La GDPR — o General Data Protection Regulation — fue creada con el objetivo de garantizar la protección de los datos personales y la privacidad de los ciudadanos de los estados miembro de la Unión Europea. El texto está en vigor desde 2018 y establece reglas muy rígidas para cualquier empresa que recolecte, almacene y procese informaciones de los ciudadanos europeos en sistemas de información, previendo multas para quienes cometan deslices y permitan, por ejemplo, una eventual filtración.
México cuenta desde el año 2010 con la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y, luego se creó la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados para endurecer el marco legal ya existente. Las multas por incumplimiento de esta ley van de 100 a 320 mil salarios mínimos y los comercios que incumplan pueden sufrir demandas. De acuerdo con un estudio realizado por la consultora PwC en el año 2018 —Ciberseguridad y privacidad: de la percepción a la realidad —, el 48% de los comercios incumplen la Ley de Protección de Datos y un 88% piensan que sí la están cumpliendo.
Las leyes de la Unión Europea y la mexicana tienen sus particularidades y diferencias. Es importante considerar una nueva función profesional en el mercado introducida por la GDPR: la figura del Data Protection Officer (DPO) que, por aquí, se lo conoce como Delegado de Protección de Datos (DPD). Se trata de un profesional que se encarga de administrar todo el flujo de informaciones de una corporación y garantizar que se estén respetando todas las legislaciones de protección de datos vigentes.
"Pero, ¿y si mi organización no tiene las condiciones para contar con ese profesional?"; algunas empresas ya se deben haber cuestionado esto. En una actualización reciente del texto, se autorizó que las empresas tercericen esa función con estudios de abogados con expertise en protección de datos y gestión de crisis.
La figura del DPO está descripta en los Artículos 37, 38 y 39 de la GDPR. Se la describe como un ejecutivo que responde directamente a la alta dirección de la compañía y también interactúa con los órganos locales de protección de datos, actuando como puente para garantizar que todo esté conforme a la ley dentro de su organización. De acuerdo con el texto europeo, debe ser designado “basado en sus cualidades profesionales y, en particular, en su conocimiento especializado de leyes de protección de datos”.
De esta forma, el DPO tiene la misión de supervisar la infraestructura de protección de datos de su empresa, pudiendo aplicar auditorías, aconsejar a la alta dirección, garantizar que el equipo esté debidamente entrenado para proteger las informaciones, remediar eventuales infracciones a la ley vigente y servir como punto de contacto con las autoridades locales; debe responder lo más rápido posible a eventuales indagaciones que le fueran direccionadas. En el caso de México, esa autoridad local es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), que opera con ese nombre (antes era el IFAI Instituto Federal de Acceso a la Información y Protección de Datos) desde el año 2015.
La GDPR exige la figura del DPO en casos específicos, como órganos públicos y bancos. De cualquier forma, contar con la ayuda de tal profesional es un diferencial competitivo que, además de transmitir mayor confianza al mercado, puede evitar una serie de problemas judiciales y garantizar que su negocio trabaje siempre con una mentalidad de privacy-first.
Como se trata de una profesión nueva, nadie “se forma en protección de datos” y ya está apto para asumir tal cargo. El DPO tiene que ser un profesional interdisciplinario, que, además de tener un amplio conocimiento de las leyes, tenga habilidades asociadas de manejo de datos, dominio de conceptos básicos de seguridad de la información y una excelente capacidad de comunicación interpersonal, ya sea para comunicarse con las entidades reguladoras como con la alta dirección o con los consumidores de la empresa.
El perfil más buscado para asumir este papel es el de alguien que tenga cierta experiencia en seguridad de la información y cumplimiento, pero que también esté apto para absorber conocimientos básicos del área jurídica y que sea comunicativo, con capacidad para transmitir, con transparencia y claridad, las informaciones que sean necesarias tanto internamente como externamente.
La GDPR y la Ley de Protección de Datos mexicana actúan como despertador para que las empresas europeas y mexicanas se pongan de acuerdo en la necesidad de estructurar sus modelos de negocio basados en la protección de datos desde su fundación. Siempre que las autoridades de fiscalización garanticen que los textos de las leyes se estén cumpliendo y que el equipo de seguridad cibernética lidie con cuestiones técnicas, el Data Protection Officer entra como el profesional clave para actuar de conector y garantizar el cumplimiento de las estructuras legales.
Es natural que, en los próximos tiempos, la demanda por este tipo de profesional crezca cada vez más, creando nuevas oportunidades de trabajo con derecho a salarios generosos. Cuando se trata de protección de datos, principalmente de datos de consumidores, ningún cuidado es exagerado.