Hace ahora cinco años, el 25 de mayo de 2018, llegaba el Reglamento General de Protección de Datos (RGPD), impulsado por el avance de una tecnología que convirtió el tratamiento de datos personales en la base de los negocios. Entonces, eran muchas las incógnitas que quedaban por esclarecer sobre su aplicación práctica y el DPO se erigió como la figura que debería hacerlo. Y en estos años, se ha demostrado que la privacidad no es una cuestión exclusiva del ámbito legal ni del tecnológico, sino que las organizaciones que han cosechado mayores éxitos en este sentido son las que han sabido diseñar una estructura en la que se trabaja desde la colaboración entre las diferentes áreas.
Precisamente con este mensaje inauguraron Javier Aznar, socio del área de Technology Risk, Consulting de KPMG en España, y Noemí Brito, directora responsable del área de ‘Legal Operations & Transformation Services’ (LOTS) y de IP and IT de KPMG Abogados, el evento conmemorativo del quinto aniversario del RGPD. Un encuentro en el que también se hizo hincapié en la estrecha relación que, cada vez más, tienen la transparencia y la confianza con los resultados de negocio y en la necesidad de alejar del DPO la consideración de stopper de negocio para asociarlo a la ventaja competitiva que puede y debe generar para la compañía.
Porque, según el ‘Annual Privacy Governance Report 2022’ de la Asociación Internacional de los Profesionales de Privacidad (IAAP, por sus siglas en inglés), el 62% de los entrevistados indicaba que la falta de recursos de privacidad afecta a su capacidad de conseguir sus objetivos de negocio. Y el 55% aseguraba necesitar expertos en privacidad que pudieran satisfacer unas necesidades que no dejan de cambiar.
Y es que la tecnología y el ritmo al que avanza ha sido y seguirá siendo la gran responsable de este cambio acelerado en las necesidades de las compañías, precisamente, por el incremento que en los últimos años han experimentado las organizaciones en la recopilación y gestión de los datos. Teresa Schüller, delegada de Protección de Datos de Carrefour España, ejemplificó este hecho: “Viendo el histórico del presupuesto a la oficina de privacidad, de 2020 a 2021 experimentamos un incremento del 250%, pero no tanto por la adaptación al RGPD sino por la estrategia digital que estaba asumiendo la compañía”. Y es que, tal y como señaló Noemí Brito, “una organización que no crezca en los datos, a día de hoy no puede pensar en el futuro y aquí el papel del DPO es fundamental en cuanto a que asegura una transparencia y una confiabilidad de los datos”.
Además, en los últimos años su labor ha superado el ser un garante del cumplimiento y ha evolucionado hacia un rol cada vez más de asesor: “lo que se necesitan no es que vayas con el ‘no’ por delante, sino que ofrezcas la manera de hacerlo posible, en base al cumplimiento de la norma”, apuntó Javier Aznar. En este sentido, la Agencia Española de Protección de Datos (AEPD) lanzó una consulta a los DPOs de las compañías en la que se preguntaba cuál era la percepción de su labor dentro de las organizaciones para ver el alcance y la relevancia de esta figura.
Cristina Sánchez-Tembleque, Chief Compliance Officer & Data Protection Officer del Grupo Inditex, señaló que el mero hecho de que exista la denominación de DPO, con su nombramiento formal por detrás, te da una mayor capacidad de acercarte a las diferentes áreas. “Y, en mi caso, es fundamental la colaboración con ellas para poder llegar a todos los mercados que tenemos. Es decir: trabajar de la mano de las áreas legales y tecnológicas para crear ese equipo multidisciplinar tan necesario e insistir en que estamos aquí para ayudar”.
También Jaime Requejo, delegado de Protección de Datos (DPO) del Grupo Sanitas, se pronunció sobre la importancia del equipo con el que trabaja el DPO para “llegar a donde no llegamos nosotros. Porque no somos superhombres. Y necesitamos construir un buen vínculo con negocio, conocerlo bien y tener una visión global”. Y parte de ese vínculo es también ayudar a que toda la organización sea consciente de la importancia de la protección de los datos desde una perspectiva global e interna de la compañía, así como impartir formación y sensibilizar sobre la materia, porque “de nada sirve el trabajo en políticas, marcos de control o seguridad, si, por desconocimiento, un miembro de la compañía hace algo que no se debe hacer”, apuntó Iratxe Beain, Data Protection Officer en BBVA.
Así, si hay una lección que puede extraerse después de cinco años del RGPD es que la protección de la privacidad ha cobrado relevancia, se ha introducido en las conversaciones y en las prioridades de las compañías. Y, como consecuencia de ello, también se ha empezado a tener en cuenta desde el inicio del diseño de los productos y servicios. Tanto que recientemente se ha aprobado la “ISO/DIS 31700. Consumer protection — Privacy by design for consumer goods and services” para llevar el ‘Privacy by Design’ al consumidor.
A este respecto, Noemí Brito añade que “hay una componente legal importante porque tenemos que definir los parámetros, políticas y procedimientos para aplicar el Privacy by Design al igual que la Security by Design dentro de las organizaciones y, al mismo tiempo, establecer medidas y estructuras de control que nos permitan ir de ahí hacia abajo, al detalle”. Y, en este sentido, Javier Aznar introdujo la idea de ‘privacidad competitiva’, en línea con acercar la labor de asegurar la privacidad con la de generar una ventaja para el negocio: “si has incorporado los requisitos de privacidad desde la concepción del producto o el servicio, desde su diseño, también vas a poder poner en el mercado productos y servicios diferenciales. Porque no solo hacemos esto para cumplir sino para posicionarnos mejor”.
