Con el Decreto
1377 de 2013, el gobierno colombiano reglamenta de manera parcial la Ley
1581 de 2012. Dicha pieza jurídica establece entre otras cosas, la creación de
un área al interior de las organizaciones para la adopción e implementación de
políticas consistentes con la ley previamente mencionada.
Según se advierte en el
artículo 27 del decreto previamente comentado se tiene:
“Artículo 27. Políticas
internas efectivas. (…) Dichas políticas deberán garantizar:
- La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este Decreto. (…)”
En este sentido, la norma
establece que las empresa deben contar con un nuevo oficial de cumplimiento, es
decir un profesional de alto nivel, que busque desarrollar una cultura
alrededor de la protección de los datos personales, se anticipe a los nuevos
riesgos emergentes sobre los datos personales y asegure (verifique) la operación
y prácticas respecto de los dichos datos en cada uno de los procesos de la
organización.
Este nuevo perfil organizacional,
representará a la organización frente a los requisitos del ente regulador, responderá
de manera directa y concreta frente a los incumplimientos organizacionales en
esta temática, además de estar expuesto a las sanciones de tipo personal que se
establece en la Ley 1581 de 2012 en su artículo 23. En pocas palabras, es quien
va a “ponerle la cara al regulador” ante cualquier solicitud o requerimiento
sobre el tratamiento de los datos personales.
Si una organización no cuenta
con este tipo de perfil, formalmente establecido dentro de su estructura
organizacional o asociado con una descripción de cargo particular, la Autoridad
de Datos Personales irá directamente a validar sus requerimientos y preguntas con el representante legal de la empresa,
quien deberá estar informado sobre el estado de la práctica de protección de
datos en cada una de las bases de datos declaradas ante el supervisor.
Algunas de las preguntas
naturales frente a esta nueva exigencia normativa, es ¿dónde debe estar ubicado
en la estructura organizacional? ¿Qué profesión debe tener? ¿Qué tipo de
estudios debe acreditar? ¿debe exhibir alguna certificación particular? ¿Cuáles
son sus responsabilidades básicas? ¿A qué riesgos se expone este tipo de
cargos? ¿Qué dice la práctica internacional?
La Asociación Internacional
de Profesionales de la Privacidad, en inglés International Association of Privacy Professional – IAPP, en su último
estudio internacional publicado en 2012, muestra que el cargo de Oficial de
Privacidad (en inglés Chief Privacy
Officer – CPO), se ubica en su orden:
- 1. Área legal
- 2. Área de cumplimiento
- 3. Área de seguridad de la información
- 4. Área de privacidad de datos
- 5. Área de gestión de riesgos
Como
podemos ver, la figura del Oficial de Privacidad privilegia el contexto
jurídico y no es para menos, toda vez que el procesamiento de una solicitud
particularmente de eliminación de los datos de una base de datos, exige un
análisis pormenorizado de la persona y sus vínculos contractuales, la
pertinencia de la eliminación, el respeto del orden constitucional frente al
derecho de hábeas data, que en últimas se traduce casi en una “providencia” del
área de “Protección de Datos” donde se establecen las justificaciones y condiciones
en las cuales es posible o no cumplir con el ejercicio del derecho por parte de
los ciudadanos.
Sin
perjuicio de lo anterior, no necesariamente la figura legal será la mandante en
este cargo, habida cuenta que otras disciplinas complementarias podrán
sintonizar el discurso del Oficial de Privacidad, desde la realidad
empresarial, pasando por el debido análisis jurídico, hasta la
operacionalización de las prácticas que son requeridas para establecer un
ejercicio adecuado y ajustado a la Constitución y la ley del derecho de hábeas
data.
