Artículo de Valeria Otero en Escudo Digital. Publicado el 28 de octubre de 2019.
Ecija, uno de los despachos líderes en TMT (tecnología, medios y telecomunicaciones) ha organizado un desayuno de trabajo para conocer más sobre uno de los puntos clave del Reglamento General de Protección de Datos, el significado y las funciones del DPO.
El acto estuvo a cargo de Daniel López, Socio de Privacidad y Protección de Datos, y de Juan Eugenio Tordesillas, Manager Corporate Governance y Compliance. Analizamos los temas que se expusieron.
Todo el mundo recuerda la situación que se vivió en mayo de este año: la avalancha de correos de suscripción solicitando autorización para que pudiera continuar el envío de mensajes.
El consumidor se ha acostumbrado a pulsar el botón de “aceptar” automático por pura comodidad y a dar nuestros datos a cambio de nada. No se trata de suscripciones, eso es lo de menos. ¿Y nuestros datos? Bien, gracias.
A todos nos gusta que se nos faciliten las cosas. ¿Verdad? Y la tecnología busca solucionarnos la vida. Pero también es cierto que el consumidor está dispuesto a pagar más por la privacidad. Ese valor agregado está siendo capitalizado por fabricantes como Apple y está presente en sus publicidades.
La aplicación del reglamento ha generado una toma de conciencia generalizada sobre el uso y protección de datos con un impacto más allá de las fronteras europeas. Ya no es un tema que interese solo a informáticos y especialistas.
Los intangibles son cada vez más importantes en la valoración de una empresa, donde la cantidad de clientes pesa más en una adquisición que los activos físicos. Se ha impuesto un nuevo modelo de negocio, donde los riesgos se piensan con otros plazos, y donde los multicanales y la inmediatez omnipresente generan una nueva estirpe de consumidores digitales que navegan por la web dejando tras de sí un rastro de información.
Contar con un Delegado de Protección de Datos – el famoso DPO – es un requisito que las organizaciones deben cumplir en la medida que gestionen datos sensibles, ya sean entidades pequeñas de pocos integrantes que prestan servicios a terceros o grandes corporaciones.
El significado y las funciones del DPO
Se sabe que una cadena se rompe siempre en su eslabón más débil. Es conocido el caso de un hospital, hace unos años ya, en el que historias clínicas antiguas terminaron en el cubo de la basura por falta de conocimiento de un empleado de limpieza. Tiempo después esas mismas historias clínicas se convirtieron en los conos de papel del castañero y estuvieron circulando varios días por el pueblo.
¿Qué son datos sensibles? Datos de identificación, financieros, fiscales, crediticios, y de salud, imágenes, currículum, videos; que se suman a la información de carácter confidencial que gestiona la alta dirección, los departamentos de finanzas y legales.
El DPO, como responsable, tiene la obligación de velar por el respeto a la norma, hacer auditorías internas y evaluaciones de impacto; concienciar a los integrantes de la organización, formar a aquellos que procesan datos, y ser el nexo con las agencias de control. Rinde cuentas a Alta Dirección y debe comunicar las brechas cuando se producen. Como su independencia debe estar garantizada, suele ser externo a la firma.
Trabaja en conjunto con el Compliance Officer y el Gerente de Seguridad de la Información. No son compartimentos estancos, sino que se trata de un ejercicio transversal en que todas las áreas deben trabajar en conjunto, para pasar de un modelo reactivo a un modelo proactivo. Ya no es un trabajo bianual, sino que es un ejercicio continuo. El enfoque ha cambiado radicalmente con respecto al pasado.
La concienciación es indispensable, puesto que, sin ella, el riesgo subiría exponencialmente. El reglamento del Régimen General de Protección de Datos es mucho más que un documento . Se trata de crear cercanía y de que se comprenda su función. Es frecuente que las áreas de Comunicación y Marketing guarden con celo su trabajo y eviten hacerle comentarios hasta el último minuto. Sin embargo, el DPO conoce la norma y puede ofrecer alternativas que permitan evitar infracciones. De esto se trata la concienciación con cercanía.
La protección de datos también se extiende a las a las denuncias, por ejemplo, a partir de la sanción de la Directiva Europea sobre la Protección del Whistleblower. Esto es competencia del Compliance Officer, y en casos de incumplimiento, son estas denuncias las que permiten tomar medidas a tiempo para evitar sanciones. Pero para ello se debe garantizar el anonimato a través de canales gestionados de forma externa que impiden el rastreo del denunciante, a quien obviamente se le solicitan pruebas de lo que manifiesta.
El coste de no tomar medidas de prevención se mide en millones de euros y pérdida de reputación
La prevención en el momento de la toma de decisiones permite evitar brechas. Esto es conocido en el ámbito de tecnología como “security by default”. Muchas empresas de tecnología disruptiva utilizan este enfoque. Esperar a que nos sancionen no es una buena política—aunque todo depende del apetito por el riesgo de las empresas. El coste se mide en millones de euros y pérdida de reputación, y cuando eso sucede es muy difícil volver atrás. La gestión de comunicación vuelve a ir de la mano del buen gobierno, la protección de datos y el cumplimiento.
El ejemplo y la coherencia interna también ayudan. La información es poder y la tentación de utilizar datos non sanctos es muy alta.
Impartir formación clara y adaptada a las necesidades concretas de la organización y campañas de concienciación efectivas son clave para minimizar los riesgos y lograr un cumplimiento efectivo. Otro método posible es el sistema de auto-evaluación cruzada de procesos críticos. De este modo se va internalizando y naturalizando el hábito.
En conclusión, y a diferencia del pasado, se trata de un proceso de evaluación y mejora continua que requiere la combinación de conocimientos técnicos, legales, buenas habilidades de comunicación y un trabajo en conjunto con otras áreas. Después de todo, detrás de la tecnología y los datos estamos las personas.