mayor riesgo pueden sufrir menos daños reputacionales porque están mejor preparadas, y sus accionistas y consumidores han anticipado la probabilidad de la atención regulatoria, mientras que las empresas en sectores industriales de menor riesgo, como hospitalidad y fabricación, puede sufrir un mayor daño porque la imposición de la multa o sanción será más sorprendente e inquietante.
El daño reputacional relacionado con la GDPR es un riesgo esquivo porque su tamaño y su alcance dependen de muchos factores.
¿Cuál es la violación?
La naturaleza de la supuesta violación es probable que sea el mayor determinante de la pérdida de reputación. Se puede considerar que una empresa no cumple con la GDPR en base a muchas consideraciones diferentes, algunas más importantes que otras. Por ejemplo, según el Artículo 83 del GDPR de la UE, «Condiciones generales para imponer multas administrativas», la GDPR impondrá una multa máxima del 2 por ciento de los ingresos globales o de 10 millones de euros (lo que sea mayor) por fallos de cumplimiento relacionados con el proceso, mientras que el umbral más severo del 4 por ciento del umbral de los ingresos globales / 20 millones de euros se cumplirá si no se cumplen los principios centrales de la reglamentación.
Como punto de comparación, una multa o sanción relativa a la falta de implementación de suficientes protocolos de minimización de datos por parte de una empresa probablemente no se comparta con las repercusiones financieras para recopilar ciertos datos personales sin obtener primero el consentimiento de aceptación o negarse reiteradamente a cumplir con el derecho legítimo de borrar solicitudes sin causa justa.
¿Cuánto tiempo tardará la investigación?
Una vez que se anuncia una investigación, dependiendo de la naturaleza de la alegación, podría haber una caída inmediata en el precio de las acciones o una pérdida considerable de clientes. Una investigación de una autoridad de protección de datos de la UE también puede llevar más de un año de principio a fin, suponiendo que se imponga una multa y el caso no se solucione de otro modo.
Este es un período de tiempo lo suficientemente largo como para que otros factores, como una comunicación de ganancias mal recibida o una respuesta tibia al lanzamiento de un producto, entren en juego, agravando el problema y dando como resultado un daño aún mayor a la reputación de una compañía. En estas circunstancias, puede ser difícil estimar cuánta pérdida de reputación se puede atribuir a la multa o penalización de la GDPR en comparación con otros factores.
El tiempo importa, también
Ninguna empresa querrá convertirse en pionera en el incumplimiento de GDPR y recibir la primera multa o sanción considerable. Dicho esto, la séptima u octava compañía penalizada no necesariamente sufrirá menos daño reputacional que las primeras. Como hemos visto en el último año con respecto a las repercusiones en la reputación derivadas de grandes violaciones de protección de datos, un incidente particularmente grande o perjudicial aún resonará independientemente de si otros han sufrido previamente el mismo destino.
Entonces, ¿Cuál es la mejor manera de mitigar su daño reputacional a partir de una gran confluencia de factores? Hay que considerar lo siguiente:
Asegúrese de que la preparación de GDPR de su empresa y los esfuerzos de cumplimiento estén en marcha con un proceso de implementación definido, diseñado por el departamento de privacidad interno y / o externo y el asesoramiento legal. Esto incluye comprender el tipo de datos que recopila y procesa su empresa, así como reevaluar los proveedores que utiliza para el procesamiento de datos y medir su nivel de conocimiento y cumplimiento de GDPR.
Explore la posibilidad de transferir parte del riesgo a través de una póliza de seguro cibernético para disminuir el impacto financiero si aún no lo tiene. Varios grandes mercados de seguros cibernéticos de EE. UU. Brindan una amplia cobertura para multas y sanciones asegurables por GDPR. Esta cobertura puede potencialmente reducir el daño a la reputación, ya que reembolsaría los costos incurridos por una empresa de relaciones públicas y otros gastos externos después del inicio de una investigación regulatoria relacionada con la GDPR. Algunas aseguradoras incluso ofrecen cobertura por pérdida de ingresos basada en la reputación como resultado de una publicidad adversa derivada de un evento de privacidad, que incluiría un supuesto incumplimiento de GDPR.
Revise y actualice su plan de gestión de crisis para tener una mejor idea de cómo responder de manera óptima a diferentes escenarios, incluido el comienzo de una investigación; litigios relacionados de consumidores, vendedores o accionistas; y la imposición final de una multa, pena o acuerdo de solución relacionado.
Por ahora, sigue habiendo mucha incertidumbre sobre la frecuencia y el tamaño potenciales de las multas y sanciones de la GDPR, que también incluye el alcance del daño reputacional relacionado. La forma en que los medios, los consumidores, los proveedores, los accionistas y el público en general reaccionen dependerá en gran medida de una multitud de factores específicos de la empresa y los incidentes. Sin embargo, salvo una violación flagrante o deliberada, el alcance del daño a la reputación puede ser contenido siempre que las precauciones correctas, algunas de las cuales se describen anteriormente, se implementen en conexión. Después de todo, al igual que otros riesgos organizacionales, la pérdida de reputación debe considerarse como un riesgo que debe administrarse, no eliminarse. Siempre que tenga esta mentalidad y suficientes medidas de cumplimiento establecidas para una regulación que ya ha cambiado las nociones y expectativas en torno a la privacidad tal como la conocemos, el daño reputacional relacionado con el GDPR, como con otros obstáculos regulatorios que lo precedieron, puede minimizarse.
Fuente: Brinknews