En la lista de nuevos oficios surgidos con la irrupción de la data, conocíamos ya el dúo Data Scientist y Data Engineer, o el inalterable Data Analyst.
Con el tiempo, especialmente tras la implementación del RGPD en mayo de 2018, se ha vuelto esencial coordinar las acciones de una empresa en términos de gestión y tratamiento de datos para estar en conformidad con las normativas nacionales, un área en la que la gobernanza de datos juega un papel fundamental.
Con esta nueva exigencia, la profesión de data protection officer (DPO) ha experimentado un auge.
De hecho, aunque su presencia es por ahora obligatoria únicamente en el sector público, lo más probable es que pronto se extienda a todas las empresas. Con esta perspectiva, la gran mayoría de las empresas con más de 300 empleados ya cuentan con un DPO. Un vistazo a esta profesión del futuro, que se encuentra entre el derecho y la data.
¿Qué hace el Data Protection Officer?
El data protection officer tiene la responsabilidad de garantizar la protección de los datos de una organización. Sus funciones están claramente detalladas en el artículo 39 del RGPD. Se pueden resumir en 5 puntos:
- Acompañar a las empresas en el proceso de cumplimiento con el RGPD desde su integración.
- Informar, aconsejar y fomentar la concienciación del responsable de datos o el procesador, así como de los empleados que realizan el tratamiento de datos, acerca de las obligaciones que tienen.
- Verificar el cumplimiento del RGPD y de otros reglamentos vigentes tanto en Francia (como la ley de Informática y Libertades) como en la UE. Para ello, debe realizar un inventario completo de los datos que maneja la empresa para asegurar su conformidad. Paralelamente, también debe implementar procedimientos para definir los plazos de conservación de datos, establecer medidas de seguridad adecuadas o regular los traslados de información.
- Cooperar y ser el punto de contacto para la autoridad de control en asuntos relacionados con el tratamiento de datos.
- Asistir a los miembros de la dirección en sus decisiones cuando estas tengan un impacto potencial o real en la protección de datos personales.
Además de estas misiones, el DPO también debe realizar un seguimiento jurídico y tecnológico constante para mantenerse actualizado con las últimas novedades.
¿Por qué es tan importante el DPO?
El DPO requerido en muchas organizaciones
El Reglamento General de Protección de Datos establece claramente la designación obligatoria del DPO en autoridades y organismos públicos (como ministerios, entidades locales, establecimientos públicos, etc.). Sin embargo, el data protection officer también puede ser mandatorio en ciertas empresas del sector privado. El artículo 37 del RGPD prevé dos casos más:
- Las actividades centrales de la empresa requieren un seguimiento regular y sistemático de personas a gran escala. Esto incluye, por ejemplo, a las aseguradoras, bancos, operadores de telecomunicaciones, empresas de videovigilancia o proveedores de servicios de internet.
- Las actividades principales involucran el procesamiento a gran escala de los denominados datos «sensibles», como los datos biométricos, genéticos, opiniones políticas, afiliación sindical, información sobre condenas penales, etc.
Dado esta amplia definición de la obligación de designar un DPO, muchas empresas están incluidas. Esto aplica a la mayoría de grandes corporaciones, así como a empresas más pequeñas (como las PYME) que se dedican al comercio electrónico, donde la productividad puede verse ampliamente beneficiada con una buena gestión de los datos.
Aun cuando la actividad de las empresas no se ajuste a los casos anteriores, el nombramiento de un DPO es ampliamente recomendado por la CNIL.
Es bueno saber que aunque la experticia del delegado de protección de datos es obligatoria en ciertas organizaciones, no es necesario que sea parte del personal interno. También puede ser un contratista externo. Si estás interesado en ser DPO, puedes ejercer esta profesión internamente en la empresa, o externamente, como consultor RGPD.
El DPO, un escudo contra las sanciones de la CNIL
En caso de incumplimiento del Reglamento General de Protección de Datos, la CNIL puede imponer sanciones financieras y penales. Estas pueden llegar a los 20 millones de euros o al 4% del volumen de negocio total global y hasta 5 años de prisión para las infracciones más graves. No hay que olvidar que estas multas también pueden hacerse públicas, lo que daña directamente la imagen de marca de la empresa.
Sea cual sea el caso, la función del data protection officer es prevenir estas sanciones.
¿Qué recorrido profesional seguir para ser DPO?
La carrera de DPO es muy nueva y todavía no hay un «itinerario típico» para acceder a este puesto.
Se requiere cierta competencia en data/IT y conocimiento legal, lo que confiere cierta selectividad al puesto.
En términos concretos, se necesita una sólida formación jurídica. Nuestras observaciones entre nuestros clientes de grandes empresas (Allianz, LVMH BNP Paribas, etc.) indican que muy pocos DPOs actualmente tienen menos que un máster 2 en derecho. Agregar a esto una especialización en informática / datos / tecnologías o multimedia parece ser por ahora el mejor camino a seguir. Además, el conocimiento de las herramientas utilizadas por los equipos de TI es cada vez más imprescindible.
¿Cuál es el salario de un DPO?
En Francia, el salario medio para un Data protection officer es de 54 250€ anuales, lo que equivale a 4 521€ mensuales. Pero esto también abarca una gran diversidad de situaciones dependiendo de la experiencia, la ubicación geográfica o el sector de actividad.
En general, observamos en los anuncios de trabajo de DPO que un perfil Junior ganaría entre 35 y 50 mil euros al año.
Esto variará especialmente de acuerdo al número de empleados y de datos procesados por la empresa (proporcional a la responsabilidad del DPO)
¿Quieres sensibilizar a tu equipo directivo sobre los desafíos de la Data?
Hemos creado el curso Data Science justo para eso.
