La introducción de nuevas normas de protección de datos redujo significativamente las brechas por parte de las empresas pero impactó negativamente el valor de mercado, según una nueva investigación de la Universidad de East Anglia (UEA) y la Universidad de Texas.
Los investigadores analizaron lo que sucedió cuando el Reglamento General de Protección de Datos (RGPD) de la Unión Europea comenzó a aplicarse en 2018. Usando su alcance extraterritorial, los autores exploran la variación en la exposición de las empresas estadounidenses al RGPD de la UE para ver cómo las leyes de privacidad de datos más estrictas afectaron su valor, las decisiones de inversión y las brechas de datos.
Descubrieron que las empresas que tenían que cumplir con el RGPD vieron disminuir su valor de mercado entre un 0.6% y un 1.1% – es decir, entre $42 mil millones y $76 mil millones en total – en la semana en que entró en vigencia. Esto estuvo relacionado en parte con las leyes más estrictas de privacidad y seguridad de datos que ralentizaron el crecimiento de las ventas de las empresas.
Sin embargo, estas empresas invirtieron más dinero en protección de datos que las que no estuvieron afectadas por el RGDP y fueron menos propensas a experimentar brechas de datos. Esta reducción fue significativa, evitando que se filtraran hasta 34 millones de registros cada año, lo que habría costado a las empresas entre $205 millones y $561 millones al año para tratarlas.
Los hallazgos se publican en la revista _Journal of Business Finance and Accounting_. El coautor, el Dr. Fabio Motoki, profesor de Contabilidad de la Norwich Business School de la UEA, dijo: “En general, este estudio muestra los principales costos y beneficios de las leyes más estrictas de privacidad de datos, proporcionando información útil para empresas y reguladores de todo el mundo.
“Estos resultados sugieren que el RGPD puede haber logrado uno de sus objetivos previstos de mejorar la protección y la privacidad de los datos de los consumidores. Se cree que este es el primer estudio que documenta los posibles beneficios asociados con los recientes esfuerzos para regular estas áreas.
“Específicamente, encontramos que las empresas estadounidenses sujetas al RGPD tienen menos probabilidades de reportar una brecha de datos después de la aplicación del reglamento. La disminución en la probabilidad de una brecha de datos parece estar impulsada por una reducción en las violaciones de datos asociadas con la piratería y el malware, lo que podría atribuirse a una mayor inversión en ciberseguridad.
“Esta mayor inversión podría deberse a la mayor atención de una junta directiva más especializada para supervisar los riesgos de ciberseguridad en las empresas estadounidenses debido al RGPD.”
La UE aprobó el RGPD para abordar las crecientes preocupaciones sobre la privacidad y la seguridad de los datos. Entró en vigor el 25 de mayo de 2018 y requiere una mayor transparencia en la forma en que las empresas recopilan datos de los consumidores, estableciendo un consentimiento expreso claro para la recopilación, imponiendo una gestión y un control de datos más estrictos y asignando sanciones sustanciales y riesgos de responsabilidad por violaciones en el procesamiento o flujo de datos. Como resultado, se pensaba que la regulación era probable que impusiera altos costos de cumplimiento a las empresas.
El RGPD exige que cualquier empresa que controle o procese datos de residentes de la UE cumpla con las normas, independientemente de su ubicación. Por lo tanto, las empresas de todo el mundo, incluidas las de Estados Unidos, podrían estar sujetas al RGPD si procesan datos personales de residentes de la UE.
Muchos estados de los Estados Unidos y otros países, como Brasil, China y Canadá, desde entonces han promulgado o también están debatiendo leyes como el RGPD, destacando la importancia de evaluar las consecuencias de este fuera de la UE.
El Dr. Motoki y el coautor Jedson Pinto, profesor asistente de Contabilidad en la Universidad de Texas, analizaron cómo el RGPD afectó los precios de las acciones de una muestra de 1013 empresas estadounidenses alrededor de la semana en que las reglas entraron en vigor, comparando esas empresas expuestas a ellas con las que no lo estaban.
El grupo de control de empresas no expuestas a riesgos asociados al RGPD opera en los sectores de la salud, la banca o los seguros, ya que ya trabajan bajo leyes de protección de datos más estrictas. Se descubrió que las industrias más afectadas por el RGPD se encontraban en áreas que van desde los servicios empresariales y los servicios públicos hasta los productos farmacéuticos y los contenedores de envío.
Los investigadores dicen que la caída en el valor de la empresa es coherente con los inversores que esperan un efecto negativo sustancial de las leyes más estrictas de privacidad de datos en el flujo de caja futuro de las empresas.
También encuentran que las empresas expuestas al RGPD exhiben un crecimiento de las ventas estadísticamente más lento que las que no están expuestas al RGPD – las que se vieron afectadas vieron un crecimiento de sus ventas entre un 5.8% y un 6.6% más lento que las empresas de control después de que la ley entrara en vigor.
La disminución en la probabilidad de una brecha de datos representó 10 brechas menos en un año. En 2023, el costo por registro de una brecha de tamaño mediano (hasta 101,200 registros) se estimó en aproximadamente $165 por registro, y las brechas grandes tienen estimaciones más bajas por registro pero costos económicos totales elevados.
El Dr. Pinto dijo: “Nuestros hallazgos se suman al creciente cuerpo de literatura que documenta los costos del RGPD, como una disminución de la inversión en capital riesgo de la UE, especialmente cuando las empresas y los inversores principales no se encuentran en el mismo estado o unión.
“Indican que el RGPD puede haber cambiado la forma en que el mercado percibe estas brechas, potencialmente cambiando los incentivos de los ejecutivos para proteger los datos de los clientes. Estos resultados son consistentes con las regulaciones como una forma alternativa de abordar las recientes preocupaciones sobre la privacidad y la seguridad de los datos y deberían ser de interés para los reguladores de todo el mundo que han promulgado o están buscando promulgar leyes similares al RGPD de la UE.”
El Dr. Motoki y el Dr. Pinto también examinaron si el RGPD afectó la forma en que los inversores reaccionaron al anuncio de una violación de datos utilizando información de 62 violaciones en el período de muestra. Encuentran que después del RGPD, los inversores pueden reaccionar más negativamente a una violación de datos para las empresas con requisitos de protección de datos más estrictos.
El efecto es económicamente significativo, con una violación de datos asociada con una caída de hasta el 5.3% en los precios de las acciones en los cinco días alrededor del anuncio de la violación en comparación con las empresas que no están bajo las regulaciones. Dicen que estos resultados son consistentes con los inversores que anticipan costos de litigio significativos asociados con las multas en caso de una violación.
‘Regulating Data: Evidence from Corporate America’, Fabio Motoki y Jedson Pinto, se publica en la revista _Journal of Business Finance and Accounting_.
Journal
Journal of Business Finance & Accounting
Método de Investigación
Análisis de datos/estadístico
Asunto de Investigación
No aplicable
Título del artículo
Regulating Data: Evidence from Corporate America
Fecha de publicación del artículo
18-Jul-2024