Columnas
Mitos y verdades del Data Protection Officer (DPO) Entrega 3: El DPO y su misión, ¿cómo resolver los desafíos propuestos por un entorno cambiante?
En esta serie de 3 capítulos exploraremos aspectos para comprender algunos asociados a esta responsabilidad y sobre todo, aclararemos dudas que se asocian al cargo dentro de una organización: para lograrlo, en cada entrega abordaremos diversos aspectos asociados al rol y de esa forma, comprender los desafíos de esta figura que se incorpora en nuestra normativa.
Por: Julián C. Márquez* y Juan Pablo González Gutiérrez**
Al revisar lo expuesto en las dos primeras entregas de esta serie, podemos afirmar que la tarea de un DPO requiere dedicación, preparación y empeño. Por una parte, debe aplicar habilidades técnicas y de relacionamiento con diversas áreas para fluir en su organización. También debe desarrollar una visión estratégica y sostenible en el tiempo para abordar los desafíos a su cargo.
El Oficial de Protección de Datos debe recurrir a recursos que le permitan mantener este balance, al mismo tiempo que muestra los beneficios y resultados de su labor. Sin embargo, este punto sugiere un riesgo mayor para el DPO: Al tener muchos frentes por atender, existe la posibilidad que no aborde correctamente temas que sean más relevantes para su organización. Si no está enfocado y no capitaliza cualquier oportunidad que se presente para mostrar su trabajo, todo el impacto positivo de su gestión puede perder su valor.
Por ese motivo y para finalizar esta serie, nos concentramos en identificar cómo pueden aplicarse los conceptos teóricos que hemos revisado hasta ahora, entendiendo cómo ayudan al DPO en el logro de sus objetivos. Pero antes, es conveniente revisar las conclusiones presentadas en los artículos anteriores:
- El profesional que asuma el desafío de desempeñarse como DPO debe enfocarse en obtener y mantener conocimientos técnicos para asegurar que las actividades de procesamiento de los datos personales sean acordes a la normativa. También debe entender la estructura y la cultura de la organización para diseñar las mejores estrategias y desplegarlas, buscando comprometer a los actores involucrados.
- Cuando esté desarrollando su gestión, el DPO enfrentará desafíos a nivel estratégico, táctico y operativo. Por ello, debe aprender a regular su participación en atenderlos, priorizando el tiempo y recursos a su cargo. También, debe recordar a los custodios de la información personal que la responsabilidad de asegurarla les pertenece. Esto indica que el rol del DPO se enfoca exclusivamente en la coordinación, la asesoría especializada y la supervisión.
- Finalmente, el DPO también debe facilitar la generación de un ambiente colaborativo y de alta sinergia entre áreas, puesto que desarrolla su gestión cooperando con diversas disciplinas y en todos los niveles. Gracias a ello, puede asegurar que exista congruencia entre los lineamientos que permiten la protección de datos personales.
Con este contexto, esta última entrega presentamos un enfoque mayormente práctico respecto a las que, a nuestro criterio, son tres de los mayores desafíos relacionados con la implementación de la nueva Ley de Protección de Datos en Chile y, especialmente, considerando su reciente aprobación en la Comisión Mixta e inminente promulgación en el corto plazo. En cada uno de estos escenarios que presentamos a continuación, entregamos estrategias para responder a los puntos derivados de la norma, que provienen de las lecciones aprendidas de otros países que ya tienen leyes sancionadas sobre protección de datos personales:
- Mantenimiento del modelo de control:
Debido al carácter voluntario que tiene el modelo de prevención de infracciones en materia de protección de datos (art. 49 del Proyecto), existe la posibilidad de que la asignación de recursos para desarrollar esta función no sea priorizada. Al comparar la situación chilena contra lo que ocurre en Latinoamérica, gracias al análisis realizado por el INAI de México [1], se observa que la designación de un encargado de protección de datos no es obligatoria en la mayoría de países de LATAM. Sin embargo, debido a varios factores es conveniente que las organizaciones designen un DPO dentro de su estructura organizacional. Algunos de ellos son la importancia del desafío que implica este tipo de normativa, el nivel técnico requerido para asumir el cargo, a la multiplicidad de tareas que se deben abordar para asegurar los datos personales y, especialmente, gestionar los riesgos para las libertades y derechos de los titulares.
