Director de privacidad

El director de privacidad (CPO) es un ejecutivo de alto nivel dentro de un número cada vez mayor de corporaciones globales, agencias públicas y otras organizaciones, responsable de gestionar los riesgos relacionados con las leyes y regulaciones de privacidad de la información. ^[1] Las variaciones en el rol a menudo llevan títulos como "Oficial de privacidad", "Líder de privacidad" y "Asesor de privacidad". ^[2] Sin embargo, el rol de CPO difiere significativamente de otro rol con título similar, el Oficial de protección de datos (DPO), un rol obligatorio para algunas organizaciones bajo el RGPD , y los dos roles no deben confundirse ni combinarse. ^{[3] [4]}

El rol de CPO fue una respuesta a las crecientes "preocupaciones de los consumidores sobre el uso de información personal, incluidos datos médicos e información financiera, junto con leyes y regulaciones". ^[5] En particular, la expansión de las Leyes de Privacidad de la Información y las nuevas regulaciones que rigen la recopilación y el uso de información personal, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea , ha elevado el perfil y aumentado la frecuencia de tener un ejecutivo de alto nivel como líder de los esfuerzos de cumplimiento relacionados con la privacidad. ^[6] Además, algunas leyes y regulaciones (como la Regla de Seguridad HIPAA ) requieren que ciertas organizaciones dentro de su alcance regulatorio deben designar un líder de cumplimiento de la privacidad. ^{[7] [8]}

Historia

En los Estados Unidos, el puesto de director de privacidad se estableció por primera vez en la empresa de marketing de bases de datos de consumidores Acxiom en 1991 con el nombramiento de Jennifer Barrett como directora de privacidad. ^[9] El papel funcionó en la oscuridad hasta agosto de 1999, cuando la empresa de tecnología publicitaria en Internet AllAdvantage nombró al abogado de privacidad Ray Everett para la primera instancia de la era de Internet del papel. ^[10] Esto inició una tendencia que se extendió rápidamente entre las grandes corporaciones, tanto offline como online. ^{[11] [12]} El papel del director de privacidad se solidificó dentro del mundo corporativo estadounidense en noviembre de 2000 con el nombramiento de Harriet Pearson como directora de privacidad de IBM Corporation . Ese evento impulsó a un analista influyente a declarar: "El director de privacidad es una tendencia cuyo momento ha llegado". ^[13]

En 2001, la organización de investigación sin fines de lucro Privacy and American Business informó que una cantidad significativa de empresas de Fortune 500 habían designado a ejecutivos de alto nivel con el título o rol de Director de Privacidad. ^{[14] [15]} El crecimiento de la tendencia del Director de Privacidad se vio impulsado aún más por la aprobación en la Unión Europea a fines de la década de 1990 de leyes y regulaciones de privacidad de datos que incluían un requisito para que todas las corporaciones tuvieran una persona designada para ser responsable del cumplimiento de la privacidad. ^{[6] [16]}

En 2002, el cargo de Director de Privacidad y otros cargos similares de gestión relacionados con la privacidad estaban lo suficientemente extendidos como para respaldar la creación de sociedades profesionales y asociaciones comerciales para promover programas de capacitación y certificación. En 2002, las mayores de estas organizaciones, la Asociación de Oficiales de Privacidad y la Asociación de Oficiales de Privacidad Corporativos, se fusionaron para formar la Asociación Internacional de Oficiales de Privacidad, que luego pasó a llamarse Asociación Internacional de Profesionales de la Privacidad (IAPP). ^[17] La ​​IAPP celebra varias conferencias y seminarios de capacitación cada año en todo el mundo, y acoge a miembros de la asociación de importantes corporaciones globales y agencias gubernamentales, con ejecutivos que buscan programas de certificación en prácticas de gestión de la privacidad. ^[6] En 2019, según se informa, tenía más de 50.000 miembros ^[18] a nivel mundial, lo que su liderazgo atribuyó a las respuestas de las empresas a nuevas leyes como el RGPD. ^[19]

Responsabilidades y deberes

Como líder de un programa de privacidad corporativa, un CPO tiene una serie de responsabilidades esenciales, ^[20] entre las que se incluyen:

