Cornerstone: “Nosotros no somos dueños de nuestros datos como lo somos de un coche o una casa”

Aprovechamos la visita que hizo a España José Alberto Rodríguez Ruiz, Data Protection Chief de Cornerstone, un perfil asimilado a los CDO anglosajones, para conocer las novedades que traerá la nueva ley en aras de habilitar y armonizar los derechos individuales de privacidad en toda la UE.

Cornerstone empezaron en Santa Mónica (California) en 1999 justo después de que Salesforce iniciara la era cloud computing con un novedoso modelo de gestionar el CRM que a ninguno de los grandes players inquietó entonces. Ellos eligieron el camino de la formación online (eLearning) y gestión del talento. Hoy están posicionados en el cuadrante mágico de Gardner cómo líderes, pese a ser una compañía de nicho, haciendo sombra a compañías con suites para el capital humano (HCM) como SAP u Oracle. “Las dos únicas razones son tener muchos clientes o contar con una gran innovación y tecnología, y ambas premisas las cumplimos”, explica Carlos Rivera, responsable de ventas de Cornerstone en España. “Gestionamos un gran volumen de información de más de 32 millones de personas con una media de 10.000 registros por compañía, unificada en una única base de datos global. Ello nos permite aportar algoritmos que permiten hacer benchmarks basados en datos anonimizados que en cuestión de segundos aportan a los gestores información relevante de su situación respecto a las medias de su sector, así como generar parámetros y sacar conclusiones de cómo afectarán simulación de escenarios basadas en factores predictivos”.

En España, en la que tienen presencia desde hace siete años, cuentan tanto con compañías de decenas de miles de empleados como Santander o BBVA a empresas de varios miles como Cellnex o Eroski. Hay que especificar que Cornerstone no solo se alimenta de los datos de los empleados, sino también de usuarios externos, de ahí su gran volumen. Las herramientas que proporciona Cornerstone OnDemand realmente acompañan al ciclo de vida de un empleado durante toda su permanencia en la empresa: recruiting (ofertas de trabajo, curricula vitae, datos de contacto), learning (contenidos, resultados, expedientes), performance (desde compensación, salarios y objetivos, hasta planes de carrera, habilidades y competencias) y HR (datos de contacto, datos bancarios, datos médicos, datos organizativos…).

La gestión del talento ha ido evolucionando en estos últimos 20 años: si en 1995 eran aplicaciones específicas para un determinado proceso de RRHH, en 2005 se apostaba ya por un sistema integrado de módulos que completaban diversas acciones, pero no fue hasta 2015 que se empezó a aplicar la opción del data-driven, esto es, la facultad de tomar decisiones basadas en datos objetivos más que en intuiciones.

cornerstone-2-rivera

Los algoritmos de Cornerstone se aplican a múltiples aspectos de los RRHH. Son capaces de calcular la disposición y el potencial de cada empleado para un determinado puesto en los casos de sucesión, o mostrar de manera predictiva la ruta más lógica en un plan de carrera lo cual permite por un lado motivar y retener al trabajador y por otro facilitarle la elección de las formaciones más idóneas. Pero no hecho a ojo por alguien en RRHH, sino con porcentajes obtenidos en segundos y basados en información que bebe de todos los módulos, labor que de otra manera se tardaría semanas o meses en conseguir. Eso sí, primero se necesita al menos un año de ir alimentando el histórico de la base de datos para poder empezar a dar resultados fiables.

“En este sentido y en el empleo de información particular de empleados nos impacta de lleno el nuevo reglamento general de protección de datos de la UE, el RGPD, y aunque se llama de protección de datos yo la definiría antes como ley de protección de personas, porque cuando hablamos de datos estamos hablando de personas, y en el fondo se trata de prevenir un abuso por un mal uso de los mismos”, apunta Rivera.

Todo depende

Quedan nueve meses hasta que entre en vigor el RGPD, y las empresas deben conocer a lo que van a estar obligadas en materia de uso y custodia a partir del 25 de mayo de 2018. España cuenta con la ventaja de una LOPD que lleva vigente desde 1999 y que trasladaba la directiva inicial europea de 1995, ha estado obligando a las empresas a adoptar una serie de medidas en este sentido hay una cierta cultura relativa a garantizar la privacidad de los datos. Pero, ¿están preparadas para la implantación del RGPD? Esta ley actualiza muchos supuestos y trae una serie de cambios, los más significativos se encargó de desgranarlos José Alberto Rodríguez Ruiz, Data Protection Chief de Cornerstone (por cierto, el único departamento que está fuera de EEUU, concretamente en París, lo cual da idea de la importancia que da la compañía a la nueva legislación europea).

