Seguridad

Chief Data Officer (CDO): así es el nuevo directivo al que el GDPR da vida

¿Qué es un Chief Data Officer (CDO)? ¿Por qué es imprescindible en la mayoría de las organizaciones europeas? ¿Quién puede convertirse en un responsable de protección de datos? ¿Cuáles serían sus responsabilidades de acuerdo a la nueva ley europea?

Seguro que han oído hablar del GDPR (Reglamento General de Protección de Datos), la nueva normativa europea sobre privacidad de información digital que entra en vigor este 25 de mayo. Es imposible no conocerla, al menos no será a causa de la extensa cobertura informativa que se le ha proporcionado a este tema, en medios como TICbeat. Sin embargo, España es uno de los países menos preparados para abordar este retocuando quedaban 100 días para que entrara en vigor el GDPR, solo el 10% de la empresa española estaba preparada

En el marco del GDPR hay varios factores a tener en cuenta: la obligatoriedad de notificar de cualquier vulneración de los sistemas de datos, la incorporación de la privacidad por diseño, la eliminación del consentimiento implícito en favor de un permiso explícito del consumidor para usos específicos, el derecho al olvido o a la portabilidad de los datos. Pero existe un elemento más que muchos están pasando por alto: la necesidad de nombrar un responsable de protección de datos o, como ha evolucionado de forma natural esta figura, un Chief Data Officer (CDO).

La definición fácil de este nuevo cargo directivo es, por concepto, sencilla de comprender: Un CDO no es más que un profesional de la seguridad que se encarga de la supervisión de toda la estrategia y la implementación de políticas y sistemas de protección de datos para garantizar el cumplimiento de la Ley. En concreto, del Reglamento General de Protección de Datos (GDPR).

España, el país menos preparado para la llegada del GDPR

El principal motivo de desconocimiento respecto a esta nueva figura directiva radica en que muchas empresas piensan que este tema no van con ellas, que se trata de una posición que sólo afecta a las grandes corporaciones. Nada más lejos de la realidad.

En total, unas 28.000 empresas en toda la Unión Europea deberán incorporar un CDO a su organización, ya que cualquier entidad que maneje datos de ciudadanos de la UE (o Estados miembros del Espacio Económico Europeo -EEE-) está sujeta a estos cambios recogidos en el artículo 37 del GDPR… siempre que:

  • Se trate de una autoridad u organismo público que recopila y procesa datos
  • Se trate de una empresa cuyas actividades principales consisten en procesar datos a gran escala
  • Se trate de una empresa u organización que recopila datos que encajen dentro de las denominadas “categorías especiales”, es decir, un negocio que recopila información sobre raza, etnias o religión.

Pero, ¿quién puede ser CDO?

No existe ningún perfil académico, formativo o de experiencia específica que se requiera para ser Chief Data Officer y cumplir así con esta exigencia del GDPR. Esta misma norma lo único que señala al respecto es que este directivo ha de tener “conocimiento experto de las leyes y prácticas de protección de datos y la capacidad de cumplir con las tareas mencionadas en el Artículo 39”.

¿Por qué Telefónica defiende el GDPR?

¿Y cuáles son esas tareas? Si nos atenemos al artículo 39, éstas son:

  • Educar a la empresa y sus empleados sobre los requisitos importantes de cumplimiento de datos.
  • Seguimiento y monitoreo del cumplimiento dentro de la organización según los estándares GDPR.
  • Brindar capacitación y concienciar al personal involucrado en la recopilación de datos.
  • Brindar asesoramiento sobre el impacto y la evaluación de impacto de la recopilación de datos.
  • Actuando como el principal punto de contacto ante cualquier problema de recopilación, procesamiento y almacenamiento de datos.
  • Evaluar el alcance y el riesgo de la recopilación de datos caso por caso.

Pero no sólo importa el qué, sino las formas para lograr esos objetivos. Justo un artículo antes, en el 38, el Reglamento General de Protección de Datos comenta algunas de las condiciones de trabajo obligatorias para los CDO, entre las que se incluyen:

  • Participar en todo lo relacionado con la protección de datos
  • Ser proporcionado con los recursos y materiales necesarios para llevar a cabo su trabajo
  • No recibir instrucciones sobre cómo llevar a cabo sus tareas
  • No ser despedido por realizar su trabajo (esto es, por notificar a las autoridades acerca de un incumplimiento del GDPR)
  • Informar directamente a los más altos niveles de gestión de la compañía
  • Servir como el principal punto de contacto para los interesados ​​(consumidores)
  • Estar obligado por el secreto sobre la importancia de sus tareas
  • Ser capaz de cumplir otras tareas fuera de la protección de datos siempre que no haya conflictos de intereses.

La evolución del CDO tradicional

La figura del CDO cobra especial relevancia con la entrada en funcionamiento del GDPR… pero no es un perfil de nuevo cuño ni mucho menos. Debido a la enorme explosión de datos que estamos viviendo en nuestros días, en muchas compañías ya se había comenzado a desarrollar la figura del Chief Data Officer. La diferencia radica en que, en estos casos, se trata de un perfil más transversal, encargado de recopilar, monitorizar y sacar valor de todo ese Big Data.

Estas responsabilidades solían ir más allá de la simple captación y almacenamiento de la información (algo que ya venía haciendo el CIO desde la era de los mainframe) sino que busca involucrar a los equipos comerciales, de atención al clientes, técnicos, comunicación, marketing, fabricación, distribución y un largo etcétera en el mismo barco.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Business Insider, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo, ganador del Premio Día de Internet 2018 a mejor marca personal en RRSS y finalista en los European Digital Mindset Awards 2016, 2017 y 2018.