La protección de los datos personales y la defensa de la privacidad en línea (y fuera de ella) no es una moda, ni un estandarte que deba ser utilizado por las empresas del sector privado y entidades del sector público para simular que cumplen mínimamente con sus obligaciones en la materia.

Los responsables del tratamiento, entendidos en términos generales como las personas físicas o jurídicas que deciden sobre la finalidad y los medios del tratamiento de los datos personales, sea que se trate de empresas o dependencias de gobierno, tienen un papel central en el cumplimiento de la normativa de protección de datos; no sólo son los destinatarios de las normas de protección de datos, sino los sujetos que concentran la responsabilidad para demostrar su cumplimiento.

En esta aportación se  destacan solo algunos aspectos fundamentales para que el derecho a la protección de datos pueda ser desarrollado y garantizado de manera efectiva: 1) El compromiso de la alta dirección con la protección de datos; 2) la asignación de recursos suficientes para el desempeño de las funciones relacionadas con la protección de datos; 3) el fortalecimiento del Oficial de Protección de Datos o de los equipos de privacidad, incluyendo la especialización del personal en la materia, y 4) la adopción de programas de protección de datos integrales.

• El Compromiso de la Alta Dirección con la Protección de Datos

La alta dirección de una organización debe mostrar un interés auténtico en la protección de los datos personales. Si la alta dirección carece de un interés real, difícilmente la protección de datos será considerada como un tema estratégico en la organización y, por ende, muy probablemente no será tomada en serio por el personal.

De la aprobación de una legislación de protección de datos no se sigue automáticamente o necesariamente el interés o el compromiso de una organización por el cumplimiento o la protección adecuada de los datos personales. A menudo, las legislaciones se perciben como cargas regulatorias y administrativas que implican costos excesivos a la organización, sin detenerse a pensar en la enorme responsabilidad que implica poseer datos de personas físicas, ante los riesgos presentes y emergentes en contra de la vida privada y de otros derechos fundamentales.

Resulta esencial que la Alta Dirección esté plenamente comprometida con la implementación y mejora continua de un Programa de Protección de Datos, el cual aporta beneficios sustanciales en términos de ventajas competitivas y mantenimiento de una buena imagen y confianza por parte de las personas titulares de los datos. 

• Asignación de Recursos Necesarios

La asignación de recursos económicos y materiales suficientes, es fundamental para las funciones de implementación, supervisión o asesoría relativas a la protección de datos.

Sencillamente, si no existen los recursos necesarios para que se implementen los programas de protección de datos; si el personal no se encuentra remunerado de manera proporcional con la responsabilidad encomendada, o si las funciones de protección de datos son llevadas a cabo por equipos limitados o muy pequeños, sobrepasados por una carga laboral excesiva, difícilmente podrán llevar a cabo de manera eficiente todas las funciones que se requieren para el cumplimiento de las disposiciones de protección de datos, menos aún podrán llevar el cumplimiento más allá del mínimo indispensable para aterrizarlo en buenas prácticas, mantenimiento o mejora de un programa de protección de datos.

De la asignación de recursos y personal suficiente y adecuado, depende en gran medida la capacidad operativa y el despliegue de las acciones orientadas a garantizar el derecho a la protección de datos en las organizaciones.

• El fortalecimiento del Oficial de Protección de Datos o de los equipos de privacidad, y la especialización de personal en la materia

La planeación, implementación, mejora y supervisión de un programa de protección de datos personales, orientado al cumplimiento de la legislación aplicable, requiere de personal especializado que conozca el derecho a la protección de datos personales antes que cualquier otra área o función de la organización, o con independencia de que conozca otros temas o desempeñe otras funciones de la organización.

Al menos en México (y probablemente en el resto de América Latina), en donde el derecho a la protección de datos personales es relativamente reciente, y aun se cuenta en una fase de desarrollo (adicionalmente a que no existen todas las condiciones para que su defensa sea efectiva), existen relativamente pocos perfiles que abarquen o posean un amplio dominio tanto del derecho a la protección de datos como de áreas sustantivas de una organización y de los distintos sectores productivos (por ejemplo, de los sectores de la salud, tecnológico, financiero, económico, energético, entre otros).

