12 TENDENCIAS DE PRIVACIDAD 2021

Carlos Alberto Sáiz Vicepresidente de Ecix Group y Presidente de la Asociación CUMPLEN comparte las 12 claves para 2021 en Privacidad, teniendo en cuenta la normativa, encuestas sobre necesidades de los DPO´s, actividad de la AEPD, sanciones impuestas, etc. Y haciendo un repaso por los temas y aspectos más importantes a los que prestar atención siendo un DPO de una gran compañía.

1 | Acciones comerciales seguras

Resulta necesario revisar todo el sistema de gestión y fuentes de datos, consentimientos, interés legítimo y listas Robinson con el objeto de garantizar que cada comunicación comercial llega a quien tiene que llegar. Es un gran reto para los DPO definir e implantar las medidas adecuadas a nivel jurídico, organizativo y tecnológico para lograr envíos comerciales seguros a “listas blancas”.

- Carlos Alberto Sáiz Vicepresidente de Ecix Group

2 | Debida diligencia ante terceros

Una de las obligaciones del RGPD y la LOPDGDD que va cogiendo más peso en las organizaciones es la necesidad de realizar labores de “due diligente” ante empresas que van a ser proveedores y encargados de tratamiento, no solo evaluándoles de forma previa a su contratación, sino también mediante la realización de una adecuada monitorización durante la vigencia del contrato.

Es necesario dar cumplimiento al artículo 73 LOPDGDD y poder acreditar esa labor de control de terceros que tratan datos de nuestra organización.

- Carlos Alberto Sáiz Vicepresidente de Ecix Group

3 | Mistery shopping y simulacros de inspección

Al igual que se hace en otros campos normativos, resulta necesario que las empresas se preparen con ejercicios para saber actuar ante una inspección, de esta manera se mejora la capacidad de los equipos ante esta circunstancia y se identifican mejoras del sistema de protección de datos durante el propio ejercicio.

- Carlos Alberto Sáiz Vicepresidente de Ecix Group

4 | La adhesión al Pacto Digital para la protección de las personas

Considero muy positiva esta iniciativa fomentada por la AEPD y respaldada ya por cientos de organizaciones.

Creo que cualquier organización debería adherirse, ya que conlleva dos grandes ideas:

1) el compromiso de las organizaciones para cumplir no solo con la normativa de protección de datos sino también la difusión de buenas prácticas digitales por parte de todos como ciudadanos, trabajadores, padres y madres, usuarios de servicios, etc.

2) es una buena herramienta para los DPO´s para promover internamente hacia las capas directivas una visión enriquecedora de la importancia de la privacidad como un activo de la compañía, y una oportunidad para consolidar el compromiso con el privacy by design.

- Carlos Alberto Sáiz Vicepresidente de Ecix Group

5 | Nuevos criterios sobre notificación de brechas

La AEPD ha introducido algunos cambios en la guía sobre notificación de brechas de seguridad, la cual introducía diversos criterios de ponderación que eran utilizados de forma constante por las organizaciones para decidir en qué casos debían comunicar o no tales brechas. Ahora será necesario adaptar las políticas internas de manera alineada al nuevo documento de la AEPD.

- Carlos Alberto Sáiz Vicepresidente de Ecix Group

6 | Oficina de DPO eficaz

El equipo de trabajo de un DPO va adquiriendo más madurez y ganando más presencia en las áreas de negocio, pero se enfrenta a una etapa donde la privacidad ha cogido más relevancia en la Dirección por las noticias de las últimas multas, donde hay una lucha importante por conseguir presupuestos, y donde es más necesario que nunca construir un modelo de cumplimiento escalable, que pueda crecer para conseguir los enormes objetivos que tiene por delante, y desarrollar los indicadores y métricas adecuados para gestionar la eficacia del área y la función.

- Carlos Alberto Sáiz Vicepresidente de Ecix Group

7 | Privacidad y Transformación Digital

Es fundamental que la privacidad esté cada vez más y más pegada a la tecnología.

Todas las compañías han acelerado sus procesos de Transformación Digital y la obtención, gestión y administración adecuada de la información, de los datos, es nuclear para tener éxito en dicha misión.

