Entrevistas
Garrigues: «El poder del DPO en la empresa será muy elevado»
Alejandro Padín
Responsable del Area Privacidad y Tecnología
Despacho Garrigues
Tic, tac, tic, tac… 2018 marca el ritmo de la cuenta atrás para que el GDPR sea de aplicación obligatoria en la Unión Europea, a pesar de que consultoras como IDC aseguren que solo el 10% de las empresas españolas la cumplirían a día de hoy. Es decir que, a pesar de los avisos, muchos siguen viendo los toros desde la barrera y no acaban de entender que esta nueva ley dista mucho de la que conocemos a día de hoy, la LOPD.
Frente a los cambios que se avecinan y, sobre todo, sabiendo las multas que van a poner, no podíamos dejar de preguntarnos cómo será el profesional que tenga que lidiar con todo esto, conocido como el delegado de protección de datos (o DPO, por sus siglas en inglés). ¿Qué actitudes y aptitudes tiene que tener?, ¿hasta dónde llega su responsabilidad?, ¿tendrá rango directivo o qué lugar ocupará en el organigrama organizativo de las empresas? Para responder a todas estas cuestiones hemos hablado con Alejandro Padín, responsable del área privacidad y tecnología, counsel del departamento Mercantil del despacho de abogados, Garrigues. Padín se encarga, entre otras cosas, de asesorar a las empresas sobre si necesitan o no incorporar la figura a su plantilla y, en el caso de que así sea, elaborar la norma interna que lo regula.
Sospechábamos que, si las empresas aún andan intentando saber los pormenores de la ley y cómo adaptarse, conocer todo lo relacionado con la figura del DPO podría seguir siendo una auténtica incógnita. Y así es, en muchos casos. «Se trata de un perfil un poco desconocido porque es difícil de perfilar. Por una parte, es obligatorio para un tipo de empresas y, por otra, una vez se decide que sí han de tenerlo, es complicado el visualizarlo con arreglo a los perfiles profesionales que existían hasta ahora en las empresas y en los prestadores de servicio«.
Parte del trabajo de Padín en Garrigues es, precisamente, elaborar la norma interna que regulará esta figura dentro de la empresa, como parte de los proyectos de adaptación a la misma. «No es una ley o estatuto oficial pero es necesaria para que el resto de la organización conozca bien sus funciones o estructura orgánica, así como cuáles son las obligaciones del resto de departamentos hacia el DPO«.
Aunque las funciones de este responsable están bosquejadas en el reglamento (supervisar que la compañía cumpla la protección de datos y el asesoramiento para el resto de la organización), para hacer un buen trabajo, se le exige un nivel de implicación muy profundo. «Tiene que dedicarle muchas horas a conocer a fondo cada una de las partes de una organización. En ella, hay perfiles muy dispares, hay quien desarrolla productos y servicios, quien toma decisiones de contratación, etc…«.
Pero, ¿quién hace actualmente esta labor de supervisión? «En España no hay una figura similar (aunque en otros países como Alemania, sí existe), es una novedad absoluta. Lo que tenemos actualmente en nuestro país son encargados de gestionar el cumplimiento de protección de datos, que se ubican normalmente en el departamento de asesoría jurídica o de sistemas«.
«La diferencia es que, ahora, el enfoque normativo del reglamento europeo hace más complicado el cumplimiento. Antes, la LOPD te daba una lista de obligaciones para cumplir y cualquiera en la empresa que supiera un poquito de esto podía montar un expediente de cumplimiento, en cambio ahora, esa lista y esa facilidad desaparece, así que quien se responsabilice de eso tiene que ser una persona que conozca en profundidad la empresa y la norma porque tiene que interpretarla y adaptarla a la misma. Se trata de una norma más flexible pero, para trabajar con ella, hay que conocerla bien».
La formación del DPO
Contrariamente a lo que pudiera pensarse, este profesional no tiene que ser licenciado en Derecho, aunque sí cumplir los siguientes requisitos personales y profesionales:
- Conocimiento profundo de la legislación en materia de protección de datos.
- Experiencia en protección de datos.
- Cierto nivel de sensibilidad por las cuestiones de la seguridad y la privacidad, desde el punto de vista técnico.
- Gran capacidad de interlocución interna con las diferentes áreas de negocio, ya que tendrá que rendir cuentas al máximo nivel de la organización.
«Yo creo que es una profesión de futuro sin ninguna duda», indicó Padín. «Ahora, porque será una obligación legal para muchas empresas, y en unos años, se necesitará una reposición de estos profesionales y se seguirán contratando«. Otra salida profesional es convertirse en DPO externo para aquellas empresas que no estén obligadas a incorporar uno en la plantilla o incluso, ofrecer el servicio de formar o asesorar al propio DPO, como está haciendo el despacho de abogados, Garrigues.
