Mitos y verdades del Data Protection Officer (DPO) Entrega 2: Desafíos operativos del DPO, ¿qué conflictos debe resolver?

Por: Julián C. Márquez* y Juan Pablo González Gutiérrez**

En el cierre del anterior capítulo de esta serie, exploramos las competencias fundamentales que debe tener un DPO (Data Protection Officer) para prepararse e iniciar su gestión en una compañía. Bajo los pilares de formación, entendimiento y relacionamiento, establecimos los primeros pasos que debe dar este profesional para hacer que a su llegada, tenga mayor probabilidad de afirmar su posición en la empresa. También mediante esa pauta, esperamos que el DPO ayude a acelerar la obtención del conocimiento que debe existir en la empresa sobre las implicaciones de manejar datos personales. Es importante reiterar, que si bien, nuestro Proyecto de Ley se aleja a la aproximación de la regulación europea, que establece la obligatoriedad del nombramiento de la figura en ciertas hipótesis, en Chile estaría quedando como un figura dentro de la organización de carácter voluntario dentro del Modelo de Prevención de Infracciones.

Aún cuando lo anteriormente indicado es un buen punto de partida, hay otros aspectos de la gestión del DPO que pueden presentarse cuando el profesional inicie su labor en el cargo. Es por eso que en este, trataremos los principales desafíos del cargo desde una perspectiva estratégica, táctica y operativa.

Por la gestión que debe desempeñar el DPO, es imposible encasillarlo en una sola de estas aristas. Por una parte, interpreta los requerimientos de privacidad para la Alta Gerencia. Además, debe ejecutar tareas operativas para aplicar esos requisitos. Finalmente, tiene el deber de establecer mecanismos para conectar las políticas y la operación, en especial para aquellas operaciones que involucran datos personales. También debe velar por su cumplimiento mediante rutinas de monitoreo y mejora continua a través de la implementación de un programa de privacidad. Claramente, es una labor muy amplia y demandante, que no sólo precisa de mucha visión sino también, de mucha acción que, en ocasiones, no se logra abordar por completo.

La implementación de acciones que permitan reducir riesgos de privacidad, es decir controles, siempre es compleja. Sin embargo, la transformación cultural dentro de las organizaciones, lo es aún más. Por esta razón creemos que, al considerar foco en los 10 puntos que presentaremos a continuación, podrían evitarse sobresaltos que podrían pasar inadvertidos para un profesional que nunca haya ocupado el cargo o incluso para una organización que apenas esté incluyendo la función del DPO en su organigrama:

Desafíos estratégicos

1. Reportar a la Alta Dirección: una organización que nombra a un DPO tiene muchas expectativas sobre el nivel de especialización que este cargo debería aportar. Sin embargo, la importancia e impacto de su conocimiento pueden desvanecerse, si no se transmiten en forma clara y directa como los objetivos del cumplimiento normativo, y su estrecha relación con los objetivos del negocio. Esto es especialmente relevante, si se reporta a una audiencia que no maneja términos técnicos en la materia, y con la que se debe generar confianza en tiempos de interacción muy cortos.
2. Traducir requerimientos normativos: Las diversas implicaciones de cualquier regulación pueden ser difíciles de ponderar, cuando no se cuenta con los elementos para entender el alcance de dicho impacto. Representar estos factores de forma cualitativa y cuantitativa es necesario al momento de tomar una decisión. En el caso de la privacidad, esta interpretación es fundamental para que la organización aborde modelos comerciales que no expongan datos personales o que use la información de personas más allá de lo permitido por la base legal aplicable. Todo lo anterior, asegurando cumplir la norma y manteniendo la transparencia.
3. Lograr visibilidad: Si un DPO no es conocido por la primera línea de gerentes, no se puede esperar que el impacto de su gestión sea relevante. Este cargo tiene la responsabilidad de mostrar el impacto de la regulación y de posicionarse como el punto de consulta al cual recurrir cuando se manejen datos personales. No obstante, el DPO y su gestión no sólo deben ser reconocidos por los gerentes, ya que los lineamientos de alto nivel en privacidad deben ser conocidos y aplicados por cargos más operativos dentro de la organización.  Dicho de otro modo, quienes capturan datos de clientes o utilizan datos de colaboradores deben reconocer que el DPO facilita el cumplimiento de la normativa, proponiendo alternativas para reducir riesgos en forma proactiva y aterrizada.

Desafíos tácticos

1. Coordinar y acordar: Para conectar los lineamientos de privacidad con la operación y determinar cómo se aplicarán, es necesario contar con el apoyo de áreas que  tengan roles de supervisión y control en la organización (es decir, riesgo, seguridad, cumplimiento y legal, entre otros). A fin de lograrlo, el DPO debe mantener comunicación continua con esas funciones y definir cómo deben entregarse lineamientos integrales al negocio (por ejemplo, entregando metodologías para evaluación de riesgos que consideren aspectos de seguridad, privacidad y prevención de fraudes.).
2. Concertar sinergias: En el entorno de una organización existen requerimientos internos y externos que, al llevarse a nivel operativo, podrían ser resueltos a través de un único proceso. Pese a lo anterior, se presentan duplicidades de procesos, puesto que existen actividades realizadas por diferentes responsables generando el mismo resultado (por ejemplo, cuando existen varios procesos para gestión de incidentes según su naturaleza). También, pueden generarse requerimientos simultáneos a las áreas de negocio que ocupen su capacidad disponible y pudieran coordinarse mejor.
3. Definir procesos de privacidad congruentes: Un DPO podría definir lineamientos sólo obedeciendo a lo que recomiendan los estándares o las guías prácticas de Autoridades de Datos Personales de otras regiones, teniendo el riesgo de alejarse a la realidad nacional. Esto podría generar diferencias con la cultura y condiciones de la empresa y dificultar su adopción.  Por lo tanto, el DPO debe trabajar en traducirlos para dejarlo en términos que sean entendibles y consoliden  su credibilidad dentro de la Organización.

