"El principal reto de un DPO es el desconocimiento" (Cornerstone OnDemand)

La función principal de un DPO, un Data Protection Officer, es garantizar que la organización para la que trabaja procesa los datos personales de los empleados, clientes, proveedores o cualquier otra persona (también conocida como sujeto de datos) de conformidad con las normas de protección de datos aplicables. Algo que es fácil de escribir, y no tanto de llevar a cabo.

Sobre los retos a los que se enfrente un DPO hemos hablado con Alberto Rodríguez, Cloud Technology Director & Global Data Protection Officer en Cornerstone OnDemand. Sus respuestas dejan claro que su día a día no es un lecho de rosas.

¿Cómo es el día a día de un DPO?

¡Complicado! Hay muchas cosas distintas de las que ocuparse que compiten en recursos y prioridad. Es necesario trabajar a largo plazo, por ejemplo, mejorando los procesos de gestión de peticiones de las personas o incorporando nuevas directrices de las autoridades. Por otra parte, hay que gestionar peticiones e incidentes rápidamente, todavía hay mucho miedo y una cierta falta de madurez y cualquier petición o incidente es casi una crisis. Por otra parte, eso significa que el nivel de concienciación ha mejorado mucho, lo cual es una buena noticias.

¿Cuál cree que es el principal reto de un DPO?

El desconocimiento. Se ha pasado de ignorar la protección de datos a bloquear (o pedir una firma) por si acaso. Hay que encontrar el punto medio (que es lo que pide el GDPR).

La llegada de GDPR despertó el interés de los usuarios por la importancia de sus datos, ¿cree que ese interés se mantiene?

No sólo se mantiene, sino que aumenta. Imposible firmar un contrato sin un anexo GDPR, e imposible ir a una consulta médica sin que te pidan firmar “lo de protección de datos”. Sin ir más lejos esta semana vi un cartel en la recepción de una clínica, que decía que debido al GDPR, no se podían facilitar los números de habitación de los pacientes.

¿Cómo debe actuar un DPO frente a una brecha de seguridad?

En primer lugar, con calma. Y, en segundo lugar, como siempre: hace mucho tiempo que existen procedimientos bien definidos para la gestión de brechas de seguridad, lo último que debe hacerse es improvisar. Por último, lógicamente, ya que así obliga la ley, avisar a las autoridades y a las personas si el nivel de riesgo de la brecha lo requiere.

¿Cree que, en general, se cumple con GDPR?

Las cosas de palacio siempre van despacio pero ya tenemos los cimientos, la estructura, las paredes, el tejado, ventanas, puertas, cerraduras y la pintura está casi terminada. Faltan algunos muebles, pero la cocina funciona y ya se puede dormir dentro.