Home Data Governance La importancia de la creación de un área de protección de datos...

La importancia de la creación de un área de protección de datos en las empresas: Consideraciones a la hora de definir al DPO

Por Daniel Monastersky y Facundo Malaureille | socios de la Consultora Data Governance Latam

La protección de datos se ha convertido en un tema de suma importancia en el mundo empresarial actual. Con el crecimiento exponencial de la cantidad de datos generados, almacenados y procesados por las empresas, así como con la creciente preocupación de los usuarios y reguladores en torno a la privacidad y seguridad de la información, la necesidad de contar con un área de protección de datos se ha vuelto imperante. Sin embargo, convencer a la alta gerencia de la importancia de esta área puede resultar un desafío, especialmente en un contexto en el que todavía se ve como un gasto en lugar de una inversión.

Una de las principales dificultades en la creación de un área de protección de datos radica en el cambio de mentalidad que se requiere en la alta gerencia. Tradicionalmente, la protección de datos ha sido vista como un tema técnico y legal, y no siempre ha sido considerada como una prioridad estratégica para el negocio. Convencer a la alta gerencia de ello requiere un enfoque holístico que muestre los beneficios a largo plazo y el valor agregado que puede aportar a la empresa.

Una vez que se ha logrado el respaldo de la alta gerencia, la designación del Data Protection Officer (DPO) se convierte en un paso crucial en la creación del área de protección de datos. El DPO es el responsable de supervisar y asegurar el cumplimiento de las regulaciones de protección de datos, así como de garantizar la implementación de políticas y procedimientos adecuados en la empresa. Sin embargo, la elección del DPO puede ser un desafío en sí misma, ya que existen incompatibilidades y requisitos específicos que deben tenerse en cuenta.

Uno de los desafíos en la designación del DPO es la incompatibilidad con otras funciones en la empresa. Según el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, el DPO debe ser independiente y no tener conflictos de interés en el desempeño de sus funciones. Esto significa que no puede ocupar una posición que pueda crear un conflicto de intereses con la supervisión de la protección de datos, como por ejemplo el director de IT, el director de legales, el responsable de seguridad, el director de marketing o el director de recursos humanos. Esto puede generar dificultades en la identificación de la persona adecuada para ocupar el rol de DPO, ya que se deben considerar las capacidades técnicas y legales, así como la independencia y la imparcialidad del candidato.

Otra cuestión a tener en cuenta en la designación del DPO es encontrar una persona con la experiencia y conocimientos necesarios en materia de protección de datos. El RGPD establece que el DPO debe contar con un nivel adecuado de conocimientos en protección de datos, que debe estar en proporción con la naturaleza, alcance y complejidad de las actividades de procesamiento de datos de la empresa. Esto implica que el DPO debe tener un profundo conocimiento de las regulaciones de protección de datos, así como de las mejores prácticas y estándares en la materia. Encontrar una persona con este nivel de experiencia puede ser un desafío, especialmente en un mercado laboral altamente competitivo y especializado en el ámbito de la protección de datos.

Una vez que se ha identificado y designado al DPO adecuado, es importante definir claramente sus responsabilidades y funciones dentro de la empresa. El DPO debe ser un experto en protección de datos que supervise la implementación de políticas y procedimientos de protección de datos, asesorando y guiando a la empresa en el cumplimiento de las regulaciones aplicables, así como en la gestión de incidentes y la respuesta a las solicitudes de los usuarios. Además, el DPO debe tener una visión estratégica, identificando oportunidades y desafíos en el manejo de datos y proponiendo soluciones que permitan a la empresa aprovechar al máximo el valor de la información sin comprometer la privacidad y seguridad de los datos.

Es importante tener en cuenta que el DPO no actúa de forma aislada, sino que trabaja en estrecha colaboración con otras áreas de la empresa, como el departamento legal, ciberseguridad, IT, marketing y recursos humanos, entre otros. La creación de un área de protección de datos implica la colaboración y cooperación de diferentes áreas y la definición de una estrategia integral de protección de datos que se integre con los objetivos y operaciones del negocio.

La externalización del rol de Data Protection Officer (DPO)

Esta es una opción que algunas empresas consideran para cumplir con los requisitos de designación de un DPO, pero que también plantea ciertas consideraciones y desafíos.

La externalización del DPO implica contratar a un profesional externo o a una consultora especializada en protección de datos para desempeñar el rol de DPO en lugar de tener un empleado interno dedicado a esta función. Esto puede ser una opción atractiva para algunas empresas que no cuentan con los recursos internos necesarios para designar y mantener a un DPO a tiempo completo, o que buscan una expertise adicional en protección de datos.

Una de las principales ventajas de externalizar el rol de DPO es la posibilidad de acceder a un nivel más alto de especialización y experiencia en protección de datos. Los proveedores externos de servicios de DPO suelen contar con profesionales altamente calificados y actualizados en las últimas regulaciones y mejores prácticas en materia de protección de datos. Además, la externalización del DPO puede resultar más económica en comparación con la contratación de un empleado interno a tiempo completo, ya que se pueden adaptar los servicios y costos a las necesidades específicas de la empresa.