El derecho a la protección de datos es un tema exigente y celoso, requiere de tiempo y un interés auténtico por la transversalidad de los enfoques y conocimientos técnicos, jurídicos y regulatorios, enfoques que se actualizan día a día. No todo el personal en una organización tiene ni tendrá (y no tiene por qué tener) la pasión o un gusto exaltado por la protección de datos.

Las organizaciones deben encontrar la manera de crear conciencia y fomentar la especialización interna, aun sabiendo que tendrán muchos factores en contra. Aquí aparece como actor fundamental el Oficial de Protección de Datos Personales, así como otros roles que ejercen funciones sustantivas relacionadas con la protección de datos. Las organizaciones deben invertir en la formación y especialización de sus Oficiales de Protección de Datos, en vez de esperar a que llegue el “perfil perfecto” que conjunte todas las habilidades y conocimientos que esperarían encontrar en una persona.

En algunas ocasiones, las organizaciones deben emitir un “voto de confianza” respecto a las capacidades, habilidades y conocimientos de un candidato o candidata, que aspira a ser contratado(a) para incorporarse a sus filas. Al respecto, resulta fundamental que se tenga claridad respecto a las funciones que serán desempeñadas dentro de la organización en materia de protección de datos personales.

Si lo que se busca es una persona experta o con un conocimiento profundo en protección de datos, probablemente sea más sencillo o conveniente que esta persona se involucre en la dinámica de la organización y desarrolle habilidades complementarias en otras áreas de interés, a esperar encontrar un perfil que domine todas las áreas de interés para la organización.

En cualquier caso, las personas que desempeñen funciones de protección de datos personales deben poseer los conocimientos especializados y las cualidades profesionales que les permitan actuar de acuerdo con la sensibilidad, complejidad y cantidad de los datos que la organización trata, así como al nivel de riesgo al que se encuentran expuestos. Los conocimientos deben ser actuales y ser mejorados continuamente.

La persona que ocupe el rol de Oficial de Protección de Datos, tendrá una participación fundamental para difundir al interior el conocimiento del derecho (a través de acciones de capacitación y concienciación), impartiendo y animando a participar al personal de la organización en foros, cursos, talleres, etc., organizados e impartidos por ella misma o por terceros.

• Adopción de Programas de Protección de Datos Integrales

Sin duda, el empleo de la tecnología (como la realidad virtual, la inteligencia artificial, la minería de datos, el internet de las cosas, por referir solo algunas) ha visibilizado e incrementado distintos escenarios de riesgo tanto para las personas titulares de los datos, como para las empresas o entidades públicas. Cada vez resulta más complejo proteger de manera integral los datos personales.

Implementar un programa de protección de datos personales va más allá de contar con un aviso de privacidad y contar con un área de seguridad de la información. Si bien el andamiaje de una legislación de protección de datos puede leerse aleatorio o desconectado, cada una de las piezas que lo integran cumple la función de contribuir a satisfacer la expectativa de cumplimiento que ha establecido el Poder Legislativo, así como las expectativas por demás legítimas que poseen las personas titulares de los datos personales.

La adopción de un Sistema de Gestión de Protección de Datos, también identificado como Sistema de Gestión de Privacidad de la Información, resultará de gran utilidad para ubicar en contexto, entender y complementar las disposiciones previstas en las legislaciones de protección de datos. Si bien la ley de protección de datos establece el qué debe cumplirse, el cómo debe cumplirse resulta abstracto e indeterminado en la legislación, abriendo un espacio valioso para el uso de estándares internacionales y mejores prácticas, por ejemplo, las proporcionadas por las normas emitidas por la International Organization for Standardization (ISO) y el National Institute of Standards and Technology (NIST).