Al final, se trata de una figura muy flexible que no tiene por qué modificar sustancialmente el organigrama establecido de una organización. Según Padín, la norma no establece en qué departamento ha de trabajar, el único límite que pone es que no entre en conflicto de intereses. «Así, se excluyen, por ejemplo, los directivos encargados de RR.HH., ámbito financiero, marketing… normalmente se están asignando en el área jurídica o en el departamento de sistemas, solo que aquí tiene que estar separado de las decisiones presupuestarias en materia de inversión«.
Igual de flexible es el sueldo que puede llegar a cobrar este profesional ya que depende de muchas variables, entre ellas de que sea nombrado al más alto nivel de dirección o no. Sin embargo, la experiencia de Alejandro Padín le permite contarnos que, salvando las distancias «el salario del DPO estaría de la media (de la empresa) hacia arriba», y lo justifica: «el poder que tiene dentro de la organización será muy elevado y el perfil es complicado».
«En este momento hay una disparidad muy grande y seguramente en el futuro esto se unifique. Si tiene rango de directivo, el salario será alto, en caso de empresas muy grandes, y otras veces se incorporará a un departamento con supervisión del gerente o algo así… De cualquier manera, como no hay prácticamente nadie que cumpla con todos los requisitos, pues se está buscando a la persona que más se ajuste y que vaya completando las formaciones legales y la experiencia con el tiempo».
Por último, Padín aconseja a todas las empresas que necesiten esta figura de forma obligatoria que lo hagan cuanto antes. «Aunque, en la práctica, ya deberían estar en proceso de adaptación«.
Yo, DPO
Según un estudio reciente de Trend Micro, la mayoría de las empresas españolas no están seguras de quién debería hacerse cargo de garantizar el cumplimiento de la regulación. De los encuestados, el 22% cree que el CEO debe ser responsable de liderar el cumplimiento del GDPR, mientras que el 12% de los participantes considera que debe ser el CISO y su equipo de seguridad quienes deberían tomar la iniciativa. Sin embargo, solo el 12% de esas organizaciones cuenta realmente con un alto ejecutivo involucrado en el proceso de GDPR, lo que marca una diferencia de 9 puntos por debajo de la media (21%). No obstante, la mayoría de las empresas españolas (66%) tiene al departamento de TI liderando este proceso, mientras que solo el 19% tiene a un miembro de la junta directiva involucrado.
Pese a estos datos (y los que hemos mencionado al comienzo de este artículo) hemos encontrado empresas que sí han hecho los deberes, como son la startup, Ninjamails, y el Grupo Cortefiel, que ya han incorporado a filas a sus DPOs: Carlos Mateo y David Moreno, respectivamente.
¿Cómo se te designó DPO?
Carlos Mateo, Ninjamails: En mi caso se podría decir que ha sido una evolución natural. Hace 10 años (bastante antes de la aprobación del GDPR y de que existiese propiamente esa figura) tuve la suerte de empezar mi carrera en el Departamento Jurídico y de Privacidad de Tuenti, la red social española que compró Telefónica y que llegó a tener más de 20 millones de usuarios.
Uno de sus sellos distintivos era precisamente esa apuesta por la privacidad y la protección de datos que llegaba mucho más allá de las exigencias de la LOPD, establecimos unas políticas de privacidad aún más garantistas para los usuarios aplicando ya entonces conceptos como el de privacidad desde el diseño y por defecto.
Desde entonces, he estado siempre enfocado en el mundo del emprendimiento, las startups y la innovación, he pasado por la mayoría de aceleradoras y al ser uno de los pocos abogados-emprendedores con experiencia en protección de datos que hay en España, he tenido la oportunidad de ayudar a algunas de las mejores empresas del mundo a definir sus proyectos y a cumplir con la legalidad vigente en la Unión Europea.
David Moreno, Grupo Cortefiel: Fue una decisión tomada por el CEO de la compañía, en base a criterios de optimización de costes y conocimiento del proyecto.
¿Cuáles son tus funciones desde que llegas a la oficina?