“Por ofrecer una imagen que me permitiese explicar simple y gráficamente lo que es esta ley, he elegido la de una croqueta: sin duda un alimento basado en ingredientes muy básicos, que admite luego múltiples interpretaciones (pero ninguna como las de la abuela)”. Y aclara el DPO de Cornestone: “Lo básico es saber cuándo procede recopilar datos, cómo deben ser procesados y qué derechos vienen derivados. Lo diferente es en el supuesto de que haya una fuga de datos cómo evalúan las autoridades las penas, que si en la actual legislación española podían llegar a los 600.000 euros, con el nuevo RGDP pueden alcanzar los 20 millones de euros o el 4% de la última facturación anual, lo mayor. Los mismos principios se pueden aplicar de manera diferente, según el contexto, la cantidad o la sensibilidad. A menudo la única respuesta que podemos ofrecer es un… depende”.

cornerstone-3-rodriguez-ruizDe hecho, es notoria la multa puesta hace unos pocos días a Facebook en España de 1,2 millones de euros (realmente la suma de dos conceptos de 300.000 euros cada uno y otro de 600.000) por el mal uso de los datos de los usuarios para fines publicitarios. “Eso hubiera sido sin duda muchísimo más con la futura legislación, que actuará de manera más disuasoria sobre este tipo de prácticas. Nosotros nos somos dueños de nuestros datos como lo somos de un coche o una casa. Nuestros datos figuran en múltiples organizaciones, la diferencia es cuando son cedidos voluntariamente o consta un consentimiento previo. No es lo mismo apuntarte a una lista para recibir un boletín electrónico a que se rastree tu historial de navegación para extraer conclusiones sobre tu ideología, intereses religiosos, sexuales o incluso médicos. Ya en Francia, si quieres pedir un crédito hipotecario con seguro de pago, la aseguradora te exige un informe médico que comporta un electrocardiograma y un análisis de sangre para su concesión; y es el país de las libertades y los derechos humanos. Sin duda, hay que extremar las garantías de custodia de esos datos, y que sean utilizados única y exclusivamente para la finalidad mencionada: solo se usarán los datos que hagan falta”.

Las empresas con síndrome de Diógenes lo pasarán mal con la RGDP: no va a valer recopilar todos los datos posibles que pasen por delante aunque no sepamos cómo los vamos a emplear o si los vamos a emplear alguna vez, solo por si acaso: necesitan una finalidad precisa. Pero además, no se pueden guardar eternamente: se deben borrar pasado un tiempo de su utilización. “Este es un punto delicado de la nueva ley, porque a menudo no sirve un simple borrado de la base de datos, los datos suelen estar enlazados a otros datos, y romper esa cadena sin desajustar la aplicación o empiece a dar errores no es tan sencillo. Por eso prácticamente nadie lo hace. Nosotros ya hemos trabajado en incorporar por defecto en el ciclo de desarrollo de nuestro software estas consideraciones, mejorando las capacidades de anonimación y de borrado”, dice Rodríguez Ruiz. “Otra preocupación es tratar la seguridad y prevenir la fuga de datos estableciendo los mecanismos automáticos y protocolos oportunos de buenos hábitos, se trata de hacerlo con la naturalidad con que se pone uno un casco al entrar en una obra”.

El RGDP otorga una gran flexibilidad, porque tampoco dice cuántos años hay que guardar los datos, si tres o cinco. También habla de la creación de una nueva figura, el DPO (delegado de protección de datos), que será responsable de llevar a la práctica su cumplimiento, realizar la evaluación del impacto de la custodia y fuga de datos en las empresas, ser el contacto con las autoridades regulatorias. Pero abre la puerta a que pueda subcontratarse sus servicios como un asesor externo. “Sin embargo, no todas las empresas podrán permitirse incorporar este perfil, pero no hay ninguna lógica que impida no tenerlo a empresas que manejen más de 5.000 clientes y tengan datos de 30.000 personas, en la RGPD no se da ninguna orientación, solo que es obligatorio”.

Para acabar, otra novedad que trae la RGDP es que mientras hasta ahora la obligación de custodia de los datos correspondía a la empresa final, ahora la responsabilidad también se extiende a toda la cadena de proveedores. “Antes podías tener tus propios servidores o tener tus datos alojados en un datacenter concreto, y echar la culpa al otro, pero ahora con la nube la ley quiere garantizar que la responsabilidad de los datos recaiga sobre todos los intervinientes, estén donde estén alojados los datos”.