Investigación: Una política de privacidad sólida puede ahorrarle millones a su empresa

Osman Rana/Hayon Thapaliya/Unsplash

Los ciberataques van en aumento, con Se están produciendo más de 1000 filtraciones de datos en organizaciones estadounidenses solo en 2016, la mayoría de las veces mediante hackeo o robo externo. Y no son solo las empresas infringidas las que se ven perjudicadas por estos incidentes. Estudiando cientos de filtraciones de datos, nuestra investigación ha descubierto que crean repercusiones importantes que afectan a otras empresas del sector.

Nuestras investigaciones muestran que las filtraciones de datos a veces perjudican a los rivales cercanos de una empresa (debido a los efectos indirectos), pero a veces los ayudan (debido a los efectos en la competencia). Es más, hemos descubierto que una buena política de privacidad corporativa puede proteger a las empresas del daño financiero que supone una violación de datos, ya que ofrece a los clientes transparencia y control sobre su información personal, mientras que una política defectuosa puede agravar los problemas causados por una infracción. En conjunto, estas pruebas son las primeras que muestran que los rivales cercanos de una empresa se ven afectados directa y financieramente por la violación de datos y también ofrecen soluciones prácticas que podrían ahorrar a algunas empresas cientos de millones de dólares.

Nuestras investigaciones muestran que, a veces, una brecha provoca un derrame, en el que los inversores perciben un efecto de culpa por asociación que perjudica a los rivales cercanos de la empresa infringida. Como ejemplo del daño a la competencia debido a estos efectos indirectos, piense en la violación de datos de Nvidia de julio de 2012, que afectó a 400 000 cuentas de usuario. Su rival Advanced Micro Devices (AMD) perdió unos 48 millones de dólares el día del evento (una caída del -1,4% en el precio de las acciones) debido a los efectos indirectos de la violación de Nvidia, lo que controló los efectos generales en el mercado. Es decir, si eliminamos de nuestros análisis todos los demás eventos que podrían haber influido en la caída de las acciones de AMD, como las declaraciones de dividendos, la firma de contratos, la información sobre los resultados o las fusiones y adquisiciones, descubrimos que la violación de datos de Nvidia ha provocado un daño claro y significativo.

De hecho, los efectos indirectos en nuestra muestra pusieron de manifiesto una caída del precio de las acciones, con una media de más de 8 millones de dólares en pérdidas para las firmas rivales en las que no se produjo ninguna violación de datos de este tipo. Nuestros resultados muestran que el impacto financiero a las cotizaciones de las acciones de estos rivales se puede detectar durante varios días después de la violación de datos antes de que finalmente se estabilice.

Sin embargo, una infracción a veces puede ayudar a un rival cercano y generar efectos competitivos beneficiosos. Pensemos en la violación masiva de datos de Anthem en febrero de 2015, que afectó a hasta 80 millones de clientes. La gran gravedad de esta infracción llevó a su rival Aetna a ganar unos 745 millones de dólares (un 2,2% más en las cotizaciones de las acciones) el día del evento debido a los efectos en la competencia, lo que volvió a controlar los efectos generales en el mercado. En esta situación, una violación de datos de esta magnitud hace que los inversores se preocupen de que los clientes pasen en masa a la competencia, lo que supone un impulso positivo a la cotización de las acciones de un competidor cercano.

Nuestras investigaciones muestran que la gravedad o el número de clientes afectados por una infracción es clave para entender si los rivales cercanos se verán perjudicados o ayudados por la mala suerte de su competidor. A medida que aumenta el número de clientes perjudicados por la infracción, los efectos bursátiles para los rivales de la empresa pasan de negativos a positivos, a medida que los efectos sobre la competencia se hacen más dominantes. Esto sugiere que las infracciones más pequeñas indican que otras personas del sector también podrían ser vulnerables a la piratería informática. Sin embargo, las grandes filtraciones de datos dan la impresión de que la empresa objeto de la infracción tiene un problema único. Nuestras investigaciones muestran que, en las grandes filtraciones de datos, los clientes desean cada vez más dejar la empresa violada. El comportamiento de cambio esperado beneficia en última instancia a los competidores de la empresa quebrada, como se refleja en la rentabilidad de sus acciones.

La buena noticia es que las empresas no están impotentes ante los efectos de la violación de datos. Hay estrategias prácticas que pueden utilizar para protegerse o vacunarse de su propia brecha o la de un rival. Mediante estudios en los que se consultó a cientos de clientes que reclutamos en Amazon Mechanical Turk, junto con el análisis de los datos bursátiles de cientos de empresas durante la última década, nuestro estudio revela que las empresas pueden protegerse de los daños causados por la violación de datos mediante la implementación de dos importantes prácticas centradas en la privacidad que benefician a los clientes.

En primer lugar, pueden explicar claramente a los clientes cómo utilizan y comparten sus datos. Las prácticas de privacidad transparentes indican a los clientes qué información específica recopilan las empresas y cómo la utilizan (por ejemplo, la dirección IP, el historial de búsquedas, las promociones, la información que se vende a terceros). En segundo lugar, las empresas pueden dar a los clientes un amplio control sobre el uso y el intercambio de sus datos. El control se obtiene al ofrecer a los clientes la oportunidad de excluirse de las prácticas de datos de la empresa (promociones, intercambio con socios, ventas). En conjunto, se consideró que estas medidas capacitaban de manera eficaz a los clientes, dándoles más conocimientos y la posibilidad de opinar en las prácticas comerciales.

