Mitos y verdades del Data Protection Officer (DPO) Entrega 1: Entendiendo e identificando el rol del DPO, ¿de qué se trata?

Por: Julián C. Márquez* y Juan Pablo González Gutiérrez**

Es inevitable hablar de protección de datos personales sin referirse a los desafíos de una organización al proteger esos datos, sin importar la relación que exista entre la empresa y esos individuos.  En esa línea, el primer paso que han dado las compañías para lograr una protección eficaz de esos datos ha sido definir una serie de políticas, y llevarlas a la instancia más alta posible para su aprobación.

No es un enfoque errado, pero es sólo una pequeña parte del proceso. Existe un gran riesgo de que esas políticas se transformen con rapidez en “letra muerta” si no se respaldan con lineamientos conectados en una estrategia formal y clara.  También, los constantes cambios en el panorama regulatorio, la privacidad por diseño y por defecto como habilitadores, y la protección de datos personales como una meta estratégica para la organización, son algunos de los elementos que deben considerarse en dicha estrategia.

Inicialmente es vital recordar el contexto en el que estamos: la protección de datos en Chile está apalancada por una ley que en su momento fue vanguardista.  Sin embargo, a casi 25 años de su promulgación, no responde a las necesidades de un mundo digitalizado. En este entorno, el tratamiento de datos de personas en muchos aspectos carece de la transparencia que necesita cada titular y que es obligación para muchas regulaciones en el mundo, especialmente, la normativa europea.

Debido a este complejo panorama es recomendable que dentro de una organización exista el rol de Oficial de Protección de Datos (o DPO, por su acrónimo en inglés), considerando además, que el Proyecto de Ley a nivel nacional (literal a), Artículo 51º) indica que es una medida voluntaria por parte de las organizaciones, en el contexto de los Modelos de Prevención de Infracciones.  Pese a lo anterior, contar en el organigrama con un DPO que reúna todas las condiciones necesarias para el desarrollo de esta función es esencial, puesto que guiará a la compañía en esta materia.

Así mismo, el DPO tiene el deber de entender las normas y estándares relacionados, traducirlos en requerimientos para la alta gerencia y la operación, y fijar metas que permitan medir el nivel de madurez, siempre desde un enfoque de “consejero de la privacidad”, evitando involucrarse en tareas de la operación diaria.

Con base en lo anterior, presentamos algunos puntos que son fundacionales para el desarrollo efectivo de este rol:

• Formación y recursos: El DPO es el mayor especialista en protección de datos dentro de una organización. Por eso, tiene la obligación de responder a preguntas difíciles de gerentes y directores sobre el nivel de madurez de la organización en la materia.  También debe evaluar las actividades que involucran el uso de datos personales para determinar si pueden afectar los mecanismos de protección de datos y establecer si las acciones para reducir posibles riesgos de infringir la normativa (controles) son suficientes y adecuados.

Al analizar iniciativas, debe acompañar las estrategias para que no contravengan la normativa aplicable y también participar como consultor interno en el diseño de controles que reduzcan en mayor medida el nivel de riesgo.  En este punto, el DPO debe proponer soluciones en línea con las prácticas sugeridas, sin olvidar que deben ser escalables y compatibles.

Por esta razón, quien asuma este cargo debe formarse considerando los siguientes tres puntos:

1. 1. Debe interpretar normas y navegar entre ellas para identificar relaciones y dependencias, siempre permaneciendo atento a los cambios que afecten dichas conexiones.
   2. Debe combinar conceptos asociados a las funciones de la segunda línea de defensa de la organización (es decir, gestión del riesgo, seguridad de la información y cumplimiento normativo), y entender la relación que existe entre ellos para identificar potenciales sinergias. Esto se puede evidenciar en conceptos definidos por cada uno de estos campos de conocimiento que son similares y complementarios entre sí (por ejemplo, los principios de integridad y confidencialidad hacen parte de las definiciones básicas de protección de datos personales según GDPR, y seguridad de la información, según los estándares de la familia ISO27xxx).
   3. Tener algún nivel de conocimiento en tecnología y análisis de datos.  Aunque no todos los datos personales usados por una organización se soportan en infraestructura tecnológica, es difícil pensar en un entorno donde los datos deban convertirse a formato físico después de haber sido capturados en medios digitales, por ejemplo mediante un sitio web. Tampoco es viable pensar en que el procesamiento de datos personales ocurra sin el uso de algoritmos o modelos analíticos para toma de decisiones. Por lo tanto, un DPO no puede dejar de lado este ámbito y cada vez será más relevante el rol que juegue este conocimiento en el desarrollo de su gestión.

