domingo, 7 de julio de 2013

Oficial de Privacidad Empresarial y la inseguridad de la información personal



Con el Decreto 1377 de 2013, el gobierno colombiano reglamenta de manera parcial la Ley 1581 de 2012. Dicha pieza jurídica establece entre otras cosas, la creación de un área al interior de las organizaciones para la adopción e implementación de políticas consistentes con la ley previamente mencionada.

Según se advierte en el artículo 27 del decreto previamente comentado se tiene:
“Artículo 27. Políticas internas efectivas. (…) Dichas políticas deberán garantizar: 
  • La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este Decreto. (…)”
En este sentido, la norma establece que las empresa deben contar con un nuevo oficial de cumplimiento, es decir un profesional de alto nivel, que busque desarrollar una cultura alrededor de la protección de los datos personales, se anticipe a los nuevos riesgos emergentes sobre los datos personales y asegure (verifique) la operación y prácticas respecto de los dichos datos en cada uno de los procesos de la organización.

Este nuevo perfil organizacional, representará a la organización frente a los requisitos del ente regulador, responderá de manera directa y concreta frente a los incumplimientos organizacionales en esta temática, además de estar expuesto a las sanciones de tipo personal que se establece en la Ley 1581 de 2012 en su artículo 23. En pocas palabras, es quien va a “ponerle la cara al regulador” ante cualquier solicitud o requerimiento sobre el tratamiento de los datos personales.

Si una organización no cuenta con este tipo de perfil, formalmente establecido dentro de su estructura organizacional o asociado con una descripción de cargo particular, la Autoridad de Datos Personales irá directamente a validar sus requerimientos y preguntas  con el representante legal de la empresa, quien deberá estar informado sobre el estado de la práctica de protección de datos en cada una de las bases de datos declaradas ante el supervisor.

Algunas de las preguntas naturales frente a esta nueva exigencia normativa, es ¿dónde debe estar ubicado en la estructura organizacional? ¿Qué profesión debe tener? ¿Qué tipo de estudios debe acreditar? ¿debe exhibir alguna certificación particular? ¿Cuáles son sus responsabilidades básicas? ¿A qué riesgos se expone este tipo de cargos? ¿Qué dice la práctica internacional?

La Asociación Internacional de Profesionales de la Privacidad, en inglés International Association of Privacy Professional – IAPP, en su último estudio internacional publicado en 2012, muestra que el cargo de Oficial de Privacidad (en inglés Chief Privacy Officer – CPO), se ubica en su orden:
  • 1.      Área legal
  • 2.      Área de cumplimiento
  • 3.      Área de seguridad de la información
  • 4.      Área de privacidad de datos
  • 5.      Área de gestión de riesgos
Como podemos ver, la figura del Oficial de Privacidad privilegia el contexto jurídico y no es para menos, toda vez que el procesamiento de una solicitud particularmente de eliminación de los datos de una base de datos, exige un análisis pormenorizado de la persona y sus vínculos contractuales, la pertinencia de la eliminación, el respeto del orden constitucional frente al derecho de hábeas data, que en últimas se traduce casi en una “providencia” del área de “Protección de Datos” donde se establecen las justificaciones y condiciones en las cuales es posible o no cumplir con el ejercicio del derecho por parte de los ciudadanos.

Sin perjuicio de lo anterior, no necesariamente la figura legal será la mandante en este cargo, habida cuenta que otras disciplinas complementarias podrán sintonizar el discurso del Oficial de Privacidad, desde la realidad empresarial, pasando por el debido análisis jurídico, hasta la operacionalización de las prácticas que son requeridas para establecer un ejercicio adecuado y ajustado a la Constitución y la ley del derecho de hábeas data.

Así las cosas, en una revisión de la práctica internacional en países europeos y algunos americanos, los encargados de la protección de datos personales o de la privacidad en general, son profesionales de las ciencias jurídicas o profesionales de otras disciplinas con preparación en ciencias jurídicas bien propias del derecho sancionador o constitucional que comprendiendo la esencia del derecho de la autodeterminación informática, son capaces de conciliar la materia leal propia del cargo, con las condiciones y connotaciones prácticas que requiere la organización para darle vida a la cultura de protección de la información personal y atender al regulador frente a su función de vigilancia y control.

Siguiendo la práctica europea, el Delegado de Protección de Datos – DPD, tendrá como parte de sus actividades:
  • a)      Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y documentar esta actividad y las respuestas recibidas.
  • b)      Supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • c)      Supervisar la implementación y aplicación del presente Reglamento, en particular por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud del presente Reglamento
  • d)      Velar por la conservación de la documentación contemplada en el artículo 28. (La documentación referida deberá contener, como mínimo, el nombre y los datos de contacto del responsable del tratamiento, el nombre y los datos de contacto del delegado de protección de datos, los fines del tratamiento, una descripción de las categorías de interesados y de las categorías de datos personales que les conciernen, los destinatarios o las categorías de destinatarios de los datos personales, las transferencias de datos a un tercer país o a una organización internacional, una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos, más la descripción de las medidas de seguridad. Tomado de: http://www.delegadoprotecciondatos.com/2013/06/tareas-delegado-proteccion-datos.html  (Consultado: 6-07-2013))
  • e)      Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con lo dispuesto en los artículos 31 y 32. (Será por tanto responsable de la comunicación tanto a las autoridades como a los directamente afectados., idem)
  • f)       Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consulta previas, si fueran necesarias de conformidad con lo dispuesto en los artículos 33 y 34. (Estudios previos a realizar cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. Idem)
  • g)      Supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia.
  • h)      Actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia.

