Data Protection Officer, el nuevo superhéroe
- Reportajes
Entre las novedades que propone la GDPR, de obligado cumplimiento a partir del próximo 25 de mayo de 2018, está la figura de un Data Protection Officer (DPO), la figura responsable de la privacidad que, con una función preventiva y proactiva, se encarga de supervisar, coordinar y trasmitir la política de protección de datos tanto dentro como fuera de la empresa. Además, se le considera como el punto de encuentro entre el responsable del fichero y/o tratamiento, el afectado y la autoridad de control, que en España será la AEPD (Agencia Española de Protección de Datos).
El 25 de mayo de 2018 el Reglamento General de Protección de Datos (GDPR), la normativa sobre protección de datos firmada hace año y medio, será de obligado cumplimiento. Pocas dudas hay sobre el impacto que tendrá en las empresas, en todas las que, independientemente de su tamaño, gestionen datos personales, de empleados o de terceros. Su objetivo es el de superar la fragmentación normativa existente y modernizar los principios de privacidad en la Unión Europea. Pero quizá la mayor novedad de la GDPR es que ha elevado la privacidad y la protección del dato a la máxima potencia. Si el big Data convirtió al dato en el petróleo del nuevo siglo, la GDPR hace que “por primera vez, la responsabilidad en cuanto al dato sí que se incorpora como una variable de decisión en cómo voy a trabajar”, decía Roland Ruiz, consultor de software de Information Builder, durante la tercera edición del Chief Data Officer Day (CDO 2017) celebrado en Madrid y en el que, por primera vez se ha desarrollado un summit dedicado al DPO (Data Protection Officer) y ciberseguridad.
|
Este contenido forma parte de IT Digital Security 1. Puedes descargar la revista aquí. Whitepaper Directirces para el Data Protection Officer (DPO) |
La GDPR impacta sobre las empresas en distintos niveles: técnico, legal y organizativo. Sus elementos más relevantes son el derecho de los ciudadanos a la portabilidad de sus datos; la necesidad de obtener un consentimiento activo a la hora de recabar los datos; el deber de las empresas a notificar a la Agencia de Protección de Datos y a los clientes potencialmente afectados si han sufrido una intrusión; y el nuevo cargo de DPO, o Data Protection Officer, el responsable de supervisar la estrategia de protección de datos y su implementación para cumplir con la normativa.
Durante su participación en una ponencia, David Moreno, CISO de Grupo Cortefiel, aseguraba que “los retos del DPO van más allá de lo técnico, hacia lo legal. Tienen que enfrentarse a la estructura y mentalidad de la organización, a la regulación, a los departamentos de marketing –que tiene que saber cómo tratar cierta información. Es un superhéroe”. Y añadía el directivo que “nadie sabe hacer eso porque hasta ayer esa figura no existía”, y requiere un proceso de aprendizaje continuo.
Compañera de escenario, Montserrat Valentí Vall, responsable de Asesoría Jurídica y Cumplimiento Normativo de Seguros Catalana Occidente, aseguraba que el DPO es “una figura que debe tener mucha capacidad de negociación, de poder convertir en ventaja lo que estaba en contra. Una persona pragmática y realista capaz de responder a cómo llevar a cabo una portabilidad o cómo establecer la base legal asociada a ese tratamiento”. Elena Mora González, Subdirectora Marco Regulatorio de Seguridad de Mapfre, por su parte, no quiso olvidarse del papel del Data Protection Officer en cuanto a concienciar y divulgar, “porque cuando hablamos de un proyecto de adecuación hablamos de un proyecto de toda la organización. La GDPR es una obligación de toda la compañía”, y advertía que el día a día de un DPO “puede ser muy diferente de una organización a otra, porque una puede ser muy tecnológica y otra más legal. Un centro médico difiere de un centro asegurador”.
Los expertos hablan
Sobre el perfil del DPO y el impacto que la GDPR va a tener en las empresas hablamos con algunos de los asistentes al Chief Data Officer Day.
María José Pérez Guillén, Senior DSG Consultant de Informatica, dice que la GDPR impacta de una forma muy global a todas las compañías y por eso se hace necesaria la figura de un DPO que centralice todos los cambios que supone esta regulación. ¿Y cuál sería el perfil de un DPO? “Debe ser una persona que conozca muy bien la legislación, por lo tanto, tendrá que venir del departamento de legal, y a su vez tendrá que ser tecnólogo porque tendrá que ser capaz de traducir todos los cambios que trae la legislación al departamento de TI. Por tanto, es un perfil bastante complejo y bastante completo”, dice Pérez Guillén.
Dice también la ejecutiva que la del DPO es una figura que cuesta encontrar y recuerda que en Europa hay 40.000 puestos vacantes de DPO sin cubrir.
