El rol de la colaboración para equilibrar la experiencia del cliente con la seguridad y la privacidad

En opinión de Yaron Cohen, las empresas de hoy deben hacer en el mundo digital lo que era natural para los comerciantes de barrio que veían a sus clientes todos los días.

"En el mundo antiguo, cuando la gente iba a la tienda de la esquina y se encontraba con el mismo tendero todos los días, éste conocía sus gustos y lo que compraban y les personalizaba la experiencia", dice Cohen, investigador de la experiencia del usuario centrado en la estrategia digital.

"Pero ahora estamos en un lugar donde todo es mecánico. En el mundo del comercio electrónico no hay conexión humana, por lo que para entender a ese cliente hay que recopilar datos. Ahí empiezan los problemas de privacidad".

Organizaciones de todos los tamaños y tipos están recopilando cada vez más datos sobre las personas, ya que intentan crear mejores experiencias para los clientes y ofrecer servicios personalizados.

Un estudio de 1.000 ejecutivos de Skynova, que ofrece facturación en línea para pequeñas empresas, descubrió que el 86% de los 1.000 propietarios y ejecutivos de empresas que encuestó recopilaban datos de sus clientes.

El 75% de las empresas con menos de diez empleados lo hacía, frente al 93% de las organizaciones con más de 100 trabajadores. El estudio también demostró que el 64% recogía datos de sus clientes a través de sus redes sociales.

Sin embargo, recopilar y utilizar todos los datos crea problemas, como señala Cohen. Las organizaciones corren el riesgo de que les roben los datos en un ciberataque, y se arriesgan a recopilar o utilizar los datos de forma que se incumplan las innumerables leyes de privacidad de datos que han surgido en los últimos años en todo el mundo.

También corren el riesgo de alienar a las mismas personas a las que intentan servir con sus iniciativas de experiencia de usuario (UX) basadas en datos. Una encuesta de KMPG de 2021 pone de manifiesto esta dicotomía. En ella se constata que el 70% de los 250 líderes empresariales encuestados afirma que sus empresas aumentaron la recopilación de datos personales de los consumidores durante el año anterior.

Sin embargo, el 86% de los 2.000 encuestados de la población general afirmó que la privacidad de los datos es una preocupación creciente para ellos, el 68% dijo que el nivel de recopilación de datos por parte de las empresas es preocupante y el 40% no confía en que las empresas utilicen sus datos de forma ética.

Los líderes empresariales parecen estar tomando nota: KMPG descubrió que el 62% estaba de acuerdo en que sus empresas deberían hacer más para reforzar las medidas de protección de datos.

Los directivos de las empresas intentan ahora determinar cómo crear políticas y prácticas que garanticen que tienen y pueden utilizar los datos necesarios para hacer posible la UX -incluidas las interacciones y los servicios digitales personalizados- al tiempo que salvaguardan la privacidad y la seguridad de los datos de los usuarios.

Conseguir ese equilibrio no es negociable, afirma Damon McDougald, director de identidad digital global de la empresa de servicios profesionales Accenture.

"A los consumidores les preocupan los datos que tienen que proporcionar para obtener un servicio, a dónde van esos datos y si esos datos permanecen en la empresa", afirma McDougald. Pero al mismo tiempo, "una buena experiencia del cliente y una mala experiencia del cliente es la diferencia entre mantener o perder clientes".

Por supuesto, no existe una fórmula mágica para calcular el equilibrio adecuado, pero los expertos en UX y privacidad afirman que los ejecutivos pueden encontrar las compensaciones adecuadas entre permitir la experiencia del usuario y apoyar la privacidad de los datos.

La colaboración entre los equipos de negocio, privacidad y seguridad es fundamental

Karena Man, consultora de tecnología que dirige la práctica de datos y la práctica de responsables tecnológicos de la Costa Oeste de EE.UU. en la empresa de consultoría de gestión Egon Zehnder, afirma que los ejecutivos de seguridad y privacidad deben anticiparse a la resistencia de algunos de sus colegas de la unidad de negocio cuando intenten aplicar y hacer cumplir las medidas de protección de datos.

Los jefes de producto, los directores de marketing y otros "sentirán que estás quitando flechas de sus carcajadas", dice Man, señalando que los jefes de seguridad y privacidad todavía son vistos a menudo como los vigilantes del pasillo que tratan de bloquear los datos.

Para contrarrestar esta reputación, afirma que los responsables de seguridad y privacidad deben trabajar con sus homólogos de productos, marketing y ventas para entender los conceptos de UX y de recorrido del cliente.

"El director de seguridad debe pensar en sí mismo como un líder empresarial con experiencia en riesgos, seguridad y cumplimiento de la normativa, y como alguien que puede pensar en cómo hacer crecer el negocio", añade.

McDougald está de acuerdo, y dice que es algo que debería haberse hecho. "Muchas organizaciones están aisladas y hablan entre sí con muy poca frecuencia; no veo que se produzcan muchas conversaciones", afirma. Pero la definición de las compensaciones entre una gran experiencia de usuario y el mantenimiento de los niveles adecuados de privacidad requiere la colaboración de una serie de ejecutivos.

