También Jaime Requejo, delegado de Protección de Datos (DPO) del Grupo Sanitas, se pronunció sobre la importancia del equipo con el que trabaja el DPO para “llegar a donde no llegamos nosotros. Porque no somos superhombres. Y necesitamos construir un buen vínculo con negocio, conocerlo bien y tener una visión global”. Y parte de ese vínculo es también ayudar a que toda la organización sea consciente de la importancia de la protección de los datos desde una perspectiva global e interna de la compañía, así como impartir formación y sensibilizar sobre la materia, porque “de nada sirve el trabajo en políticas, marcos de control o seguridad, si, por desconocimiento, un miembro de la compañía hace algo que no se debe hacer”, apuntó Iratxe Beain, Data Protection Officer en BBVA.
Integrar el ‘Privacy by design’ ya no es una opción
Así, si hay una lección que puede extraerse después de cinco años del RGPD es que la protección de la privacidad ha cobrado relevancia, se ha introducido en las conversaciones y en las prioridades de las compañías. Y, como consecuencia de ello, también se ha empezado a tener en cuenta desde el inicio del diseño de los productos y servicios. Tanto que recientemente se ha aprobado la “ISO/DIS 31700. Protección al consumidor: privacidad por diseño para bienes y servicios de consumo” para llevar el ‘Privacy by Design’ al consumidor.
A este respecto, Noemí Brito añade que “hay una componente legal importante porque tenemos que definir los parámetros, políticas y procedimientos para aplicar el Privacy by Design al igual que la Security by Design dentro de las organizaciones y, al mismo tiempo, establecer medidas y estructuras de control que nos permitan ir de ahí hacia abajo, al detalle”. Y, en este sentido, Javier Aznar introdujo la idea de ‘privacidad competitiva’, en línea con acercar la labor de asegurar la privacidad con la de generar una ventaja para el negocio: “si has incorporado los requisitos de privacidad desde la concepción del producto o el servicio, desde su diseño, también vas a poder poner en el mercado productos y servicios diferenciales. Porque no solo hacemos esto para cumplir sino para posicionarnos mejor”.
La automatización de procesos de privacidad: el DPO y el CISO unen fuerzas
Pero a día de hoy, con la madurez que han alcanzado los programas de protección de la privacidad, estos deben evolucionar de la mano de la tecnología hacia la automatización de procesos. Y para hacer realidad esa automatización es cada vez más importante la colaboración y el trabajo conjunto entre las distintas áreas afectadas. Porque la constante evolución de la tecnología y los nuevos perfiles de riesgo emergentes conducen a la coordinación entre las áreas de DPO, CISO, CIO, CDO y tecnología.
Bajándolo al terreno de juego, Teresa Schüller, DPO de Carrefour, sostuvo que “debemos tener muy bien integrado el rol de colaborar, sobre todo, con el departamento de seguridad. El CISO nos va a acompañar en los próximos años porque la estrategia de ciberseguridad supone una auténtica revolución de los modelos de gobierno interno”.
En el caso de Fátima Cereijo, Control de Fraude y Privacidad en Abanca, esta idea está realmente asentada, ya que la figura del DPO está ubicada dentro del área de riesgos. “Mi ‘hermano’ es el CISO. Yo me centro en medidas de privacidad y él en cuáles son las medidas de seguridad más adecuadas. En cuanto a los automatismos, nosotros llevamos la privacidad de 14 empresas del grupo, por lo que nos encontramos con unos mil tratamientos diferentes que eran inabarcables, por lo que nos tuvimos que frenar, pensar en la eficacia y eficiencia y hacer tratamientos centralizados”