Así
las cosas, en una revisión de la práctica internacional en países europeos y
algunos americanos, los encargados de la protección de datos personales o de la
privacidad en general, son profesionales de las ciencias jurídicas o
profesionales de otras disciplinas con preparación en ciencias jurídicas bien
propias del derecho sancionador o constitucional que comprendiendo la esencia
del derecho de la autodeterminación informática, son capaces de conciliar la
materia leal propia del cargo, con las condiciones y connotaciones prácticas
que requiere la organización para darle vida a la cultura de protección de la
información personal y atender al regulador frente a su función de vigilancia y
control.
Siguiendo
la práctica europea, el Delegado
de Protección de Datos – DPD, tendrá como parte de sus actividades:
- a) Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y documentar esta actividad y las respuestas recibidas.
- b) Supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
- c) Supervisar la implementación y aplicación del presente Reglamento, en particular por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud del presente Reglamento
- d) Velar por la conservación de la documentación contemplada en el artículo 28. (La documentación referida deberá contener, como mínimo, el nombre y los datos de contacto del responsable del tratamiento, el nombre y los datos de contacto del delegado de protección de datos, los fines del tratamiento, una descripción de las categorías de interesados y de las categorías de datos personales que les conciernen, los destinatarios o las categorías de destinatarios de los datos personales, las transferencias de datos a un tercer país o a una organización internacional, una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos, más la descripción de las medidas de seguridad. Tomado de: http://www.delegadoprotecciondatos.com/2013/06/tareas-delegado-proteccion-datos.html (Consultado: 6-07-2013))
- e) Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con lo dispuesto en los artículos 31 y 32. (Será por tanto responsable de la comunicación tanto a las autoridades como a los directamente afectados., idem)
- f) Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consulta previas, si fueran necesarias de conformidad con lo dispuesto en los artículos 33 y 34. (Estudios previos a realizar cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. Idem)
- g) Supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia.
- h) Actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia.
Si revisamos los alcances de esta
propuesta, encontramos semejanzas interesantes que nos advierten sobre la
indicación del Decreto Reglamentario de la Ley 1581 de 2012 en Colombia, para
desarrollar una figura semejante para el país. Una posición de esta estirpe en
las organizaciones en el territorio nacional, establece un reto particular para
las áreas de diseño organizacional y talento humano, como quiera que su novedad
y particular perfil motiva una reflexión desde la Alta Gerencia para comprender
los alcances de este nuevo profesional, que desde la privacidad de los datos,
custodia las garantías constitucionales de los ciudadanos y asegurar
comportamientos adecuados frente a los datos personales por parte de los
empleados de una empresa.
De otra parte siguiendo la
práctica internacional expuesta por los analistas del CIO Executive Board, el Oficial de Privacidad, “gobierna y asegura
el desarrollo y mantenimiento de las políticas de protección de datos de la
compañía, así como los procedimientos y prácticas requeridas que permitan a la empresa
adherirse a su política de privacidad con una efectiva gestión de la
información personal”.
Si bien esta definición
muestra una vista general de lo que debe desarrollar el oficial de privacidad,
nótese que se habla de la política de privacidad, que bien puede hacer referencia
de un marco de autoregulación empresarial o relación directa con la legislación
nacional aplicable a la organización. En este sentido, las empresas deben
revisar con claridad y precisión cómo desarrollarán el tenor de su relación con
los ciudadanos tradicionales y de la red, para darle cumplimiento de sus
derechos constitucionales de conocer, actualizar y rectificar la información
que sobre su persona registren las empresas.
Complementario a lo anterior,
los especialistas en mención, establecen como requerimientos básicos para el
ejercicio del cargo de Oficial de Privacidad los siguientes:
- Capacidad para ejercer los más altos estándares éticos, de conducta profesional, y prudente toma de decisiones empresariales.
- Capacidad para comprender complejos requisitos normativos y contractuales y crear sistemas de cumplimiento efectivos.
- Capacidad demostrada para dirigir y ejecutar a través de diferentes negocios y funciones con diferentes temas e intereses.
- Organización demostrada, con habilidades para la facilitación, comunicación y desarrollo de presentaciones efectivas.
