A escasas semanas de que entre en vigor el nuevo Reglamento Europeo de Protección de Datos (GDPR), las organizaciones con intereses en la UE deben valorar las consecuencias de esta norma para su actividad diaria. Porque a partir del próximo 25 de mayo, las compañías y entidades con clientes que residan en territorio de la UE tendrán que asegurarse de que sus prácticas respetan los principios de este Reglamento, en especial las relacionadas con la seguridad y el tratamiento que hacen de los datos personales de sus clientes. Y, en todas ellas, hay dos figuras directivas que se verán especialmente afectadas: el DPO (como nuevo delegado protector de los datos) y el CFO, a cargo de la estabilidad financiera de la compañía. La seguridad de los datos personales de los clientes, por tanto, se cuela en los consejos de administración.
El mencionado Delegado de Protección de Datos no es imprescindible en todas las empresas o instituciones, pero sí en muchas de ellas. Y es que este nuevo rol será responsable de establecer la adecuada gestión de la información de carácter personal en todas las áreas de la organización, así como de las posibles incidencias o ataques contra su privacidad que puedan producirse. De reciente creación, esta figura cobra ahora mucha importancia por las máximas exigencias de seguridad y fiabilidad que se exigen en el nuevo Reglamento Europeo.
Este especialista en derecho de protección de datos tendrá que completar las funciones del habitual director de sistemas y aportar un asesoramiento especializado en materia legal, así como responder a las obligaciones que impone el regulador. Además, debe garantizar que todas las prácticas de la empresa, entidad privada o pública, cumplen con esta norma europea o bien impulsar nuevas políticas de protección de datos.
Para ello, tendrá que poner en marcha auditorías completas de las instalaciones, programas y tecnologías que manejan datos de carácter personal en su organización, asignará responsabilidades concretas al personal y definirá planes de formación específicos, si fuera necesario. En cada nueva iniciativa o proyecto que implique el tratamiento de datos personales, su criterio y recomendaciones serán de obligado cumplimiento, más aún cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas.
De hecho, su cooperación con las “autoridades de control” (Agencias de Protección de Datos) resultará también indispensable, siempre que sea requerido por ellas, y actuará como punto de contacto principal para responder a sus preguntas y demandas, si éstas se producen.
Este reforzado protector de los datos será también responsable de responder a las dudas o problemas que puedan plantear los clientes, relativas al tratamiento de su información personal, y al ejercicio de sus derechos, incluidas posibles reclamaciones e indemnizaciones.
Todas las Administraciones Públicas (autoridades y organismos, excepto los tribunales), empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que requieran una observación habitual, sistemática y a gran escala por parte de sus titulares, están obligadas a adoptar esta figura. También aquellas cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas, como los referentes a condenas e infracciones penales.
Por el contrario, no están obligadas a incorporar su figura, aunque también resulte conveniente, las empresas (normalmente Pymes) y otras entidades cuya actividad principal NO consista en el tratamiento masivo de datos personales que estén especialmente protegidos o que requieran una observación minuciosa.
Y el CFO, al quite
Por lo que respecta a la función del CFO, este tradicional financiero debe emprender un proceso de adaptación de sus cuentas al nuevo escenario normativo, a la vez que aproveche este momento para, como sugieren los expertos, alinear su operativa con los criterios de la nueva economía. Es decir, definir nuevas estrategias de análisis y rendimiento del negocio que impliquen una valoración de riesgos y cumplimiento normativo también adecuados a estos tiempos.
Con la ayuda de tecnologías como Big Data, Cloud, redes de negocio, experiencia de usuario, Inteligencia Artificial y Machine Learning, analítica predictiva y soluciones de simulación, estos profesionales pueden generar la dinámica necesaria para asegurar un comportamiento conveniente de todos los miembros de la organización, en los escenarios de mercado actuales. Pero lo fundamental es que el nuevo CFO entienda e impulse el paradigma digital, ajuste la operativa a la normativa legal de cada momento y sea capaz de crear valor para el negocio, ofreciendo alternativas a sus compañeros que eviten riesgos o multas millonarias para su compañía.
Para ello, dispone de grandes armas, como su panorámica general de los mercados y de su propio negocio. También cuenta con un profundo conocimiento de los datos y cifras comerciales que se manejan en la compañía o de las herramientas de análisis que se utilizan habitualmente de forma interna para detectar oportunidades y amenazas. Además, dispone de un feedback único sobre los procesos comerciales, costes y barreras que afronta la organización, así como de las consecuencias que un error o incumplimiento pueden acarrear al negocio.
Aunque parece claro que todo el proceso debe estar liderado por el DPO, también se reconoce en general que no puede estar solo y debe apoyarse en otras figuras con las que mantenga conexiones en la organización (CEO, CISO o CIO). Incluso, la experiencia indica que el 90% de las empresas solicita ayuda externa para implementar esta transición. Auditar los recursos TI, instaurar un gobierno del dato ajustado a la normativa y vigilar su cumplimiento en todas las áreas de la organización implicadas serán, a partir de ahora, sus principales responsabilidades.