El Consejero Global de Privacidad de Google, Peter Fleischer, reflexiona en su post sobre la nueva ola que nos viene de Europa.
Como siempre, me impresiona la sencillez y la potencia expositiva de este personaje, así que me tomado la molestia de traducirlo para aquellos de vosotros que no lo podais leer en inglés:
http://peterfleischer.blogspot.com/
Traducción libre del post de Peter Fleischer 20120312
Delegados de Protección de Datos: obligatorios según la ley en Europa
Europa ha liderado al mundo desde hace mucho en la creación de normas de privacidad. Dentro de poco, Europa seguramente va a hacer obligatorio que las empresas de más de 250 empleados nombren un Delegado de Protección de Datos [DPO=Data Protection Officer]. A continuación expongo unas pocas ideas prácticas sobre los DPO en las corporaciones modernas.
1) Necesitamos entrenar más DPOs. El universo de los profesionales de privacidad todavía es bantante pequeño, a día de hoy. Sencillamente no hay bastantes DPOs con experiencia para cubrir el inminente requisito legal. Pronto, muchos miles de empresas operando en Europa se verán buscando DPOs para nombrarlos en cumplimiento de las obligaciones legales; y puesto que no existe una reserva de tales personas, las empresas tienen que empezar a pensar ahora sobre cómo van a reclutar, entrenar y dotar a un DPO o a todo un equipo de DPOs en las grandes empresas.
2) Las empresas deberían dictaminar si su tratamiento de datos es sencillo o complicado, y reclutar a sus DPO en función de ello. Dependiendo del tipo de empresa que seas, podrías adoptar libremente tres distintos enfoques:
A) La función del DPO se añade a las funciones ya existentes. Algunas empresas pueden tener operaciones de procesamiento de datos que sean bastante simples y sin problemas. Para ellas, pudiera ser perfectamente razonable pedirle a alguien del Departamento de Recursos Humanos o de Marketing que se entrenase y llevase este puesto también.
B) La función de DPO está externalizada. Algunas empresas pueden decidir externalizar esta función a Consultores-DPO que proporcionen servicios a muchos clientes. Aviso para profesionales de privacidad empresarial: crear tales servicios de consultoría-DPO seguramente va a ser una boyante oportunidad de negocio en el futuro. De una manera realista, pienso que externalizar la función de DPO solamente es una opción para empresas con operaciones de tratamiento de datos que sean sencillas, si bien hay millones en esta categoría.
C) DPOs de gran calibre. Algunas compañías tienen procesos complicados y sensibles de tratamientos de datos. Estas van a necesitar que sus DPOS sean administradores estratégicos de los datos, guiando a sus empresas en el uso y la protección de los datos de modo responsable, navegando entre la maraña de normativas reguladoras, y representándolas ante los tribunales y organismos de control. Pienso que los empresas grandes y complicadas van a tener que tener DPOs senior y experimentados o equipos completos de ellos, en el caso de las grandes compañías. Pero a día de hoy, asombrosamente, algunas de las más grandes compañías de procesamiento de datos del mundo, con mega bases de datos de billones de piezas de datos personales, no tienen ni un solo DPO de gran calibre en su plantilla.
3) Las empresas tienen que dar autoridad a sus DPOs y unos recursos adecuados. Me parece obvio, a mi que llevo mucho en esto, que la privacidad será bien servida por una creciente profesión de DPOs en la empresas. Para tener éxito los DPOs necesitarán dos cosas, que son esenciales para hacer que se hagan las cosas en las grandes organizaciones: recursos y autoridad. Hace falta considerables recursos para vigilar/asesorar/documentar las operaciones de tratamiento de datos en una gran corporación (como seguramente se hará obligatorio bajo las nuevas normativas europeas) y hace falta gente con auténtica autoridad para implementar las metas del puesto de DPO, como las proyectan las leyes. En cuanto a la autoridad, no creo que la autoridad siempre fluya de las líneas de mando corporativas (superemos esa visión simplista de que cada DPO debería estar al mando del Director de la compañía). Yo pienso que la autoridad se deriva de un conocimiento sustantivo de las leyes de privacidad y de las metas del negocio; del criterio; de la persuasión; credibilidad, y quizás lo más importante de todo: resolución para defender la preciada meta de la privacidad. Las propuestas legales europeas van incluso más allá al intentar proteger la independencia del DPO, proporcionándole algunas protecciones legales frente a despidos injustos.
Europa, una vez más, lidera al mundo en la creación de normas sobre privacidad. Europa propone que se lleven a efecto muchas reglas que son unas chaladuras: por ejemplo, que los riesgos de seguridad se notifiquen obligatoriamente a los consumidores ¡en el plazo de 24 horas!, como se está proponiendo en estos momentos. Pero Europa a veces lidera al mundo al crear normas que con todo sentido mejoran las protecciones de privacidad. En esta década por delante, trabajemos juntos para reforzar y difundir el papel del Delegado de Protección de Datos.