• Entendimiento de la Organización: Aunque el DPO tenga una base técnicamente sólida, también debe comprender el contexto donde desarrollará su gestión. Cuando la teoría no tiene un contexto de aplicación, cualquier solución propuesta sin considerar el ambiente de una organización es impracticable.

Es válido entonces afirmar que la tarea del DPO va más allá de leer el mapa de procesos, de tener el nombre de cada gerente de área, o de aprenderse el catálogo de servicios y productos que ofrece la compañía. También debe comprender las diversas actividades para tratamiento de datos personales y conectarlas con los procesos estratégicos y operativos, además de los requerimientos normativos.

No sólo eso: es clave que entienda factores que no están establecidos formalmente, pero que tienen alto impacto en la organización.  Entre algunos ejemplos se destacan el manejo de jerarquías, los códigos de comunicación escrita y verbal, los estilos de trabajo, la dinámica con los principales reguladores, entre otros.

Para lograrlo, un DPO o quien asuma dichas funciones, debe convertirse en un puente entre personas a lo largo y ancho de la empresa, usando el conocimiento creado por otros equipos, y preguntando siempre antes de generar nuevos procedimientos y lineamientos. Esto ayudará a evitar redundancia de contenidos y asegurar la consistencia entre lineamientos de diferentes áreas.

• Relacionamiento: todo esto debe ocurrir al mismo tiempo que el DPO entiende la cultura de la organización y construye una red de relacionamiento interna. Gracias a esto, podrá identificar aliados y contactos clave al momento de impulsar cualquier iniciativa y, especialmente, ganar compromiso por parte de la organización para el Programa de Privacidad que desee implementar.  Al trabajar con esta intención presente, podrá mantenerse al tanto de la dirección que está tomando la empresa y entregar la responsabilidad de resguardo de información personal a cada colaborador.

Es importante señalar que, para lograr su cometido, el DPO no debe ser quien ejecute la mayoría de las iniciativas de su plan. Lo anterior, obedece a que los datos son tratados en gran medida por cada uno de los procesos y por ende, es una responsabilidad de las diversas unidades que conforman la organización.  Es por esta razón, que el Oficial de Protección de Datos debe ser quien recuerde al líder de cada proceso lo que puede pasar si no se ejecutan las iniciativas y monitoree el avance de cada una de ellas. Al mantener esta cercanía con los proyectos, el DPO podrá identificar situaciones que se desvíen de lo establecido en las políticas y estándares.

Como conclusión, se entiende que el DPO debe tener un alto nivel de especialización y por lo tanto, es un crisol de conocimientos que hasta hace poco, era impensable concentrar en un único profesional.  Sin embargo, no puede realizar su gestión solo y debe contar con apoyo de diversos actores estratégicos dentro de la organización para mejorar el impacto de su gestión. Por ahora, más allá del conocimiento técnico descrito en este artículo, también es importante que este rol cuente con cualidades tales como: el deseo de aprender continuamente, la curiosidad, la comunicación efectiva y el poder de conciliación. Estos son los pilares absolutos del desarrollo de esta función.

Si bien es cierto que los elementos anteriores son importantes, no son los únicos que requiere esta función para trascender en la organización. Por esto, en la próxima entrega veremos esas capacidades con mayor detalle y la razón por la que permiten visibilizar la gestión del DPO dándole credibilidad cuando enfrenta los desafíos operativos y estratégicos de la protección de datos personales.

*Julián C. Márquez Ingeniero especialista en gestión de riesgo, tecnología y privacidad de datos personales con más de 15 años de experiencia como consultor externo para diversas empresas.  Actualmente es el Data Protection Officer corporativo para el grupo Principal en Chile.

**Juan Pablo González Gutiérrez. Abogado regulación tecnológica y ciberseguridad