Carlos Mateo, Ninjamails: Todos los proyectos empresariales pasan siempre por diferentes etapas y yo creo que el DPO debe ser capaz de evolucionar con el proyecto. Al principio el mayor trabajo se centra en entender perfectamente el negocio y en ayudar a los responsables con la definición del producto, las funcionalidades, la estructura, los protocolos y las políticas de empresa con el objetivo de identificar todos los posibles riesgos. Lo ideal es hacer este trabajo desde el primer momento (desde la idea inicial) pero si la empresa ya está funcionando el DPO también puede hacer una auditoría interna para identificarlos. En esta fase hay que comprender cuales son los datos personales que trata la empresa, con qué finalidades, cuál es la base jurídica del tratamiento, qué medidas de seguridad se están aplicando y cuales son los proveedores existentes.
A partir de esa información hacemos un análisis exhaustivo de los riesgos que pueden darse al tratar estos datos personales, un análisis del impacto que se podría producir en caso de brecha de seguridad y una vez identificados adoptamos las medidas técnicas, contractuales y operacionales necesarias para eliminarlos o reducir al mínimo sus posibles efectos.
Pero eso es sólo el principio a partir de ahí el DPO es el responsable de supervisar que todas estas medidas se estén cumpliendo, tiene que asesorar a los directivos, formar a los trabajadores y asegurarse de que si se cambia algún proceso o se incluye alguna funcionalidad, todos los derechos las personas cuyos datos son tratados por la empresa sean respetados.
David Moreno, Grupo Cortefiel: En estos momentos estamos en fase de implementación de medidas que permitan adaptarnos a la nueva normativa, sobre todo en materia de nuevos derechos y diligencia debida en la demostración de pruebas. Mi trabajo a día de hoy consiste en coordinar tareas técnicas de diferente índole, así como trabajar de la mano del departamento jurídico en aquellas de tipo organizativo o procedimental.
¿Cómo te sientes asumiendo tal responsabilidad?
Carlos Mateo, Ninjamails: Ser el DPO es una enorme responsabilidad y esta responsabilidad es doble: Por un lado eres responsable de la seguridad de la propia empresa, de gestionar sus riesgos para evitar multas de hasta 20 millones de euros que afectarían gravemente a todos sus trabajadores, directivos, inversores y a sus familias, pero también lo eres de la seguridad, el bienestar y el respeto a los derechos y las libertades fundamentales de todas aquellas personas cuyos datos son tratados por la empresa y sus proveedores. Es una doble responsabilidad para la que hay que estar preparado y que sólo habiendo dedicado toda mi carrera a su estudio y práctica me siento cómodo asumiendo.
David Moreno, Grupo Cortefiel: Por un lado, son tareas conocidas para mí ya que siempre he estado muy implicado en materia de protección de datos con la LOPD actual. No obstante, supone un reto muy interesante porque me permite estar en contacto con todas las unidades de negocio y procesos de la compañía, colaborando en aquellos proyectos con impacto en la privacidad, estableciendo políticas y procedimientos de aplicación corporativa y velando por su correcto cumplimiento. Es un proceso de mejora y aprendizaje continuo en una normativa de nueva creación, que va a normalizar la situación de asimetría que existía hasta la fecha en Europa y, además, va a aumentar la protección de los derechos de nuestros clientes.
Los 12 principales cursos y certificaciones sobre IA generativa
Dropbox añade cifrado de extremo a extremo e integraciones con Teams y Copilot
Ayesa sufre un ataque de ransomware
«El uso que hacemos de la IA es único en el mercado»
La computación cuántica en la nube da un paso más para garantizar la seguridad y privacidad
SAP duplica su adopción en la nube pública en las empresas de España en el último año
Canva compra Affinity para convertirse en competidor de Adobe
Orange y MasMovil han cerrado su fusión en España: ya funcionan como una sola empresa
IA generativa como oportunidad para mejorar la sostenibilidad
Menos visibilidad, falta de control o soporte técnico limitado: cómo superan las empresas estos desafíos del teletrabajo
Salesforce amplía el despliegue de IA con la llegada de Einstein Copilot a Tableau
Amazon invierte 2.750 millones más en Anthropic
Los 12 principales cursos y certificaciones sobre IA generativa
IA generativa como oportunidad para mejorar la sostenibilidad
Canva compra Affinity para convertirse en competidor de Adobe
VISA introduce nueva IA para luchar contra el fraude digital en los pagos
Cisco Webex AI Assistant, colaboración con IA para la oficina y los contact center
Microsoft añade varias herramientas de seguridad y protección a Azure AI Studio
-
A FondoHace 3 díasCómo escoger la plataforma UEM más adecuada para tu empresa
-
NoticiasHace 7 díasHPE demanda al grupo chino Inspur por violación de patentes y prácticas engañosas
-
NoticiasHace 4 díasLas tres principales recomendaciones para poner en marcha una estrategia de seguridad zero trust
-
A FondoHace 4 díasEmpresas con historia: Telefónica