Como siempre, me impresiona la sencillez y la potencia expositiva de este personaje, así que me tomado la molestia de traducirlo para aquellos de vosotros que no lo podais leer en inglés:
http://peterfleischer.blogspot.com/
Traducción libre del post de Peter Fleischer 20120312
Delegados de Protección de Datos: obligatorios según la ley en Europa
Europa ha liderado al mundo desde hace mucho en la creación de normas de privacidad. Dentro de poco, Europa seguramente va a hacer obligatorio que las empresas de más de 250 empleados nombren un Delegado de Protección de Datos [DPO=Data Protection Officer]. A continuación expongo unas pocas ideas prácticas sobre los DPO en las corporaciones modernas.
1) Necesitamos entrenar más DPOs. El universo de los profesionales de privacidad todavía es bantante pequeño, a día de hoy. Sencillamente no hay bastantes DPOs con experiencia para cubrir el inminente requisito legal. Pronto, muchos miles de empresas operando en Europa se verán buscando DPOs para nombrarlos en cumplimiento de las obligaciones legales; y puesto que no existe una reserva de tales personas, las empresas tienen que empezar a pensar ahora sobre cómo van a reclutar, entrenar y dotar a un DPO o a todo un equipo de DPOs en las grandes empresas.
2) Las empresas deberían dictaminar si su tratamiento de datos es sencillo o complicado, y reclutar a sus DPO en función de ello. Dependiendo del tipo de empresa que seas, podrías adoptar libremente tres distintos enfoques:
A) La función del DPO se añade a las funciones ya existentes. Algunas empresas pueden tener operaciones de procesamiento de datos que sean bastante simples y sin problemas. Para ellas, pudiera ser perfectamente razonable pedirle a alguien del Departamento de Recursos Humanos o de Marketing que se entrenase y llevase este puesto también.
B) La función de DPO está externalizada. Algunas empresas pueden decidir externalizar esta función a Consultores-DPO que proporcionen servicios a muchos clientes. Aviso para profesionales de privacidad empresarial: crear tales servicios de consultoría-DPO seguramente va a ser una boyante oportunidad de negocio en el futuro. De una manera realista, pienso que externalizar la función de DPO solamente es una opción para empresas con operaciones de tratamiento de datos que sean sencillas, si bien hay millones en esta categoría.
C) DPOs de gran calibre. Algunas compañías tienen procesos complicados y sensibles de tratamientos de datos. Estas van a necesitar que sus DPOS sean administradores estratégicos de los datos, guiando a sus empresas en el uso y la protección de los datos de modo responsable, navegando entre la maraña de normativas reguladoras, y representándolas ante los tribunales y organismos de control. Pienso que los empresas grandes y complicadas van a tener que tener DPOs senior y experimentados o equipos completos de ellos, en el caso de las grandes compañías. Pero a día de hoy, asombrosamente, algunas de las más grandes compañías de procesamiento de datos del mundo, con mega bases de datos de billones de piezas de datos personales, no tienen ni un solo DPO de gran calibre en su plantilla.
3) Las empresas tienen que dar autoridad a sus DPOs y unos recursos adecuados. Me parece obvio, a mi que llevo mucho en esto, que la privacidad será bien servida por una creciente profesión de DPOs en la empresas. Para tener éxito los DPOs necesitarán dos cosas, que son esenciales para hacer que se hagan las cosas en las grandes organizaciones: recursos y autoridad. Hace falta considerables recursos para vigilar/asesorar/documentar las operaciones de tratamiento de datos en una gran corporación (como seguramente se hará obligatorio bajo las nuevas normativas europeas) y hace falta gente con auténtica autoridad para implementar las metas del puesto de DPO, como las proyectan las leyes. En cuanto a la autoridad, no creo que la autoridad siempre fluya de las líneas de mando corporativas (superemos esa visión simplista de que cada DPO debería estar al mando del Director de la compañía). Yo pienso que la autoridad se deriva de un conocimiento sustantivo de las leyes de privacidad y de las metas del negocio; del criterio; de la persuasión; credibilidad, y quizás lo más importante de todo: resolución para defender la preciada meta de la privacidad. Las propuestas legales europeas van incluso más allá al intentar proteger la independencia del DPO, proporcionándole algunas protecciones legales frente a despidos injustos.
Europa, una vez más, lidera al mundo en la creación de normas sobre privacidad. Europa propone que se lleven a efecto muchas reglas que son unas chaladuras: por ejemplo, que los riesgos de seguridad se notifiquen obligatoriamente a los consumidores ¡en el plazo de 24 horas!, como se está proponiendo en estos momentos. Pero Europa a veces lidera al mundo al crear normas que con todo sentido mejoran las protecciones de privacidad. En esta década por delante, trabajemos juntos para reforzar y difundir el papel del Delegado de Protección de Datos.
o0o
No hay comentarios:
Publicar un comentario