En conclusión, la creación de un área de protección de datos en las empresas no debe ser considerada como un gasto, sino como una inversión y una oportunidad para mantener la confianza de los usuarios, estar insertos en el mundo, cumplir con las regulaciones aplicables y aprovechar al máximo el valor de la información en el entorno empresarial actual. La designación del DPO y la definición clara de sus responsabilidades y funciones, así como la colaboración con otras áreas de la organización, son elementos clave en el éxito de esta área. La protección de datos ya no puede ser ignorada, y las empresas deben adaptarse a este nuevo paradigma para asegurar su competitividad y reputación en el mercado.

A continuación, presentamos algunas ideas que pueden resultar efectivas al momento de persuadir a la alta gerencia de una empresa acerca de la necesidad de establecer un área de protección de datos:

Protección de la reputación de la empresa: Destaca cómo la confianza del cliente es fundamental en los negocios y cómo una violación de datos puede tener un impacto negativo en la reputación de la empresa. Argumenta que tener un equipo dedicado a la protección de datos asegurará que se tomen las medidas necesarias para prevenir y mitigar posibles violaciones de datos, protegiendo así la reputación de la empresa y manteniendo la confianza de los clientes.

Ventaja competitiva: La protección de datos hoy en día es una ventaja competitiva en el mercado global actual. Muchos clientes y socios comerciales buscan hacer negocios con empresas que puedan garantizar la seguridad y protección de sus datos. Argumenta que tener un área de protección de datos bien establecida puede ser una oportunidad para diferenciarse de la competencia y atraer a clientes y socios comerciales que valoren la seguridad y privacidad de sus datos.

Ahorro a largo plazo: Argumenta que tener un área de protección de datos puede resultar en ahorros a largo plazo. Si bien puede haber costos iniciales asociados con la creación y operación de un área dedicada a la protección de datos, a largo plazo, puede ayudar a prevenir violaciones de datos costosas y mitigar los riesgos de pérdida de la pérdida de los mismos, lo que resulta en ahorros financieros y protección del valor de la empresa.

Plan de implementación: Presenta un plan detallado de cómo se podría implementar el área de protección de datos, incluyendo la estructura organizativa, los roles y responsabilidades del equipo, los recursos necesarios, y los pasos para garantizar la integración efectiva de la protección de datos en los procesos y operaciones de la empresa.

Demostración del retorno de la inversión (ROI): Proporciona proyecciones y análisis del ROI potencial de la creación de un área de protección de datos, considerando los costos asociados, los beneficios esperados, y el impacto en la mitigación de riesgos y en el crecimiento de la empresa.

Educación y concienciación: Destaca la importancia de la educación y concienciación en protección de datos para los empleados de la empresa. Explica cómo un área dedicada a la protección de datos puede desarrollar programas de capacitación para sensibilizar a los empleados sobre las mejores prácticas en protección de datos y promover una cultura de seguridad de la información en toda la empresa. Esto ayudará a prevenir errores humanos y minimizar riesgos de seguridad.

Evolución del panorama legal y regulatorio: Menciona cómo el panorama legal y regulatorio en materia de protección de datos está evolucionando constantemente, con la implementación de nuevas regulaciones y leyes en todo el mundo. Explica que tener un área dedicada a la protección de datos permitirá a la empresa mantenerse actualizada con los cambios en el entorno legal y adaptarse de manera proactiva, minimizando así los riesgos legales y asegurando el cumplimiento continuo.

Responsabilidad corporativa: Destaca cómo la protección de datos es una responsabilidad corporativa y ética. Argumenta que la empresa tiene la responsabilidad de proteger la información confidencial de sus clientes, empleados y socios comerciales, y que tener un área de protección de datos demuestra un compromiso serio con la responsabilidad corporativa y la protección de la privacidad.

Sobre los autores

Daniel Monastersky

Abogado. Se especializa en delitos informáticos, robo de identidad, reputación online y protección de datos personales. DPO Certificado por la Universidad Francisco de Vittoria-Wolters Kluvers, España. Cuenta con un Certificate en Gestión y estrategias de la Ciberseguridad de la Universidad Internacional de Florida (FIU), Estados Unidos.  Fue uno de los miembros del Advisory Board del Global Forum on Cyber Expertise (GFCE).
Socio Fundador Data Governance LATAM, consultora especializada en privacy.Fue elegido como uno de los 20 influencers, de habla hispana, que considera los más destacados en ciberseguridad.

Facundo Malaureille

Abogado Pontificia Universidad Católica Argentina. MBA y Leadership Professional in Ethics & Compliance (LPEC) Certification Candidate, ECI and IAE Compliance, ambos en IAE Business School. Data Protection Officer (DPO) Francisco de Vittoria-Wolters Kluvers. Socio Fundador Data Governance LATAM, consultora especializada en privacy. Director de la Diplomatura en “Data Governance” de UCEMA.