"Es imperativo que la organización de seguridad se asocie con los propietarios de los productos y las líneas de negocio para ayudarles a entender las necesidades de privacidad y a cumplir con esos requisitos".

Al mismo tiempo, Rebecca Herold, directora general de la consultora The Privacy Professor, afirma que los jefes de seguridad y privacidad deben ayudar a los responsables de las unidades de negocio a comprender la complejidad de la normativa sobre datos.

Herold afirma que ha trabajado con organizaciones en las que los responsables de las empresas hacen suposiciones erróneas sobre qué datos pueden utilizar y de qué manera. Por ejemplo, dice que ha conocido a vendedores que creían que la información de los usuarios que obtenían de los sitios en línea era pública y, por tanto, no eran datos personales que requirieran protección de la privacidad por ley.

"Las personas ajenas a la oficina de seguridad o privacidad a menudo no saben qué datos tienen que podrían considerarse personales, o pueden estar utilizándolos de formas que no se dan cuenta de que crean riesgo o violan la normativa en nombre de la experiencia del cliente", explica Harold, que también forma parte del Grupo de Trabajo de Tendencias Emergentes de la asociación profesional de gobernanza ISACA.

La colaboración permite mejorar el riesgo y la experiencia del cliente

La colaboración, dicen los expertos, ayuda a todas las partes interesadas -seguridad, privacidad, riesgo, legal, marketing, ventas, productos- a alinear mejor las actividades de UX con las normas de privacidad. "Ayuda a asegurarse de que las políticas de privacidad están respaldadas por lo que sea que estén haciendo en la experiencia del usuario", dice Harold.

Además, los esfuerzos de cooperación permiten a los equipos ser más deliberados a la hora de determinar los datos que necesitan en lugar de recopilar todo lo que puedan, una distinción que puede reducir el riesgo al mantener la recopilación, el almacenamiento y el uso de los datos al mínimo necesario.

Cohen afirma que la cooperación también crea más oportunidades para que las partes interesadas desarrollen, articulen y habiliten las solicitudes de datos dirigidas al usuario -en otras palabras, las funciones de inclusión y exclusión-, algo que exigen algunas leyes, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

Cohen cree que las organizaciones deben presentar a los usuarios detalles claros y comprensibles sobre qué datos se recogen y cómo se utilizan.

También dice que las organizaciones deben crear funciones de inclusión y exclusión fáciles de usar que permitan a los usuarios seleccionar diversos grados de intercambio de datos -y corregir los datos erróneos- a lo largo del ciclo de vida de los datos. Se trata de "legibilidad, agencia y negociabilidad, y de tomar estos tres principios rectores y diseñar un sistema en torno a ellos", afirma.

Cohen y otros afirman que cada vez más ejecutivos de empresas prestan atención a estas cuestiones. Una encuesta de 2022 sobre la gestión de los riesgos empresariales de PwC muestra que la ciberseguridad y la privacidad, así como la experiencia del cliente, están recibiendo una atención similar por parte de los ejecutivos, ya que el 49% afirma que está aumentando las inversiones en el primer ámbito y el 48%, en el segundo.

"Está absolutamente en la mente de las empresas", dice Man. Esto, a su vez, ha hecho que las partes interesadas ajenas a las funciones de seguridad y privacidad se muestren receptivas a incorporar partes de estas disciplinas en su propio trabajo, según los expertos.

Por ejemplo, Herold dice que ha realizado ejercicios de mesa con profesionales del marketing, que les han explicado las ideas de UX y los datos que necesitarían para llevarlas a cabo mientras ella les ayudaba a aprender a analizar los posibles riesgos de seguridad y las violaciones de la privacidad. "De este modo, se les proporciona una formación que pueden utilizar", afirma.

Herold también recomienda a los equipos de seguridad y privacidad que enseñen a otras partes interesadas a realizar evaluaciones de impacto sobre la privacidad en las iniciativas de UX propuestas, para que puedan detectar los problemas a tiempo y corregir el rumbo. "Pueden seguir haciendo la experiencia del usuario, pero lo hacen de una manera que también protege la privacidad", dice Herold.

Mientras tanto, Man dice que trabajó con un CISO en una empresa de contenidos que enseñó al equipo de productos a realizar una modelización de amenazas, que ahora utilizan cuando desarrollan nuevas funciones para identificar los problemas de privacidad que podrían violar cualquier normativa o política empresarial. "Esto les permite pensar en el riesgo que están abriendo y sopesarlo con las características que están tratando de habilitar", explica Man.

Man dice que la CISO pudo conseguir que el equipo de producto adoptara este enfoque en parte porque había apelado a su "sentido de la administración", señalando que el equipo no querría que su trabajo fuera la causa de una infracción o de una acción reguladora. "Ese enfoque", añade Man, "es algo que realmente resuena".