Más que nunca, hay que hacer importantes esfuerzos para implantar ese “privacy by design” en las áreas de innovación y Transformación Digital, y acreditar el papel del DPO desde el inicio de todos esos procesos. Asimismo, el área de privacidad debe ahondar en su propia transformación digital y terminar de implantar las tecnologías que están a su alcance en cuanto a sistema de gestión de cumplimiento, herramientas de gestión de consentimientos y de cookies, sistemas de due diligences de proveedores, sistemas de controles y evidencias, plataformas de formación y concienciación en privacidad, etc.

- Carlos Alberto Sáiz Vicepresidente de Ecix Group

8 | Certificaciones y especialización

El campo de la protección de datos se va haciendo cada vez mayor por las implicaciones que tiene, y podemos ver cómo se generan sub-especializaciones por materias muy específicas: abogados especialistas, analistas de riesgos, expertos en tecnologías de cumplimiento, técnicos de seguridad-privacidad, auditores de privacidad, consultores de procesos, etc.

Es lógico y creo que es importante seguir fomentando en los equipos de los DPO contar con personal (y con servicios externos) especializados para hacer frente a los retos que vienen.

Asimismo, veremos cómo en los próximos años se fomentan diferentes certificaciones sobre estos diversos perfiles.

- Carlos Alberto Sáiz Vicepresidente de Ecix Group

9 | Sistema confiable en Transferencias Internacionales de Datos

Tras la sentencia Schrems, se ha generado una situación de incertidumbre jurídica donde los DPO han intentado posicionar la legitimación de las transferencias de datos entre Europa y USA a la espera de una posición clara por parte de las Autoridades de control y un sistema de “controles proporcionales” que ponderen la situación provisional.

Será necesario estar muy atento a próximas decisiones en la Comisión y por la AEPD, y darle seguimiento a los nuevos instrumentos jurídicos que se promuevan sobre transferencias internacionales.

- Carlos Alberto Sáiz Vicepresidente de Ecix Group

10 | Auditorías y consistencia del sistema de protección de datos

Es necesario volver a consolidar una inercia de auditorías del sistema de protección de datos de las organizaciones.

Si bien, con nuestro antiguo RLOPD existía esa obligación legal cada dos años, considero que con la flexibilidad de la normativa actual en este punto, ahora es necesario que cada organización administre un calendario de auditorías en base a criterios de riesgo (más periodicidad en tratamientos de más riesgo) y de alcance (una revisión no solo de las medidas de seguridad, sino también de todos los aspectos legales y organizativos).

La visión de una auditoría por un tercero siempre puede aportar valiosos puntos de vista para seguir mejorando el sistema de cumplimiento.

- Carlos Alberto Sáiz Vicepresidente de Ecix Group

11 | Cultura de la privacidad

Tras un año de pandemia, de establecimiento de sistemas de teletrabajo, convivencia y asentamiento de los nuevos derechos digitales… sigue siendo fundamental seguir generando una cultura de respeto de la privacidad y por lo tanto, llevar a cabo un plan de acciones de comunicación interna, formación, concienciación.

Animo a los DPO a lanzarse a metodologías más creativas y disruptivas como la gamificación, los retos, los scape room virtuales, concursos, etc., ya que funcionan muy bien para trasladar mensajes claros y adquirir los conocimientos que se pretenden inculcar.

- Carlos Alberto Sáiz Vicepresidente de Ecix Group

12 | El valor de la privacidad como activo

¿Se puede cambiar la idea del cumplimiento en privacidad como un coste necesario en las empresas y transformarla en una idea de resultar una inversión para mejorar la imagen de la compañía y vender más?

Algunas compañías están trabajando en ello, y hacen verdaderos esfuerzos para que su compromiso con la privacidad sea un signo distintivo de su imagen.

Los profesionales de la privacidad debemos contribuir a que las compañías preocupadas y comprometidas con el cumplimiento tengan un “retorno” de esa inversión y es una buena noticia la aparición de Estándares, Certificaciones y Buenas prácticas en el mercado para su seguimiento por las empresas y la generación de esa imagen de empresas cumplidoras.

- Carlos Alberto Sáiz Vicepresidente de Ecix Group