Una situación que soporta esta necesidad, está en la atención de solicitudes de los titulares de datos (descritos en los artículos 10 y 11 del Proyecto de Ley para Chile): esta labor no sólo requiere responder a cada solicitud sin excepción alguna, sino que necesita ser atendida dentro de plazos fijos establecidos por la norma y completada con la colaboración de varias áreas de una empresa. Es decir que se debe designar un dueño de este proceso y mantener seguimiento de su funcionamiento hasta la respuesta al titular, ya sea concediendo o denegando la solicitud. Por esta razón, el DPO es quien tiene la mejor posición para coordinar los esfuerzos de cada área y monitorear cómo se están cumpliendo estas solicitudes. Para optimizar el funcionamiento de este proceso, también podría analizar las métricas asociadas al ejercicio de los derechos de los titulares e identificar potenciales mejoras (por ejemplo, automatizando los filtros iniciales para aceptar o descartar una solicitud del titular de datos).
Adicionalmente, el DPO necesita que cada área entienda en forma concreta a qué riesgos se expone cuando maneja datos personales y cuáles son las brechas que aún no se han abordado. Por esta razón, otro de los focos esenciales para ayudar a que la función sea sólida es dedicar una gran parte de su capacidad a capacitar a los actores involucrados y generar conciencia dentro de la organización. Gracias a ello, se contribuirá a crear un ambiente en donde cada proceso expuesto a este tipo de riesgos tenga actividades de control para proteger los datos personales relacionados. Además, cada dueño de esos procesos será consciente de las repercusiones que tiene su gestión en cuanto a lograr una protección efectiva de la información de personas.
- Relación con otras normativas:
Es impensable hablar de protección de datos personales sin referirse a temas directamente relacionados como la ciberseguridad, el gobierno de los datos y su potencial uso para múltiples propósitos con tecnologías de analítica avanzada. Debido a esa situación, el DPO debe mantenerse al tanto de todas las novedades regulatorias que guarden relación con el manejo de la información personal y entender quién debe ser el encargado de resolver estos ámbitos en su organización.
Por lo anterior, se puede esperar que la relación entre el DPO y otros profesionales de estas materias sea cada vez más estrecha, como por ejemplo el CISO, el CDO o el Oficial de Cumplimiento. Para lograrlo, podría implementarse un comité interno que analice los puntos internos de sinergia y trabaje en estrategias conjuntas para hacerle frente a los desafíos normativos que implica esta regulación. Un ejemplo claro de esta interacción podría aplicarse en el análisis de la nueva Ley Marco de Ciberseguridad y específicamente, en la gestión de incidentes informáticos: al revisar los puntos que pide la norma, se podría identificar la necesidad de establecer procesos que aún no existan o complementar las reglas vigentes con detalles específicos para el manejo de posibles brechas de datos personales (por ejemplo, umbrales sobre número de titulares afectados, tipos de datos, formato de los datos, etc.)
- Aparición de nuevos riesgos relacionados:
En línea con el anterior punto, tampoco se puede hablar sobre procesamiento de datos personales sin considerar que su explotación se ha acelerado, gracias al uso de tecnologías y técnicas que están refinando constantemente los resultados obtenidos. Al innovar en la forma en la que se usa esa información, especialmente aquella de carácter personal, se generan nuevos escenarios en los que se puede impactar negativamente su integridad, confidencialidad y disponibilidad. De la misma manera, también se puede ver afectada la protección de datos personales, bajo los principios definidos por el Proyecto de Ley.