• Gestionar las políticas, procedimientos y gobernanza de datos de la empresa.
• Fomentar la concienciación y la formación sobre privacidad entre los empleados
• Liderando la respuesta a incidentes, incluida la preparación para violaciones de datos
• Comunicar los objetivos y valores de privacidad tanto interna como externamente
• Diseño de controles para gestionar el cumplimiento de la privacidad
• Evaluación de los riesgos relacionados con la privacidad derivados de los productos y servicios existentes
• Realizar evaluaciones de impacto sobre la privacidad para identificar riesgos en actividades comerciales nuevas o modificadas
• Monitoreo de la efectividad de las medidas de cumplimiento y mitigación de riesgos relacionados con la privacidad

Muchas de estas actividades y requisitos están incluidos en las descripciones de trabajo del CPO. ^{[21] [22]}

El rol requiere fuertes relaciones de colaboración ^[23] con otras partes interesadas en una organización, incluidos ingenieros y gerentes de producto ^[24] (para impactos de privacidad en productos y servicios), recursos humanos ^[25] (para impactos de privacidad en datos de empleados), equipos legales ^[26] (para monitoreo e interpretaciones de leyes aplicables y medidas de cumplimiento), adquisiciones y gestión de proveedores ^[27] , y equipos de tecnología de la información y seguridad de la información . ^[28]

Interacciones con otros puestos de alto nivel

A medida que las organizaciones identifican la necesidad de un CPO, surge un desafío frecuente en relación con la ubicación del rol dentro de la estructura de la organización y el problema de la superposición entre roles similares de "nivel C", ^[29] más notablemente las muchas intersecciones entre los roles del CPO y el Director de Seguridad de la Información (CISO). ^{[30] [31]} Si bien los CPO y los CISO tienen cierta superposición en cuanto a responsabilidades en torno a la protección y la gobernanza de datos, en última instancia la privacidad y la seguridad tienen diferentes roles que desempeñar. Por ejemplo, si bien los CPO y los CISO pueden estar preocupados por la prevención de violaciones de datos, la responsabilidad de administrar las medidas técnicas de prevención tenderá a recaer en el CISO, mientras que las preocupaciones de un CPO se centrarán más ampliamente en si los datos que de otro modo estarían protegidos adecuadamente se están utilizando de maneras que podrían poner a la empresa en riesgo legal, regulatorio o de reputación. ^[32]

Otro ámbito de posible superposición, y a veces de confusión, es la interacción entre un CPO y el rol cada vez más común de Oficial de Protección de Datos (OPD). El rol de DPO es específicamente requerido para ciertas organizaciones que caen bajo la jurisdicción del RGPD de la UE . ^[33] Los DPO tienen roles, requisitos y expectativas muy específicos delineados en el Artículo 39 del RGPD y la guía regulatoria asociada, y estos incluyen un nivel requerido de independencia y separación organizacional que los hace muy diferentes de un CPO. ^[4]

Cualificaciones y antecedentes

Si bien muchos CPO provienen de una formación jurídica y tienen un título de Juris Doctor (o equivalente), el rol de CPO es multidisciplinario. El rol requiere un ejecutivo que comprenda cómo la recopilación y el uso de datos, y los riesgos asociados, influyen en las operaciones comerciales diarias de una organización. ^[34] Los CPO también deben conocer una variedad de factores legales, regulatorios, contractuales y de otro tipo que afectan la estrategia de riesgo de privacidad de una organización. Por estas razones, muchos creen que una formación legal es un requisito para un CPO exitoso. ^[35] Otros creen que una formación legal puede resultar en un enfoque demasiado limitado, ^[36] y los CPO deben tener más que una formación legal. ^[37]

Entre otras cualidades que se consideran valiosas en los CPO se encuentran las sólidas habilidades de comunicación, en particular en el área de relaciones públicas. Esto se debe a que el rol es en parte responsable del desarrollo y la ejecución de estrategias de divulgación pública en caso de violación de datos u otro incidente de seguridad relacionado con los datos, y el CPO a menudo funciona como la cara de relaciones públicas de la organización. ^{[38] [39] [40]} A los CPO también se les suele pedir que actúen como lobbyistas que representen los intereses de la organización ante los legisladores. ^[41] También se les exige cada vez más que tengan un conocimiento profundo de las prácticas y tecnologías operativas relacionadas con los datos de la organización, así como de la interacción entre las medidas de cumplimiento que abarcan los ámbitos de la privacidad y la seguridad. ^[42]