¿Por qué estudiar las políticas de privacidad?

Aunque las empresas pueden ofrecer transparencia y control a través de diversas comunicaciones con los

…

Cuando una empresa tenía prácticas de privacidad transparentes, los clientes de nuestros estudios pensaban que tenían los conocimientos necesarios para tomar una decisión informada sobre el intercambio de sus datos personales. Cuando las prácticas de privacidad de una empresa ofrecían el control, los clientes sabían que podían cambiar sus preferencias sobre qué y cómo compartían su información. En nuestros estudios, los clientes no castigaban a las empresas infringidas que proporcionaban transparencia y control. Los clientes empoderados están más dispuestos a compartir información y son más tolerantes con las violaciones de la privacidad de los datos, y se mantienen leales después de los hechos, como hemos aprendido. Los clientes de firmas que ofrecen un alto nivel de transparencia y control declararon que se sentían menos infringidos por las prácticas de macrodatos, dieron fe de que tenían más confianza, proporcionaron datos más precisos a la empresa y tenían más probabilidades de generar un boca a boca positivo.

Las empresas que ocupan un lugar destacado en estas dos dimensiones también se vieron afectadas por los daños en el precio de las acciones durante las filtraciones de datos, ya fueran propias o de sus rivales. Sin embargo, solo alrededor del 10% de las firmas de la lista Fortune 500 se ajustan a este perfil.

Para estudiar cómo una empresa implementa prácticas que proporcionan transparencia y control, necesitábamos analizar las formas documentadas en las que las empresas explican su enfoque de la privacidad de los datos de los clientes. Al estudiar el uso que hacen de la transparencia y el control en sus políticas de privacidad, queríamos entender qué tan protegidas estaban las empresas de la lista Fortune 100 de los efectos negativos de las filtraciones de datos. Nuestro equipo de investigación analizó las políticas de privacidad de todas las firmas de la lista Fortune 100 para obtener información.

Nuestros hallazgos muestran que algunas empresas ofrecen altos niveles de transparencia y control de los datos y que estarían protegidas de las filtraciones de datos. (Consulte nuestra clasificación en la exposición «¿Qué tan buenas son las políticas de privacidad de Fortune 100?») Las principales firmas, como Costco, Verizon y HP, estarían protegidas de los efectos indirectos si un competidor cercano sufriera una violación de datos. Estas firmas transmiten con claridad la información que capturan y cómo la capturan, a la vez que ofrecen a sus clientes un control sustancial o una opinión sustancial a la hora de compartir y usar esa información.

En el otro extremo de la clasificación están firmas como Citigroup, Morgan Stanley y HCA. En 2011, Citigroup sufrió una violación de datos del registro de 146 000 clientes y sufrió una pérdida de valor bursátil de 1.300 millones de dólares. Según nuestro análisis, si Citigroup hubiera adoptado prácticas de gran transparencia y alto control, solo habría sufrido una pérdida de unos 16 millones de dólares en acciones. Es decir, Citigroup podría haber ahorrado unos 820 millones de dólares si simplemente hubiera ofrecido a sus clientes un alto nivel de transparencia y control. En respuesta a esta infracción, Citigroup gastó 250 millones de dólares en sistemas de ciberseguridad y contrató a otros 1000 profesionales de TI. Sin embargo, nuestra codificación de sus prácticas revela que, tan recientemente como en 2016, Citi todavía no ofrecía altos niveles de transparencia y control. Por lo tanto, si bien sus medidas de protección de TI mejoradas pueden ser sólidas, nuestras investigaciones muestran que la empresa sigue en riesgo en caso de que un competidor sufra una infracción.

Metodología de clasificación de empresas

Creamos transparencia y control variables con procedimientos que empleaban una combinación de

…

Si analizamos la clasificación, otras firmas parecen ofrecer uno de estos aspectos a los clientes. Por ejemplo, algunas empresas ofrecen transparencia, pero no dan a los clientes la posibilidad de actuar en función de esta información (bajo control). En nuestra investigación, este enfoque no fue bien recibido por los clientes.

Por último, las empresas que no digan a los clientes cómo utilizan sus datos ni ofrecen ningún tipo de control corren el mayor riesgo de sufrir un perjuicio financiero. Nuestro análisis de privacidad mostró que un abrumador 80% de las firmas de la lista Fortune 500 pertenecen a esta categoría. En nuestro estudio, las empresas que no explicaron sus prácticas de privacidad de datos tuvieron una caída 1,5 veces mayor en el precio de las acciones que las empresas con una alta transparencia, mientras que las empresas que proporcionaron a los clientes un alto control no sufrieron cambios significativos en su cotización tras una violación de datos.

En última instancia, las empresas pueden utilizar las prácticas de privacidad de datos para protegerse de los efectos indirectos de las infracciones de privacidad de la competencia, pero sus esfuerzos para hacerlo tienen que ser significativos. Deben explicar claramente a los clientes las formas en que accederán, utilizarán, compartirán y protegerán la información de los clientes, y eso debe ir de la mano de dar a los clientes el control sobre estos usos de los datos. De lo contrario, la empresa corre el riesgo de sufrir múltiples daños.

Nota del editor: Cada clasificación o índice es solo una forma de analizar y comparar empresas o lugares, en función de una metodología y un conjunto de datos específicos. En HBR, creemos que un índice bien diseñado puede proporcionar información útil, aunque por definición sea una instantánea de un panorama más amplio. Siempre le recomendamos que lea la metodología detenidamente.