Aunque la innovación también debería mejorar los métodos con los que se puede ejercer control, el DPO debe apoyar una evaluación de riesgos asociados al manejo de datos personales en forma oportuna y adecuada. Esto debe ocurrir siempre que se requiera explorar nuevos usos de los datos personales o cuando se proponga implementar nuevas actividades de procesamiento no contempladas anteriormente. Debido a lo anterior, el Oficial de Protección de Datos debe reconocer la estrecha relación que siempre existirá entre su gestión y aquella desarrollada por las áreas de Seguridad de la Información o Ciberseguridad y Gobierno de Datos. Al alinear objetivos con los actores mencionados, será posible cumplir con los requisitos establecidos para la protección de datos personales según la normativa, independiente de los cambios en el entorno tecnológico o las posibles modificaciones que tenga el Proyecto de Ley antes de su promulgación.
Esta interacción también se debe aplicar en la definición de los criterios para clasificar la información, puesto que cada nivel debe considerar los requerimientos relevantes para cada uno de esas áreas y combinarse para funcionar de forma armónica. Para aplicar este concepto, se debería definir un flujo de evaluación que incluya a cada uno de estos responsables según a) los niveles de riesgo asociados al caso que se esté evaluando, b) al tipo de datos utilizados y, c) al uso que se le dará a esa información. De este modo, se podrán definir medidas técnicas y organizacionales para tratar el riesgo en la forma más adecuada que sea posible.
Según los puntos expuestos, tenemos certeza que el rol de DPO en una organización debe ser asignado a un profesional motivado a mantenerse aprendiendo constantemente para cumplir con su deber en la mejor forma posible. Los desafíos seguirán apareciendo puesto que los avances no dan muestras de detenerse y por el contrato, cada vez es más fácil acceder a recursos que facilitan el procesamiento de altos volúmenes de información. Por lo mismo, es difícil creer que esas soluciones no sean usadas para procesar datos de personas y tomar decisiones a partir de los análisis resultantes.
Por otra parte, también podemos concluir que el Oficial de Protección de Datos debe mantener una línea directa de interacción con la instancia más alta posible dentro de la estructura organizacional, el Directorio u otro tomador de decisión similar. Al tener esta posición, el DPO tendrá un camino más fácil para enfrentar los desafíos planteados en este artículo y operar bajo un sólido marco de control para la protección de datos personales. Para lograrlo, debe siempre presentar el manejo responsable de información personal como un habilitador de negocios, y asociar las prácticas que se deseen implementar acorde a la realidad de la organización. De ese modo, conectará sus objetivos con aquellos planteados en el plan estratégico y conseguirá el compromiso de la Alta Dirección en esta materia. La protección de datos personales desde un enfoque normativo no es una actividad en silos, sino que debe enmarcarse dentro de los procesos del negocio, siempre con un enfoque que permite resguardar los derechos de los titulares de dicha información.
Finalmente, consideramos que la mejor opción que tiene un DPO es orientarse a entregar soluciones prácticas en pro del desarrollo del negocio, tomando en cuenta las actividades propias que realiza en base a los tipos, naturaleza y volumen de los datos personales involucrados, sin olvidar que su responsabilidad es funcionar como organismo interno de control. Por lo tanto, está llamado a constituirse como un coordinador de las actividades de una organización para tratar los datos personales que estén bajo su control y, finalmente, tratar de ir tan rápido como le sea posible dentro del entorno organizacional, para prevenir inconvenientes por situaciones no contempladas. Ante la inminente aprobación y posterior entrada en vigencia de la Ley de Datos Personales, estamos enfrentando una carrera contra el tiempo que, de no mantener el ritmo, puede perderse fácilmente.
______
[1] BARCO VEGA, G (2023). La Figura del Profesional en Latinoamérica: Estado Actual y Principales Desafíos para su Adecuada Operación. Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), pgs. 59-90.
===============
*Julián C. Márquez Ingeniero especialista en gestión de riesgo, tecnología y privacidad de datos personales con más de 15 años de experiencia como consultor externo para diversas empresas. Actualmente es el Data Protection Officer corporativo para el grupo Principal en Chile.
**Juan Pablo González Gutiérrez. Abogado regulación tecnológica y ciberseguridad