Pablo Boixeda, Sales Ingineer de Cloudera, dice que el primer impacto de la GDPR en las empresas es que “van a tener que proteger la información y van a tener que segmentar esa protección”. El control y visión de los datos será total, porque hay que tener claro cuándo han sido manipulados los datos y por quién; “en definitiva, va a tener que dar una protección de 360 grados a esos datos desde el punto de vista de acceso, que esos accesos puedan ser auditados, aplicar cifrado a esos datos para que no puedan ser extraídos y se puedan explotar desde fuera”.
Respecto al perfil que debe tener un DPO, la visión personal de Boixeda es “una persona que haga de puente entre las áreas de negocio y las áreas técnicas. Ha de entender cómo los datos han de servir al negocio, cómo pueden genera más volumen de negocio, cómo pueden ayudar al departamento de operaciones, cómo puede ayudar a recortar costes, cómo puede ayudar las tecnologías orientadas al dato a sistemas de compliance y de seguridad. Y después tiene que tener una parte más orientada a la tecnología”, ya que tiene que integrarse y tiene que conversar con los departamentos de IT tradicionales.
“Que por primera vez un porcentaje de tu ingreso pueda ser una multa anual está haciendo que todo el mundo, de verdad, vaya a tener una responsabilidad sobre la gobernanza del dato”, asegura Roland Ruiz, de Information Builder, para quién la GDPR ha hecho que “la responsabilidad sobre el dato haya pasado a ser prioritario”.
Ante la insinuación de que el DPO proceda del departamento legal, Ruiz asegura “si es un perfil puramente legal puede perder contacto con la realidad del negocio. Yo pondría más a una persona que tuviese visión IT y también visión de negocio. Que realmente venga de operaciones o venga de IT es una decisión de la empresa, pero que tenga una visión holística del negocio. Creo que la parte legal se la pueden aconsejar y por tanto no creo que haga falta que sea un experto en esa área”.
Julia Urío Rodríguez, responsable del portfolio de soluciones y gobierno de IBM, explica que la regulación de protección de datos que será de obligado cumplimiento el próximo 25 de mayo tiene varias dimensiones: una más organizativa, otra más de procedimientos y procesos, otra de cómo impacta a las personas de la organización, una dimensión más cercana a los datos, a cómo impacta en la información que esas empresas manejan y usan, y la última es una dimensión relacionada con los niveles de seguridad con respecto al tratamiento de esa información. “A nivel organizativo el impacto va a requerir que se cree una figura de DPO en aquellas organizaciones importantes con volumen de datos a tratar importantes”, dice la directiva.
Sobre ese DPO dice Urío que “tradicionalmente estaba el security data officer que dependía mucho del área de IT pro el hecho de que era un componente de seguridad del dato, pero el DPO está adquiriendo más un componente del negocio, muy cercano a sus departamentos legales, y sus departamentos de gestión de riesgos. Y por tanto sale del área de IT; esa figura del DPO está próxima al negocio, próxima a legal y con ciertos conocimientos tecnológicos”.
Para David Cristóbal Campanario, Pre-Sales Consultant de Talend, la GDPT trae algunos cambios importantes. El primero con respecto a la calidad, puesto que la información debe ser veraz, debe ser cierta y debe ser actualizada; el segundo está relacionado con la trazabilidad del dato, un aspecto al que hasta ahora no se le había prestado mucha atención y que ahora es de vital importancia por lo que implica la portabilidad de la información. “Más allá del borrado de la información, que es algo que se puede considerar relativamente sencillo, el tema de portabilidad de la información es algo que puede convertirse en un quebradero de cabeza para la mayor parte de las empresas”, asegura David Cristóbal.
Sobre el perfil de un Data Protection Officer, dice el ejecutiv de Talend que “en general debe ser eminentemente IT pero conocimientos legales y de las implicaciones que las regulaciones tienen”. Dice también David Cristóbal que el DPO en un perfil “muy difícil de encontrar”.
Aspectos de la regulación como el derecho al olvido o la portabilidad del dato van a tener un gran impacto en las empresas, dice Juan Julián Moreno Piedra, IM&G Pre-Sales Manager de Micro Focus. Añade el ejecutivo que “prácticamente todas las empresas grandes han nombrado un DPO y están empezando a hacer un estudio de los datos, un estudio que tiene que comenzar por hacer un inventario de tus datos, entender qué usuarios usan los datos de tu empresa y para qué los usan, y a partir de aquí establecer la estrategia”.
Respecto al perfil que debería tener un DPO, el ejecutivo de Micro Focus lo tiene claro: “Una persona completamente centrada en los datos, independiente de la parte de TI de las empresas. Un perfil absolutamente cross, presente en todos los departamentos”.
Figura legal o figura de TI, lo que parece cierto es que el DPO se está formando ahora, que es una de las piedras angulares de todo este proceso de adaptación. Que hacen falta 40.000 profesionales y que no es consistente esperar al 24 de mayo para nombra uno, porque no tendrá conocimiento de todo el proceso.