Desafíos operativos

1. Gestionar la privacidad en el ciclo de vida de los datos: La privacidad se relaciona directamente con la forma en la que se administra un dato, especialmente de carácter personal, desde su captura hasta su eliminación. Esto indica que debe existir una conexión directa entre los requerimientos de privacidad y el ciclo de vida de los datos. Por lo tanto, cada etapa de ese ciclo debe considerar cómo puede afectar al resguardo de la información personal y qué acciones se deben implementar para no afectar la transparencia, integridad y confidencialidad sobre estos datos en la organización. Lo anterior, teniendo especialmente en consideración los aspectos del entorno regulatorio para dicha institución se encuentra y, que puede afectar más allá del incumplimiento de dichas regulaciones, sino también de posibles riesgos reputacionales. Esto debe plasmarse en estándares para identificar los canales de captura de datos personales, los estándares para aseguramiento y las condiciones de retención.
2. Gestionar foco y nivel de detalle: El mundo de la gestión de datos genera oportunidades de comprender cómo se comporta una organización mediante hechos concretos y medibles, gracias a la información que se obtiene de múltiples fuentes de datos. Sin embargo, debido al gran volumen de información generada, es fácil perder de vista situaciones con mayor impacto si no se analizan datos con un propósito ni criterios de priorización (por ejemplo, al analizar desempeño en ventas, se pueden destinar muchos recursos para analizar el rendimiento individualizado por ejecutivo cuando realmente se necesitan las cifras consolidadas de la compañía).  La protección de datos personales tampoco es ajena a esta situación y por tanto, la priorización basada en riesgo y exposición deben ser parte de los factores a considerar en el desarrollo de la función del DPO.
3. Asignar la responsabilidad: El DPO se encarga de entender cómo se administran los datos personales y definir acciones que mantengan ese ecosistema funcionando. Sin embargo, debe entregar la responsabilidad de ejecutar tareas a las áreas de negocio, evitando tomar roles que excedan sus funciones por el afán de cerrar brechas y aumentar el nivel de adherencia a la normativa.  Esto puede generarse cuando revise y proponga definiciones de procesos que sean de áreas diferentes a la suya.
4. Administrar obligaciones de los proveedores: Es imposible negar que los proveedores de servicios manejan datos personales a nombre de la entidad responsable. También es vital recordar que hay medidas contractuales y operativas para regular esa relación. Pese a lo anterior, no todos los proveedores son igualmente críticos y su involucramiento con los datos cambia según la naturaleza del servicio. Por este motivo, debe existir una correcta separación y priorización según criterios que determine la organización para determinar su nivel de criticidad dentro de las actividades propias del negocio. Esto puede ayudar a mantener mayor énfasis al momento de aplicar medidas de control.

Si el DPO establece una hoja de ruta a través de la implementación de un Programa de Privacidad que busque generar impactos medibles y tangibles en los ámbitos presentados, podrá transmitir la tranquilidad que necesita la organización al tomar decisiones, reduciendo la probabilidad de que se configuren infracciones normativas . El resguardo de los datos personales es una materia que requiere concienciación, vigilancia y dinamismo, y creemos que un enfoque basado en estos puntos facilita el desarrollo de un programa de gobierno regido por los principios que rigen la normativa.  En conformidad a nuestro Proyecto de Ley, es un asunto que se necesita tener presente y por ende, puede ser un aspecto a analizar ante posibles incumplimientos.

Es imposible saber si estos desafíos se presentarán en forma eventual o permanente para un DPO sin importar la organización en la que se desenvuelva. No obstante, podemos asegurar que algunos de ellos serán vitales al momento de asimilar nuevas formas de operar, implementar soluciones tecnológicas y potenciar los resultados a nivel compañía con servicios desarrollados o provistos por proveedores.

Por esta razón, en la última entrega de esta serie, definiremos formas en las que un DPO debe aplicar los conceptos revisados en las dos primeras entregas para abordar esos desafíos y cumplir así con la normativa propuesta en Chile. De lograrlo, podrá instituir un gobierno de privacidad resiliente y flexible, que atenderá a las tendencias normativas, tecnológicas y operativas de la actualidad, dándole mayor valor a su criterio profesional.

*Julián C. Márquez Ingeniero especialista en gestión de riesgo, tecnología y privacidad de datos personales con más de 15 años de experiencia como consultor externo para diversas empresas.  Actualmente es el Data Protection Officer corporativo para el grupo Principal en Chile.

**Juan Pablo González Gutiérrez. Abogado regulación tecnológica y ciberseguridad