El próximo 25 de mayo de 2018, finaliza el plazo de adaptación establecido por el Reglamento (UE) 2016/679 relativo al tratamiento de datos personales y a la libre circulación de estos datos. A partir de ese momento, todos los preceptos recogidos en su texto serán de plena aplicación, incluyendo, entre otros, un régimen que contempla sanciones de hasta un máximo de 20 millones de euros o el 4 % de la cifra global de negocio para aquellas organizaciones que incumplan dicha regulación.

La nueva normativa en materia de privacidad introduce algunos cambios muy relevantes en el modo en el que las organizaciones deberán garantizar los derechos de los ciudadanos en el tratamiento de sus datos de carácter personal.

Muchos de dichos cambios van en la línea de la tendencia marcada en el pasado reciente por otros marcos normativos similares y en los que ya venimos trabajando en nuestras respectivas organizaciones, incorporando conceptos ya familiares como el de la proporcionalidad y la gestión de riesgos, la debida vigilancia o las estructuras internas responsables de velar por el cumplimiento de dicho marco regulatorio.

Pero otros muchos conceptos sí pueden ser bastante novedosos y requerirán, durante el tiempo que dure este periodo de adaptación, un esfuerzo para ir interiorizando en nuestras formas de trabajar. Por citar algunos de ellos, articular conceptos tales como el de privacy impact assessment (PIA), privacy by design & by default, o la notificación de brechas de seguridad supondrán un reto para muchas organizaciones.

Uno de los requisitos que está generando más debate en el seno de las organizaciones es el de la figura del data privacy officer (DPO) como el eje en torno al cual articular todo el modelo de cumplimiento en materia de privacidad dentro de las mismas.

Además de la necesidad o no de disponer de ella, las organizaciones se plantean otras cuestiones alrededor de esta figura:
– ¿Cuál debe ser el perfil de la persona que asuma este cargo?
– ¿Debe tener alguna formación o certificación específica?
– ¿Debo crear una posición en mi organigrama específica para darle cabida?
– ¿En ese caso, dónde la ubico en el organigrama?
– ¿Cuánta dedicación requiere esta función? ¿Una persona? ¿Más? ¿Menos?

Más allá de las anteriores cuestiones, me gustaría plantear un punto de vista diferente: ¿Y si en lugar de un data privacy officer hablásemos de una data privacy office?

Uno de los argumentos a favor de este enfoque es, precisamente, la referencia de cómo se han incorporado otros marcos regulatorios similares en las organizaciones, con la creación de los comités de compliance. De hecho, ¿por qué no integrar esta figura dentro de dichos comités?

Alineado con el anterior, y que entiendo también fue argumento para la creación de dichos comités de compliance, es la visión multidisciplinar que requiere esta función. ¿De verdad creemos que una sola persona es capaz de ejecutar tareas tan diversas como la de llevar a cabo un análisis de riesgos de privacidad, redactar adecuadas cláusulas contractuales, gestionar una crisis de reputación derivada de un incidente de privacidad, redactar unas buenas políticas internas de manejo de la información o definir las medidas de seguridad lógica a implantar en un nuevo desarrollo informático?

¿No sería mejor contar con un equipo multidisciplinar en el que participen perfiles jurídicos, de recursos humanos, informáticos, de comunicación o auditores internos?

En el plano teórico, parece la solución óptima. Sin embargo, en la realidad, repartir este tipo de responsabilidades dentro de la organización genera, en ocasiones, una falta de liderazgo y lagunas en la asunción de determinadas tareas, dado que todos esos perfiles suelen tener otras prioridades en su día a día. Para evitarlo, una posible solución es asignar la función de DPO a una figura dentro del organigrama capaz de movilizar a todos estos recursos.

Otra opción sería externalizar, total o parcialmente, la función. Esta opción, contemplada en la propia regulación, permite a las organizaciones disponer de múltiples perfiles especialistas, con un porcentaje de dedicación ajustado a las necesidades concretas de dicha organización, variable en el tiempo y completamente focalizados a la problemática de protección de datos de la organización.

Esta opción, sin embargo, también requiere considerar una serie de factores clave de éxito: la elección de un proveedor que disponga de todas esas capacidades, que comprenda su organización y sus riesgos reales en materia de privacidad y que sea capaz de coordinarse con los equipos internos de la organización, el dimensionamiento de la propia colaboración con ese proveedor, tanto en horas de trabajo como en el grado de involucración de los diferentes perfiles internos y externos, etc.

Dicen que el “depende” es el escudo que protege a cualquier consultor y no seré yo el primero que desprecie esa protección. Así pues, concluiré que el mejor esquema para diseñar el modelo organizativo interno en materia de privacidad dependerá del tipo de tratamientos que se realicen en cada organización, de su riesgo asociado y de las capacidades disponibles.