Data protection officer: el nuevo guardi¨¢n de los datos

?En menos de un a?o entrar¨¢ en vigor el nuevo Reglamento General de Protecci¨®n de Datos de la Uni¨®n Europea (GDPR por sus siglas en ingl¨¦s). Esta normativa representar¨¢ el mayor cambio en las reglas de actuaci¨®n para cualquier empresa o entidad p¨²blica que gestione, almacene o procese datos personales de los ciudadanos de la UE. Un nuevo marco legal que, de no cumplirse, podr¨¢ suponer importantes sanciones para las compa?¨ªas.

Este nuevo contexto ha generado un buen n¨²mero de incertidumbres en las organizaciones, que ven la necesidad de implantar nuevas tecnolog¨ªas, procesos y formas organizativas que promuevan la seguridad y el control en el tratamiento de los datos personales. No obstante, no existe una hoja de ruta clara sobre c¨®mo afrontar el proceso y cada empresa debe interpretar cu¨¢les son las mejores soluciones para adaptarse a la nueva regulaci¨®n.

Este nuevo perfil tendr¨¢ un papel predominante, ya que deber¨¢ tener una visi¨®n tanto externa como interna de la organizaci¨®n para ser la principal autoridad en materia de protecci¨®n de datos y el nexo de uni¨®n con las autoridades".

Para liderar esta transformaci¨®n, el reglamento s¨ª contempla la obligaci¨®n por parte de las organizaciones de designar un Data Protection Officer (DPO) para garantizar su cumplimiento. Una nueva figura organizativa que nace con el objetivo de dirigir este complejo proceso y establecerse como el nuevo guardi¨¢n de los datos de las compa?¨ªas.

Este nuevo perfil tendr¨¢ un papel predominante, ya que deber¨¢ tener una visi¨®n tanto externa como interna de la organizaci¨®n para ser la principal autoridad en materia de protecci¨®n de datos y el nexo de uni¨®n con las autoridades. Tendr¨¢ entre sus responsabilidades la tarea de informar y asesorar sobre GDPR, concienciar e impulsar la protecci¨®n de datos a toda la organizaci¨®n, velar por el cumplimiento del reglamento, participar y aconsejar en las valoraciones de impacto sobre el tratamiento de los datos, supervisar las peticiones sobre datos personales de afectados, y encargarse de la aplicaci¨®n y el protocolo de la notificaci¨®n de incidencias de seguridad.

Y para ello, deber¨¢ dotarse de una infraestructura tecnol¨®gica que d¨¦ respuesta a las necesidades globales de la organizaci¨®n para adaptarse al cumplimiento de GDPR. Necesidades que pueden dividirse en cuatro grupos y en las que el DPO deber¨¢ trabajar para hacer de su organizaci¨®n un modelo en el cumplimiento de GDPR:

- Gobierno de la informaci¨®n: generar estructuras tecnol¨®gicas que faciliten el registro de tratamiento de datos, aseguren la calidad de los datos y clasifiquen de forma automatizada el contenido para favorecer un acceso claro y sencillo.

Nos encontramos ante un momento de profunda transformaci¨®n para las organizaciones".

- Gesti¨®n y descubrimiento de datos personales: soluciones tecnol¨®gicas que permitan acceder a los datos personales que disponemos en la organizaci¨®n con el objetivo de protegerlos y monitorizarlos de accesos no autorizados.

- Asegurar ciclo de vida de los datos: desarrollar protocolos de identificaci¨®n de brechas de seguridad y generar mecanismos de encriptaci¨®n, enmascaramiento y auditor¨ªa de accesos para proteger los datos desde el proceso de captaci¨®n hasta el almacenamiento.

- Relaci¨®n con el ciudadano: herramientas tecnol¨®gicas que faciliten el ejercicio de los ciudadanos de sus derechos de acceso a la informaci¨®n, borrado y portabilidad, adem¨¢s de la gesti¨®n integral de los consentimientos.

Nos encontramos, por tanto, ante un momento de profunda transformaci¨®n para las organizaciones. Este nuevo reglamento puede percibirse como una amenaza, pero tambi¨¦n como una oportunidad. La llegada de GDPR y de la figura del Data Protection Officer deber¨ªa ayudar a catalizar grandes cambios en la forma en la que tradicionalmente se ha realizado la gesti¨®n del gobierno del dato en las organizaciones. Y, adem¨¢s, el cumplimiento de la regulaci¨®n puede abrir un nuevo abanico de oportunidades para crear y consolidar nuevos modelos de negocio relacionados con la informaci¨®n, sobre todo alrededor de la capacidad de monetizar mejor la informaci¨®n o el ofrecimiento de nuevos servicios relacionados con los derechos de los ciudadanos.

Adolf Hern¨¢ndez, director de Tecnolog¨ªa GDPR en Everis