Certificación profesional

Un número cada vez mayor de personas que buscan carreras como CPO buscarán capacitación en múltiples disciplinas relacionadas con el campo. ^[43] Entre las credenciales más comunes que se ven en el espacio se incluyen:

• Profesional certificado en privacidad de la información (CIPP) con especializaciones regionales como EE. UU., Canadá, Europa y Asia ^{[44] [45]}
• Gestor certificado de privacidad de la información (CIPM) ^{[46] [45]}
• Tecnólogo certificado en privacidad de la información (CIPT) ^{[47] [45]}
• Certificado en Privacidad y Seguridad de la Atención Médica (CHPS) ^[48]
• Certificado en Cumplimiento de la Privacidad de la Atención Médica (CHPC) ^[49]
• Profesional certificado en seguridad de sistemas de información (CISSP) ^[50]

Salario

La complejidad del puesto y el desafío de encontrar personas con la combinación adecuada de habilidades, educación y experiencia se reflejan en los datos salariales. En 2021, el puesto de CPO tiene un salario medio de 200 000 dólares a nivel mundial y más de 212 000 dólares en Estados Unidos. ^{[51] [52]} Según otras fuentes, los salarios medios en 2021 para los puestos de oficina de privacidad en Estados Unidos oscilaron entre 114 638 y 126 000 dólares. ^{[53] [54]}

Véase también

• Director de Privacidad, Departamento de Seguridad Nacional
• Director de Privacidad del Departamento de Educación de EE. UU.
• Director de Privacidad y Libertades Civiles del Departamento de Justicia de los Estados Unidos
• Oficina de Privacidad - Departamento de Estado de EE. UU.
• Oficina de Privacidad del Condado - Condado de Santa Clara, California (EE. UU.)
• Director de Privacidad - Oficina de Protección Financiera del Consumidor de EE. UU.
• Director de Privacidad del Gobierno - Gobierno de Nueva Zelanda
• Responsable de privacidad del campus

