Carlos Alberto Saiz Peña
Socio de Privacy, Risk & Compliance en Ecix Group
Vicepresidente de ISMS Forum
La pandemia actuó como la palanca definitiva para acelerar los procesos de transformación digital de las compañías que lo habían iniciado previamente y para dar el pistoletazo de salida en todas aquellas que aún no eran conscientes de que tenían que hacerlo irremediablemente.
En esa carrera las organizaciones se han dado cuenta de que esa transformación comprende un gran cambio cultural en los procesos productivos, además de una apuesta por la digitalización y la implantación de tecnologías que apenas existían o se comercializaban hace pocos años. En el centro de todo ello se coloca la materia prima que alimenta estos procesos y tecnología: la información, y entre ella, claro está, los datos personales.
Tener una estrategia de datos es imprescindible si se aspira a convertirse en una empresa «data-driven». Y proteger adecuadamente esos datos se ha convertido en una tarea nuclear por dos motivos: a) proteger un activo intangible de cada vez más valor y más impacto en la cuenta de resultados y b) cumplir con los requisitos normativos que permitan realizar tratamientos de datos ingentes con las garantías adecuadas.
Con este contexto, considero que los Delegados de Protección de Datos (DPO´s) tienen un papel especialmente relevante respecto a la Transformación Digital, desde un doble enfoque:
-
1. El desempeño de su función como DPO en el acompañamiento a la organización en la transformación digital de sus procesos core (procesos de producción, marketing, ventas, atención a clientes, RRHH, etc.).
-
2. La propia transformación digital del DPO y su esfera de funcionamiento.
Respecto al primer punto, considero que los DPO´s, como acompañantes de la transformación digital de sus organizaciones, se enfrentan a 3 grandes retos:
-
— Como Delegado de Protección de Datos nombrado por la organización y reconocido por los artículos 37 (LA LEY 6637/2016), 38 (LA LEY 6637/2016) y 39 del RGPD (LA LEY 6637/2016), dos de sus misiones son supervisar el cumplimiento de la normativa y asesorar a la entidad responsable de tratamiento sobre la evaluación de impacto relativa a protección de datos.
En este sentido, las grandes organizaciones tienen áreas y funciones específicas de Transformación Digital que se encargan de liderar ese cambio en los diferentes estratos de la compañía, rediseñando procesos, re-educando a los directivos y trabajadores, adquiriendo nuevas herramientas y tecnologías, y definiendo nuevos tratamientos de datos de clientes, potenciales, empleados, etc.
Los DPO´s tienen que compatibilizar su papel realizando los análisis de riesgos necesarios, conociendo las innovaciones que se pretenden llevar a cabo, observando los avances que se realizan y supervisando que se desarrollan conforme a los requisitos normativos que apliquen. Podrán surgir tensiones y conflictos entre diferentes áreas en las organizaciones que buscan un enfoque «posibilista» respecto a los tratamientos de datos y las líneas rojas que el DPO haya podido dibujar en su asesoramiento al responsable de tratamiento.
-
— Una implantación real del principio de privacy by design en una organización se ha convertido en uno de los caballos de batalla de los DPO. Y es una tarea difícil porque cuando una organización es grande en cuanto a número de empleados, tiene diferentes negocios, opera en diferentes sectores, está dispersa geográficamente… resulta también difícil que el DPO tenga conocimiento de los diferentes proyectos donde se definen nuevos productos, nuevos servicios, las futuras innovaciones de la compañía… donde se traten datos personales.
A todo ello hay que sumar la propia resistencia que algunas áreas pueden tener si tienen una visión del DPO como de stopper de los negocios y de las iniciativas empresariales. Sin lugar a dudas, es necesario hacer un trabajo importante para conseguir el respaldo de la más alta dirección en la aprobación de políticas de protección de datos, generar una cultura de privacidad extendida por toda la organización y especialmente en las áreas más sensibles al tratamiento de datos personales y por último, dar a conocer la figura del DPO y sus funciones para que puedan despejar cualquier duda sobre la necesidad y utilidad de tener un rol como este en una organización.
Cuando se implanta un sistema de «privacy by design» para poder dar esa cobertura legal de manera continua desde que se diseña ese nuevo producto o servicio, además resulta necesario que el DPO establezca un buen sistema de gestión que facilite internamente los análisis de riesgos legales, la custodia de evidencias de cumplimiento y control, la monitorización de controles legales en el avance del proyecto, el tracking de sus avances y variaciones, etc.
-
— Uno de los requisitos evidentes de un DPO es que tenga conocimientos importantes y experiencia en protección de datos. No obstante, nos encontramos en una era con un desafío mayor, ya que un DPO va a necesitar tener algunos conocimientos, y por lo tanto, hacer una cierta inmersión en asuntos tan variados y de tanto calado como Metaverso, IA, Cloud, identificación facial, CRM´s y Big Data, Ciberseguridad, etc.