- Comprensión funcional de sistemas basados en tecnologías de información, incluidos los procedimientos y prácticas de seguridad de la información.
- Experiencia previa como oficial de privacidad y / o experiencia en el análisis y la aplicación de prácticas de privacidad y seguridad de la información.
- Deseable contar con certificaciones de industria relacionadas con gestión de riesgos (p.e CRISC, CRMA), seguridad de la información (p.e CISSP, CISM), auditoría (p.e CIA, CISA), fraude (p.e CFE) o privacidad (como CIPP – Certified Information Privacy Professional o CIPM – Certified Information Privacy Manager)
Estos requisitos básicos nos
informan sobre las habilidades que se requieren de este nuevo oficial que
necesariamente deberá conocer de aspectos jurídicos, acreditar experiencia
sobre tecnologías de información y adicionalmente tener conocimientos sobre
prácticas y procedimientos de seguridad de la información. Podríamos decir que
este cargo, presenta a la privacidad como un nuevo dominio de conocimiento, que
demanda de aquellos que quieran desarrollar un alto nivel de competencia en el
mismo, una dedicación especial y claridad conceptual para mantenerse en la
esencia de su papel y no cruzar a otros dominios de acción que cuentan con su
propia dinámica y responsabilidad.
Es claro que el Oficial de
Privacidad, deberá trabajar de manera coordinada con el Oficial de Seguridad de
la Información, con el Director de Tecnología de Información y el Oficial de
Cumplimiento Corporativo (si existe), para actuar de manera independiente y
diligente frente a la responsabilidad que tiene con el representante legal de
la empresa y ante la Autoridad de Protección de Datos, para proteger y mostrar
el debido cuidado, diligencia y previsibilidad que la organización ha
desarrollado para dar cumplimiento a las exigencias legales de protección de la
información personal.
Como quiera que esta nueva
figura de cumplimiento, como los son los oficiales de fraude, lavado de
activos, seguridad de la información, son parte inherente de todas las
actividades de las empresas, la ubicación del mismo deberá asegurarle una
actuación independiente, autoridad en sus decisiones y reporte concreto al
representante legal de la empresa, para motivar los comportamientos requeridos,
asegurar las acciones disciplinarias que sean necesarias y movilizar la madurez
de las prácticas y procedimientos de la organización respecto de la protección
de los datos personales.
Como se puede observar este
nuevo cargo tiene importantes responsabilidades y grandes retos a nivel
organizacional que lo exponen igualmente a riesgos relevantes como los de
no-cumplimiento, que pueden comprometer la imagen de la empresa, sus
operaciones y posición en su entorno de negocios, como quiera que una sanción o
multa en este sentido, no deja de afectar su contabilidad, sus utilidades y la
confianza de sus grupos de interés, que en últimas son los más interesados por
la salud y viabilidad de la organización en mediano y largo plazo.
El Oficial de Privacidad o el
Delegado de Protección de Datos, es un nuevo desafío para las empresas en Colombia,
pues demanda de éstas, el reconocimiento de una nueva exigencia de
cumplimiento, hasta ahora tibia y escondida en algunos aspectos de la vida
empresarial, que reclama la mayor atención del nivel ejecutivo frente al
ejercicio de un derecho constitucional, representado en una ley estatutaria,
que eleva la información personal al primer nivel de atención jurídica,
técnica, de prácticas y procedimientos de seguridad de la información que nos
movilizan hacia una sociedad de la información y conocimiento más abierta y
confiable.
Referencias adicionales
CIO Executive Board (2012) Chief Privacy Officer Job Description. Disponible en: https://www.irec.executiveboard.com/Public/Default.aspx
(Con suscripción)
DENSMORE, R. (2013) Privacy Program Management: Tools for
Managing Privacy Within Your Organization. International Association of Privacy Professional –
IAPP. ISBN 978-0-9885525-1-7.
No hay comentarios:
Publicar un comentario