El consejero global de privacidad de Google, Peter Fleischer, ya ha sufrido en sus carnes lo que implica estar en primera línea de fuego en el mundo de la privacidad; un mundo donde las muy diversas leyes pueden encontrar como cabeza de turco a la persona que ostente el título de encargado de privacidad en una gran empresa multinacional.
Traducción libre del post de Peter Fleischer 20111123
He trabajado en el campo de la privacidad desde hace lo bastante tiempo como para recordar una época en la que casi ninguna empresa en el mundo tenía oficiales de privacidad. Ahora, casi todas las grandes empresas los tienen. Y pronto las leyes europeas de privacidad seguramente van a ser modificadas para hacerlos obligatorios, o al menos proporcionar grandes incentivos para su nombramiento; lo cual conllevará un inmenso crecimiento de esta profesión.
Pero, ¿qué es un oficial de protección de datos? O ¿siquiera podemos ponernos de acuerdo sobre cómo denominarlos? “Oficial de Protección de Datos” o “DPO” [DPO = Data Protection Officers] es un título eurocéntrico, puesto que Europa hace mucho que inventó el concepto de “protección de datos” como alternativa (no sinónima) de “privacidad”. Personalmente hace mucho que uso el título de “Consejero Global de Privacidad”, puesto que pienso que es útil para expresar tres cosas que definen mi trabajo. esto es: el tema (privacidad); el ámbito geográfico (global), y la perspectiva funcional (es decir, consejero o abogado). Pero los líderes de privacidad a menudo no son abogados, de aquí que usen diversos motes, que van desde Oficial Jefe de Privacidad a Director de Ingeniería de Privacidad, o Director de Cumplimiento de Privacidad, o Jefe Evangelista de Privacidad, en cada caso enfatizando una perspectiva funcional diferente.
Para las compañías muy grandes, la privacidad tiene que ser un esfuerzo cros-funcional, implicando seguridad, ingeniería, legal, cumplimiento, política y comunicaciones. Personalmente, yo me enfoco hacia las facetas legales/regulativas y de políticas de la privacidad. En las compañías muy grandes de Internet basadas en la información, hay literalmente cientos de personas trabajando en privacidad a lo largo de estas diversas funciones. En las compañías más pequeñas debería haber, en mi opinión, al menos una persona que sea responsable de la privacidad, en cierta medida, aunque no fuera un trabajo a tiempo completo.
Puesto que Europa está a punto de imponer como obligatorios a los “oficiales de protección de datos”, necesitamos comprender las responsabilidades que tendrán estas personas. Primero es importante hacer notar que la propuesta europea seguramente va a seguir el modelo de las funciones existentes en Francia ("correspondent") y Alemania ("Datenschutzbeauftragte"). En estos países el DPO es responsable de supervisar la creación y uso de bases de datos que contengan datos personales por parte de sus empresas, actuando de enlaces con los reguladores gubernamentales de privacidad, y proporcionando buen asesoramiento y guía sobre privacidad. En la práctica, los DPOs en Alemania y Francia a veces están enfocados sobre la faceta legal, y a veces en el aspecto técnico y de seguridad.
En Estados Unidos los líderes de privacidad tienen una visión diferente. En la mayoría de las empresas americanas los abogados desempeñan este papel, así como yo entré en la privacidad por medio de la profesión legal. Y nosotros desempeñamos este papel por nuestra cualificación como abogados, es decir: proporcionar asesoramiento legal sobre privacidad a nuestras empresas. Como abogados de privacidad, proporcionamos asesoramiento, pero no tenemos poderes para adoptar las decisiones finales sobre si nuestras empresas siguen o no nuestros consejos. Los ejecutivos de la empresa son los decisores a fin de cuentas, no los abogados de privacidad. Por supuesto hay otros modelos en algunas empresas estadounidenses, pero todavía son una minoría.
Así que, cuando Europa institucionaliza el papel del DPO, va a ser importante definir cuáles van a ser exactamente las responsabilidades de estas personas, tanto a nivel interno como externo a sus compañías. Para las multinacionales, va a hacer falta algún tiempo hasta ajustar cómo apoyar a sus líderes de privacidad bajo estos diversos regímenes legales que abarcan diversas jurisdicciones. Y cuando a los DPOs se les haga responsables de ciertas áreas, ellos mismos necesitarán protección e indemnidad por parte de sus empresas respecto a su riesgo personal, al igual que en otras profesiones, como los delegados financieros en jefe que son obligatorios bajo diversas legislaciones con áreas específicas de responsabilidad.
Yo doy la bienvenida a las leyes europeas que ayudarán a fortalecer el papel de los DPOs en sus empresas, y contribuirán a hacer más prevalentes los DPOs en el sector. Esto en la práctica será un paso adelante para la privacidad. Pero al mismo tiempo, será importante definir nuestras responsabilidades, a nivel interno y externo, especialmente en un campo donde la propia noción de “privacidad” es altamente subjetiva; y donde las visiones sobre lo que un líder de privacidad debería hacer difieren dramáticamente, según el país, según el sector, y según la función.
o0o
No hay comentarios:
Publicar un comentario