big data
Getty Images

Llega un nuevo profesional a la empresa: el DPO

Europa exige a las grandes compañís incorporar al delegado de protección de datos

Es el responsable de velar y custodiar los datos de los clientes

Se aprobó en 2016, pero el Reglamento General de Protección de Datos (RGPD) será de aplicación el próximo año, a partir del 25 de mayo de 2018. En él se recoge la obligación para determinadas organizaciones de tener un delegado de protección de datos (DPO, por las siglas en inglés de data protection officer). Se trata de un perfil profesional asociado al riesgo, a las medidas de seguridad que las empresas deben adoptar para velar por los intereses de sus clientes. Por tanto, afecta a la Administración pública, a entidades financieras, a hoteles... en definitiva, “a todas aquellas instituciones que manejen datos de clientes, que deben proteger”, explica Ana López Carrascal, directora en el área legal de KPMG Abogados y experta en protección de datos.

El nuevo puesto estrella que llega a las oficinas es el DPO, un área en la que se precisan conocimientos especializados en Derecho y en protección de datos, además de conocer bien la organización. En este sentido, el cargo puede ser cubierto por alguien de la plantilla o de alguna empresa que preste servicios jurídicos a la compañía. El objetivo, afirma López Carrascal, es “salvaguardar la independencia y que no haya conflicto de intereses, por lo que debería ser una persona ajena al departamento de tecnología, ya que deberá tomar decisiones sobre medidas de seguridad, y ambas funciones resultan incompatibles”.

Otros cargos que chirrían y generan conflicto de intereses, según la directiva de KPMG Abogados, son los de director de operaciones, financiero, de recursos humanos o marketing, “porque todos toman decisiones sobre esta área”. La principal función de este ejecutivo es la de asesorar sobre protección de datos, supervisar el cumplimiento de la norma y servir de contacto entre la empresa, la autoridad y los empleados. Dentro de sus funciones no está la toma de decisiones, “por tanto no se le puede penalizar, ya que se encarga de asesorar e informar, como tampoco se le puede destituir ni sancionar”. El DPO ha de rendir cuentas al máximo ejecutivo de la organización, a la alta dirección, y debería estar sentado en el comité de dirección o en un comité ejecutivo adicional, en el que se aborden cuestiones más privadas.

Desde el mes de marzo, David Puente, formado en Empresariales y especializado en Estadística, es head of data en BBVA, área con la que la entidad financiera pretende impulsar la utilización estratégica de los datos en todas las áreas y negocios del banco, reportando directamente al consejero delegado, Carlos Torres Vila. “La gestión del dato tiene que plantearse desde diferentes puntos de vista, ya que hay que entenderlo como materia prima, y cada organización tiene que ver cómo gobernar la calidad de ese dato, que a la vez es una tarea compleja”, afirma Puente, que considera que no solo el regulador es sensible con el manejo de datos, sino que debe ser prioridad de las empresas. “Tenemos que saber gobernar el dato desde el punto de vista de la calidad y entenderlo como materia prima”. Por otro lado, opina este experto se encuentra otra vertiente: la explotación del dato, o lo que es lo mismo, “los nuevos servicios que creamos para el cliente, el valor añadido que le podemos aportar”.

Porque, según Puente, el dato, al margen de la explotación que se quiera dar, forma parte de la nueva dinámica que se está construyendo dentro de las organizaciones, “de la estrategia transformadora en la que estamos inmersos”. En este sentido, afirma que el supervisor bancario cada vez es más sensible al gobierno y gestión del dato dentro de una entidad financiera, con el fin de preservar la calidad y proteger la seguridad del dato.

Régimen sancionador

Este directivo cita algunos ejemplos puestos en marcha por BBVA para aportar valor añadido al cliente a partir de los datos que maneja, como es realizar un diagnóstico de salud financiera y una comparativa respecto a otras personas similares a dicho perfil, o la posibilidad de poder acceder a datos sobre una vivienda que quieres comprar o alquilar. “Creamos valor, pero creamos lo que no existe e involucramos a toda la organización, porque desde una función como esta se genera riqueza alrededor”, afirma Puente, que también pone el foco en la seguridad y en la buena gestión que se debe hacer de la información de la que se dispone.

Otra cuestión delicada, resalta la experta de KPMG, es el régimen sancionador que eleva las multas, por incumplimiento de esta norma, de 600.000 euros a 20 millones, o al 4% de la facturación anual de la organización, debido a la pérdida de datos, amenazas de ciberseguridad con impacto negativo en los interesados. “Por tanto, todas las empresas están obligadas a tomar medidas, a la vez que están preocupadas por el detalle de cumplimiento, ya que deben velar y respetar los derechos de los interesados”.

Algunas de las grandes dudas que surgen están relacionadas con el tipo de empleado interno que se ha de hacer cargo de estas competencias, dónde debe estar ubicado, a quién debe reportar y de qué recursos se le dota. “El encaje organizativo debe ir unido a la norma, pero la tendencia es que el proyecto lo lidere el área de asesoría jurídica y no el de tecnología de la información”.

Normas
Entra en EL PAÍS