Data protection officer: el nuevo guardián de los datos

 En menos de un año entrará en vigor el nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR por sus siglas en inglés). Esta normativa representará el mayor cambio en las reglas de actuación para cualquier empresa o entidad pública que gestione, almacene o procese datos personales de los ciudadanos de la UE. Un nuevo marco legal que, de no cumplirse, podrá suponer importantes sanciones para las compañías.

Este nuevo contexto ha generado un buen número de incertidumbres en las organizaciones, que ven la necesidad de implantar nuevas tecnologías, procesos y formas organizativas que promuevan la seguridad y el control en el tratamiento de los datos personales. No obstante, no existe una hoja de ruta clara sobre cómo afrontar el proceso y cada empresa debe interpretar cuáles son las mejores soluciones para adaptarse a la nueva regulación.

Este nuevo perfil tendrá un papel predominante, ya que deberá tener una visión tanto externa como interna de la organización para ser la principal autoridad en materia de protección de datos y el nexo de unión con las autoridades".

Para liderar esta transformación, el reglamento sí contempla la obligación por parte de las organizaciones de designar un Data Protection Officer (DPO) para garantizar su cumplimiento. Una nueva figura organizativa que nace con el objetivo de dirigir este complejo proceso y establecerse como el nuevo guardián de los datos de las compañías.

Este nuevo perfil tendrá un papel predominante, ya que deberá tener una visión tanto externa como interna de la organización para ser la principal autoridad en materia de protección de datos y el nexo de unión con las autoridades. Tendrá entre sus responsabilidades la tarea de informar y asesorar sobre GDPR, concienciar e impulsar la protección de datos a toda la organización, velar por el cumplimiento del reglamento, participar y aconsejar en las valoraciones de impacto sobre el tratamiento de los datos, supervisar las peticiones sobre datos personales de afectados, y encargarse de la aplicación y el protocolo de la notificación de incidencias de seguridad.

Y para ello, deberá dotarse de una infraestructura tecnológica que dé respuesta a las necesidades globales de la organización para adaptarse al cumplimiento de GDPR. Necesidades que pueden dividirse en cuatro grupos y en las que el DPO deberá trabajar para hacer de su organización un modelo en el cumplimiento de GDPR:

- Gobierno de la información: generar estructuras tecnológicas que faciliten el registro de tratamiento de datos, aseguren la calidad de los datos y clasifiquen de forma automatizada el contenido para favorecer un acceso claro y sencillo.

Nos encontramos ante un momento de profunda transformación para las organizaciones".

- Gestión y descubrimiento de datos personales: soluciones tecnológicas que permitan acceder a los datos personales que disponemos en la organización con el objetivo de protegerlos y monitorizarlos de accesos no autorizados.

- Asegurar ciclo de vida de los datos: desarrollar protocolos de identificación de brechas de seguridad y generar mecanismos de encriptación, enmascaramiento y auditoría de accesos para proteger los datos desde el proceso de captación hasta el almacenamiento.

- Relación con el ciudadano: herramientas tecnológicas que faciliten el ejercicio de los ciudadanos de sus derechos de acceso a la información, borrado y portabilidad, además de la gestión integral de los consentimientos.

Nos encontramos, por tanto, ante un momento de profunda transformación para las organizaciones. Este nuevo reglamento puede percibirse como una amenaza, pero también como una oportunidad. La llegada de GDPR y de la figura del Data Protection Officer debería ayudar a catalizar grandes cambios en la forma en la que tradicionalmente se ha realizado la gestión del gobierno del dato en las organizaciones. Y, además, el cumplimiento de la regulación puede abrir un nuevo abanico de oportunidades para crear y consolidar nuevos modelos de negocio relacionados con la información, sobre todo alrededor de la capacidad de monetizar mejor la información o el ofrecimiento de nuevos servicios relacionados con los derechos de los ciudadanos.

Adolf Hernández, director de Tecnología GDPR en Everis