El guardián de los datos: Data Protection Officer
La globalización ha hecho que el mundo esté cada vez más conectado, lo que ha facilitado el intercambio de datos entre personas y organizaciones de todo el mundo. En esta caudalosa transacción de información, es imperativo para las empresas proteger los datos personales de sus clientes, y deben adoptar medidas robustas de seguridad para garantizar que estos estén debidamente resguardados y protegidos.
No obstante, de acuerdo con el informe LATAM CISO 2023, en Latinoamérica suceden 1.600 ciberataques por segundo y, el 11% de las empresas encuestadas no evalúa los riesgos que corren por estos hechos. Mientras que, apenas al 67% de los latinoamericanos les preocupa su ciberseguridad, a pesar de que el 83% de las organizaciones de la región se han visto involucradas en alguna vulneración de datos.
Ante este escenario, toma relevancia dentro de las organizaciones la figura de un nuevo encargado de resguardar la información de las personas. El Oficial de Protección de Datos (DPO por sus siglas en inglés, o Data Protection Officer) es el profesional ocupado de garantizar el cumplimiento de la legislación sobre protección de datos.
María Luján Gallego, abogada especializada en la materia del estudio de abogados Brons & Salas, explica: ‘El DPO, como responsable, deberá velar por la protección y buen procesamiento de los datos recabados por la compañía, ya sean propios como de terceros’.
Siguiendo las necesidades en resguardo de la información que el avance tecnológico trajo consigo, la incorporación del rol DPO en las empresas se ha convertido en una tendencia en alza. Un puesto que, en ejecución, puede significar grandes beneficios para las compañías:
- Adecuación y cumplimiento de la legislación establecida con el objetivo de evitar caer en sanciones por incumplimiento.
- Protección de los derechos de los titulares de datos, contribuyendo a construir confianza entre las empresas y sus clientes y empleados.
- Mejora de la reputación, al demostrar por parte de la empresa un compromiso con la protección de la información.
- Reducción de costos como consecuencia de sanciones o violaciones de datos.
- Mejora de la eficiencia, colaborando en la reducción de tiempo y recursos necesarios para cumplir con la legislación sobre protección de datos.
Específicamente, la figura del DPO ha sido creada por el Reglamento General de Protección de Datos (GDPR), normativa dictada por la Comunidad Europea, pionera y férrea defensora de la protección de los datos personales. Hoy en día, todas aquellas legislaciones en Latinoamérica que han adecuado su normativa con el GDPR, han sumado la figura del DPO.
En Argentina, la protección integral de los datos personales está garantizada por la Constitución Nacional y por la Ley 25.326 de Protección de Datos Personales. Gallego indica: ‘Es del caso resaltar que, la normativa vigente en materia datos del año 2000 ha quedado desactualizada, es por ello que la Agencia de Acceso a la Información Pública (“AAIP”), en el mes de junio de este año, presentó ante el Congreso Nación un proyecto de ley tendiente a adecuar la legislación, siguiendo los lineamientos del GDPR, tal como lo han hechos los países de la región’.
Si bien, la ley 25.326 no prevé la figura del DPO, sí lo hace el proyecto de ley en su artículo 44, el cual establece que los responsables y encargados de tratamiento deben designar un delegado de Protección de Datos en cualquiera de los siguientes supuestos:
- Cuando se trate de una autoridad u organismo público;
- Cuando las actividades del responsable o encargado de tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades, conforme a lo que se establezca en la Ley, en la reglamentación o en la normativa que dicte al respecto la Autoridad de Aplicación.
Si los responsables y encargados de tratamiento no se encuentran obligados a la designación de un delegado de Protección de Datos, de acuerdo con lo previsto en el artículo, pueden designar uno de manera voluntaria. En el caso en que se trate de una autoridad u organismo público con dependencias subordinadas, se puede designar un único delegado de Protección de Datos, teniendo en consideración su tamaño y estructura organizativa. Y, a pesar de que no haya una normativa actual con la figura de DPO, lo cierto es que hoy muchas compañías vinculadas o subsidiarias con empresas del exterior están evaluando la conveniencia de designar un DPO, a fin de salvaguardar los datos personales.
Considerando esto, se ha de pensar en la formación y capacidades de los profesionales de protección de datos. ‘La mayoría de los DPOs tienen experiencia en derecho, tecnología o negocio, pero también hay un número creciente de DPOs que se están formando específicamente en protección de datos’ agrega María Luján Gallego.
Asimismo, la profesional en derecho de la información concluye que: ‘En Argentina, existe una fuerte tendencia a nivel corporativo de integrar este rol profesional en los equipos, debido a la creciente importancia de la protección de datos a nivel mundial. Algo que se da como consecuencia del aumento de las violaciones de datos, y que han generado conciencia en la sociedad. A su vez, en términos de regulaciones exteriores, también está definiendo la necesidad del DPO la entrada en vigor del Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que ha tenido un impacto significativo en el planteamiento de la actualización de la Ley de Protección de Datos nacional y, en el accionar y operaciones europeas con filiales o dependencias en Argentina’.