Si revisamos los alcances de esta propuesta, encontramos semejanzas interesantes que nos advierten sobre la indicación del Decreto Reglamentario de la Ley 1581 de 2012 en Colombia, para desarrollar una figura semejante para el país. Una posición de esta estirpe en las organizaciones en el territorio nacional, establece un reto particular para las áreas de diseño organizacional y talento humano, como quiera que su novedad y particular perfil motiva una reflexión desde la Alta Gerencia para comprender los alcances de este nuevo profesional, que desde la privacidad de los datos, custodia las garantías constitucionales de los ciudadanos y asegurar comportamientos adecuados frente a los datos personales por parte de los empleados de una empresa.

De otra parte siguiendo la práctica internacional expuesta por los analistas del CIO Executive Board, el Oficial de Privacidad, “gobierna y asegura el desarrollo y mantenimiento de las políticas de protección de datos de la compañía, así como los procedimientos y prácticas requeridas que permitan a la empresa adherirse a su política de privacidad con una efectiva gestión de la información personal”.

Si bien esta definición muestra una vista general de lo que debe desarrollar el oficial de privacidad, nótese que se habla de la política de privacidad, que bien puede hacer referencia de un marco de autoregulación empresarial o relación directa con la legislación nacional aplicable a la organización. En este sentido, las empresas deben revisar con claridad y precisión cómo desarrollarán el tenor de su relación con los ciudadanos tradicionales y de la red, para darle cumplimiento de sus derechos constitucionales de conocer, actualizar y rectificar la información que sobre su persona registren las empresas.

Complementario a lo anterior, los especialistas en mención, establecen como requerimientos básicos para el ejercicio del cargo de Oficial de Privacidad los siguientes:
  • Capacidad para ejercer los más altos estándares éticos, de conducta profesional, y prudente toma de decisiones empresariales.
  • Capacidad para comprender complejos requisitos normativos y contractuales y crear sistemas de cumplimiento efectivos.
  • Capacidad demostrada para dirigir y ejecutar a través de diferentes negocios y funciones con diferentes temas e intereses.
  • Organización demostrada, con habilidades para la facilitación, comunicación y desarrollo de presentaciones efectivas.
  • Comprensión funcional de sistemas basados en tecnologías de información, incluidos los procedimientos y prácticas de seguridad de la información.
  • Experiencia previa como oficial de privacidad y / o experiencia en el análisis y la aplicación de prácticas de privacidad y seguridad de la información.
  • Deseable contar con certificaciones de industria relacionadas con gestión de riesgos (p.e CRISC, CRMA), seguridad de la información (p.e CISSP, CISM), auditoría (p.e CIA, CISA), fraude (p.e CFE) o privacidad (como CIPP – Certified Information Privacy Professional o CIPM – Certified Information Privacy Manager)

Estos requisitos básicos nos informan sobre las habilidades que se requieren de este nuevo oficial que necesariamente deberá conocer de aspectos jurídicos, acreditar experiencia sobre tecnologías de información y adicionalmente tener conocimientos sobre prácticas y procedimientos de seguridad de la información. Podríamos decir que este cargo, presenta a la privacidad como un nuevo dominio de conocimiento, que demanda de aquellos que quieran desarrollar un alto nivel de competencia en el mismo, una dedicación especial y claridad conceptual para mantenerse en la esencia de su papel y no cruzar a otros dominios de acción que cuentan con su propia dinámica y responsabilidad.

Es claro que el Oficial de Privacidad, deberá trabajar de manera coordinada con el Oficial de Seguridad de la Información, con el Director de Tecnología de Información y el Oficial de Cumplimiento Corporativo (si existe), para actuar de manera independiente y diligente frente a la responsabilidad que tiene con el representante legal de la empresa y ante la Autoridad de Protección de Datos, para proteger y mostrar el debido cuidado, diligencia y previsibilidad que la organización ha desarrollado para dar cumplimiento a las exigencias legales de protección de la información personal.

Como quiera que esta nueva figura de cumplimiento, como los son los oficiales de fraude, lavado de activos, seguridad de la información, son parte inherente de todas las actividades de las empresas, la ubicación del mismo deberá asegurarle una actuación independiente, autoridad en sus decisiones y reporte concreto al representante legal de la empresa, para motivar los comportamientos requeridos, asegurar las acciones disciplinarias que sean necesarias y movilizar la madurez de las prácticas y procedimientos de la organización respecto de la protección de los datos personales.

Como se puede observar este nuevo cargo tiene importantes responsabilidades y grandes retos a nivel organizacional que lo exponen igualmente a riesgos relevantes como los de no-cumplimiento, que pueden comprometer la imagen de la empresa, sus operaciones y posición en su entorno de negocios, como quiera que una sanción o multa en este sentido, no deja de afectar su contabilidad, sus utilidades y la confianza de sus grupos de interés, que en últimas son los más interesados por la salud y viabilidad de la organización en mediano y largo plazo.

El Oficial de Privacidad o el Delegado de Protección de Datos, es un nuevo desafío para las empresas en Colombia, pues demanda de éstas, el reconocimiento de una nueva exigencia de cumplimiento, hasta ahora tibia y escondida en algunos aspectos de la vida empresarial, que reclama la mayor atención del nivel ejecutivo frente al ejercicio de un derecho constitucional, representado en una ley estatutaria, que eleva la información personal al primer nivel de atención jurídica, técnica, de prácticas y procedimientos de seguridad de la información que nos movilizan hacia una sociedad de la información y conocimiento más abierta y confiable.

Referencias adicionales
CIO Executive Board (2012) Chief Privacy Officer Job Description. Disponible en: https://www.irec.executiveboard.com/Public/Default.aspx (Con suscripción)
DENSMORE, R. (2013) Privacy Program Management: Tools for Managing Privacy Within Your Organization. International Association of Privacy Professional – IAPP. ISBN 978-0-9885525-1-7.

No hay comentarios:

Publicar un comentario