Tener información de contexto sobre todos estos asuntos se va a convertir en un aspecto muy relevante para comprender de forma práctica y aterrizada el calado de los diferentes tratamientos de datos cuando estén relacionados con estos entornos.
Respecto al segundo punto, es necesario que el DPO desarrolle la propia transformación digital de su función, trabajando principalmente en 2 campos:
-
— Implantar una mayor tecnificación de la operativa de la función a través de soluciones Legaltech. En un momento de restricciones o de congelación de presupuestos y recursos, la incorporación de este tipo de tecnologías puede ayudar al DPO en el correcto desempeño de sus funciones para lograr:
-
○ Una mayor eficiencia, y un mayor cumplimiento con los mismos recursos.
-
○ Automatizar tareas administrativas, repetitivas o burocráticas, que aportan poco valor o que no requieren de intervención humana para ser completadas.
-
○ Dotarse de una mejor información del estado de situación de cumplimiento de la normativa de protección de datos en la organización en tiempo real y estar mejor preparado para realizar el report hacia la Dirección de la compañía cuando sea preciso, ya sea de manera periódica, o bien de manera extraordinaria, por ejemplo, ante una brecha de seguridad y datos.
Es necesario dar un paso más y sacar todo el partido a las posibilidades que las herramientas Legaltech ofrecen a los DPO
Y es que cuando hablamos de Transformación Digital, no solo debemos pensar en cómo los profesionales de la privacidad debemos «acompañar» a la organización en ese proceso con nuestro asesoramiento, sino que debemos incluirnos dentro de esa transformación para que el desempeño interno del DPO esté alineado a la cultura de esa compañía y a la velocidad y capacidad de reacción que el mercado nos va a demandar.
Por lo tanto, es necesario dar un paso más y sacar todo el partido a las posibilidades que las herramientas Legaltech nos ofrecen. En muchas organizaciones apenas se han implantado ninguno de estos sistemas o se limitan a gestores documentales, de expedientes, bases de datos, y otros productos de estas características.
En algunas corporaciones ya podemos ver cómo se han incorporado a los equipos legales y de Compliance expertos en tecnologías que ayudan a valorar la oferta de mercado, realizar demos y pilotos, liderar la implantación de las tecnologías seleccionadas y hacer un seguimiento de su utilidad a través de indicadores. Las tecnologías disruptivas y ya muy testeadas que incorporan machine learning e IA suponen una aportación enorme para un DPO en términos de capacidad para realizar análisis de riesgos en tiempo récord, revisión de documentos automáticamente con el consiguiente ahorro de tiempo de los equipos, visión holística del estado de la compañía a nivel de cumplimiento, mejor relación e interlocución con áreas de negocio y con empleados, mejor control de medidas legales en los procesos de negocio, etc.
-
— Diseñar e implantar un programa de indicadores. Algo que caracteriza a los sistemas producto de la Transformación Digital es la capacidad de medirlo todo y generar indicadores que nos permitan aprender y sacar conclusiones para seguir evolucionando, ya sea del nuevo programa de fidelización de clientes o del sistema de control de proveedores, por ejemplo.
En la función de un DPO existen muchos indicadores que hasta hoy no se generaban o no se les prestaba atención, pero es necesario fabricar un programa de indicadores avanzado y que vaya más allá de conocer cuántos tratamientos tenemos inventariados, cuantos derechos de acceso contestamos al año o cuantos PIA´s hemos realizado.
Hablo de indicadores como:
-
○ Los niveles de dedicación del equipo a tipologías de tareas para poder medir en qué invertimos el tiempo y los recursos de la función y cómo repercute en la realidad de la actividad y el nivel de cumplimiento de la normativa
-
○ Indicadores de generación de negocio (p.e. como prestadores de servicios en cuántos contratos hemos tenido que intervenir, cuántos se han cerrado, cuánto ha costado cerrarlos, etc.)
-
○ SLA´s de servicio interno (qué visión tienen otras áreas de nuestra función, cuánto tardamos en contestar consultas, cuánto tardamos en realizar un PIA, etc.)
-
○ Niveles de cumplimiento y mitigación de riesgos (qué objetivos anuales se han conseguido, qué mayores riesgos en privacidad se han mitigado, resultado de auditorías internas, externas, inspecciones, etc., realización de informes de benchmarking sobre nuestra posición respecto al mercado, etc.)
Los DPO que han trabajado en tener este tipo de sistema de indicadores tienen un nivel de información que les permite conocer dónde aplicar sus recursos, solicitar presupuestos de forma adecuada y estudiada, dónde aportan más valor a la organización, cuál es la hoja de ruta en base a riesgos/cumplimiento que debe seguir en los próximos meses, cómo reportar a la Dirección de forma fiable y basada en umbrales e indicadores, etc.