Pero a día de hoy, con la madurez que han alcanzado los programas de protección de la privacidad, estos deben evolucionar de la mano de la tecnología hacia la automatización de procesos. Y para hacer realidad esa automatización es cada vez más importante la colaboración y el trabajo conjunto entre las distintas áreas afectadas. Porque la constante evolución de la tecnología y los nuevos perfiles de riesgo emergentes conducen a la coordinación entre las áreas de DPO, CISO, CIO, CDO y tecnología.
Bajándolo al terreno de juego, Teresa Schüller, DPO de Carrefour, sostuvo que “debemos tener muy bien integrado el rol de colaborar, sobre todo, con el departamento de seguridad. El CISO nos va a acompañar en los próximos años porque la estrategia de ciberseguridad supone una auténtica revolución de los modelos de gobierno interno”.
En el caso de Fátima Cereijo, Control de Fraude y Privacidad en Abanca, esta idea está realmente asentada, ya que la figura del DPO está ubicada dentro del área de riesgos. “Mi ‘hermano’ es el CISO. Yo me centro en medidas de privacidad y él en cuáles son las medidas de seguridad más adecuadas. En cuanto a los automatismos, nosotros llevamos la privacidad de 14 empresas del grupo, por lo que nos encontramos con unos mil tratamientos diferentes que eran inabarcables, por lo que nos tuvimos que frenar, pensar en la eficacia y eficiencia y hacer tratamientos centralizados”
Lo que ha quedado más que claro en estos años es que el fin último es acercar posturas entre DPO y CISO y, en este sentido, en Aegon tienen bastante camino recorrido. Raquel Adán, su Data Protection Officer, asegura que trabajan de manera coordinada con Riesgos y el CISO. “Tenemos gran cantidad de retos de automatización, pero tenemos coordinación por ser un sector hiperregulado y tenemos cultura de que todos los procesos tienen que llevar análisis y medidas”.
Similar es el caso de Tendam, sobre el que David Moreno, director de Tecnología y Seguridad, afirma: “en nuestro caso, que siempre hemos trabajado con el dato de cliente, tenemos millones de registros con información agregada de diferentes orígenes y debemos tener controlado y mecanizado su ciclo de vida de principio a fin, reportando una serie de KPIs para que negocio pueda saber cuántos datos se han tratado, qué derechos se han ejercido, etc. para tener visión holística de la gestión de privacidad. Para nosotros el DPO es una pieza clave para nuestra seguridad”.
Sobre los casos concretos de estas tres organizaciones, Javier Aznar destacó el ejemplo que suponen en cuanto a compañías customer centric que, además de poner a su disposición lo que necesita el cliente, son capaces de obtener un beneficio y una ventaja para el negocio. “La privacidad se está convirtiendo en un asunto estratégico para las compañías y tenemos que retar a negocio para que nos acompañemos mutuamente a la hora de integrar la privacidad como un requerimiento funcional más de cualquier producto o servicio”, señaló Esther Gutiérrez, Data Protection Officer en Reale Seguros.
Pero no todas las organizaciones están en el mismo nivel en cuanto a colaboración e integración de la automatización. Para Patricia Chenlo, Data Protection & Privacy Compliance Manager en Repsol, quien declaró encontrar más difícil esa unión entre las diferentes áreas, la clave es conseguir restarle, en la medida de lo posible, carga de trabajo a negocio. “Estamos intentando que dentro de los objetivos individuales esté la privacidad, porque si no ves que te impacta de manera directa no lo vas a hacer”.
Ahora es momento de mirar al futuro porque, además de hacer balance de los aprendizajes cosechados en estos cinco años de vida del RGPD, no se pueden dejar de lado los retos a los que siguen teniendo que hacer frente los delegados de protección de datos y los responsables de seguridad, que van estrechamente ligados al surgimiento de nuevas tecnologías, aún más intensas en la recopilación y tratamiento de los datos. Ejemplo de ello son la Inteligencia Artificial y otras tecnologías emergentes como la computación cuántica o el paradigma del metaverso, que retan a las compañías en la adecuación de los programas de protección de datos a las nuevas necesidades. Y el rol del DPO es y será fundamental en cuanto a que es cada vez más un catalizador de la innovación en la compañía, tal y como apuntó Noemí Brito.
Ante este escenario, Cristina Sánchez-Tembleque, DPO del Grupo Inditex, aseguró que “los profesionales de la privacidad somos los que estamos mejor preparados para abordar este asunto porque, al final, estamos expuestos en nuestro día a día a los cambios tecnológicos y normativos y esto no deja de ser eso mismo”. Pero hizo un llamamiento, muy en línea con el mensaje que compartieron todos los ponentes a lo largo de todo el encuentro: la necesidad de trabajar conjuntamente con las áreas de tecnología para poder hacer pruebas en entornos seguros; y reflexionar en torno a cómo incluir en los códigos de conducta y normativa interna los principios de ética digital.
Porque, independientemente de la tecnología que llegue y el tiempo que pase, la seguridad, la transparencia y la privacidad serán máximas que deberán seguir priorizándose desde todos los equipos y áreas de la compañía. Por el bien del cliente y por la sostenibilidad del negocio.
Deja un comentario