Referencias

1. "La nueva terminología de la privacidad". The New York Times . 10 de abril de 2019 . Consultado el 23 de mayo de 2019 .
2. "Informe completo: evaluación comparativa de la gestión de la privacidad y las inversiones de las empresas Fortune 1000". www.iapp.org . Consultado el 23 de mayo de 2019 .
3. Coseglia, Jared (3 de enero de 2019). "Café con profesionales de la privacidad: DPO vs. CPO. Abogado vs. Técnico. Las dualidades de la privacidad". Revista CPO . Data Privacy Asia Pte. Ltd. Consultado el 26 de mayo de 2019 .
4. "Los directores de privacidad pueden no ser elegibles para actuar como directores de protección de datos según el RGPD, dice un experto". Out-Law.com . Pinsent Masons LLP. 7 de septiembre de 2017 . Consultado el 26 de mayo de 2019 .
5. "Director de Privacidad | DefineFinance". www.definefinance.com . Consultado el 31 de octubre de 2015 .
6. Tittel, Ed (6 de junio de 2018). "Preparándose para la certificación GDPR: solo unas pocas buenas opciones". Hewlett Packard Enterprise . Hewlett Packard Enterprise Development LP . Consultado el 24 de agosto de 2019 .
7. "Resumen de la regla de seguridad de la HIPAA". Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) . Consultado el 25 de mayo de 2019 .
8. "Responsabilidades del responsable de privacidad de HIPAA". Compliancy Group . Consultado el 24 de mayo de 2019 .
9. "Acerca de la IAPP - Jennifer Barrett Glasgow, CIPP/US". IAPP.org . Consultado el 23 de mayo de 2019 .
10. Dan Tynan (23 de noviembre de 2012). "Preguntas y respuestas: el pionero de la privacidad Ray Everett". IT World . IDG . Consultado el 23 de mayo de 2019 .
11. Justine Brown (30 de mayo de 2014). "El ascenso del director de privacidad". Tecnología gubernamental . Consultado el 23 de mayo de 2019 .
12. Ulfelder, Steve (15 de enero de 2001). "Oh No, Not Another O!" [Oh, no, otra O no]. Revista CIO . Archivado desde el original el 6 de diciembre de 2006. Consultado el 18 de diciembre de 2006 .
13. "IBM designa a un director de privacidad". CNET.com . 2 de enero de 2002 . Consultado el 23 de mayo de 2019 .
14. Sandberg, Jared (16 de julio de 2001). "The Privacy Officer". The Wall Street Journal . Dow Jones & Company Inc . Consultado el 26 de agosto de 2019 .
15. Schwartz, John (12 de febrero de 2001). "First Line of Defense; Chief Privacy Officers Forge Evolving Corporate Roles" (Primera línea de defensa; los directores de privacidad forjan roles corporativos en evolución). The New York Times . Consultado el 26 de agosto de 2019 .
16. "Asociación Internacional de Profesionales de la Privacidad: Guía de Carrera y Certificación". Business News Daily. 15 de junio de 2018. Consultado el 10 de mayo de 2019 .
17. Maselli, Jennifer (25 de agosto de 2003). "Privacy Group Focuses on RFID" (Grupo de privacidad se centra en la tecnología RFID). RFID Journal . Emerald Expositions, LLC . Consultado el 18 de agosto de 2019 ."Es un tema de gran actualidad", afirma Shara Prybutok, administradora de IAPP, organización que se formó recientemente mediante la fusión de la Asociación de Responsables de Privacidad y la Asociación de Responsables de Privacidad Corporativos.
18. "50.000 miembros: un hito para la IAPP y la privacidad global". IAPP.org . Asociación Internacional de Profesionales de la Privacidad. 2 de mayo de 2019 . Consultado el 1 de octubre de 2019 . La IAPP había alcanzado los 50.000 miembros en todo el mundo.
19. Hughes, J. Trevor (25 de mayo de 2018). "GDPR Day 1: Reflections on what the heck just happened" (Primer día del RGPD: reflexiones sobre lo que acaba de pasar). IAPP.org . Asociación Internacional de Profesionales de la Privacidad . Consultado el 2 de junio de 2019 . Apenas dos semanas antes de la fecha límite del RGPD, superamos los 40 000 miembros en más de 100 países de todo el mundo.
20. Densmore, Russell, ed. (2019). Gestión de programas de privacidad (segunda edición). Asociación Internacional de Profesionales de la Privacidad. ISBN 978-1-948771-24-5.
21. "Ejemplo de descripción del puesto de director de privacidad". AHIMA Body of Knowledge . AHIMA . Consultado el 2 de junio de 2019 .
22. "Guía de carrera para el director de privacidad". Florida Tech Online . Instituto Tecnológico de Florida . Consultado el 2 de junio de 2019 .
23. "Director de privacidad". Ethics.org . Iniciativa de ética y cumplimiento . Consultado el 2 de junio de 2019 . Construya relaciones sólidas y colaborativas con socios clave de seguridad informática, recursos humanos, adquisiciones, legal, finanzas, seguridad global y las unidades de negocios
24. Ross, Alexandra (29 de septiembre de 2014). "Las 5 principales cualidades de un gran director de privacidad (CPO)". TrustArc . Consultado el 2 de junio de 2019. La experiencia práctica con la tecnología y la capacidad de ver los productos y servicios de una empresa a través de la lente de un cliente consciente de la privacidad son esenciales.
25. O'Connor, Brian; Yates, Amy (1 de agosto de 2009). "Una revisión de los problemas actuales de privacidad de RR.HH." IAPP.org . Asociación Internacional de Profesionales de la Privacidad . Consultado el 2 de junio de 2019 .
26. McCreary, Mark G. (9 de agosto de 2017). "Notes From A Law Firm Chief Privacy Officer: CPO vs. CISO". Fox Rothschild . Consultado el 2 de junio de 2019 . [E]l puesto debe, por diseño, tener una fuerte conexión con la oficina del asesor general de la firma
27. Merrick, Robert; Ryan, Suzanne (1 de abril de 2019). "Data Privacy Governance in the Age of GDPR" (Gobernanza de la privacidad de datos en la era del RGPD). Revista Risk Management . RIMS . Consultado el 2 de junio de 2019 . ...en Canadá, Estados Unidos y Europa, las empresas que comparten información personal con un proveedor deben asegurarse de que el proveedor tenga implementados los procesos de seguridad adecuados para salvaguardar esa información.
28. Bassett, Mike (febrero de 2015). "So You Want to Be a Privacy Officer?" (¿Entonces quieres ser un oficial de privacidad?). For the Record (Para el registro ) . Vol. 21, núm. 2. Great Valley Publishing Co. Inc. pág. 24. Consultado el 2 de junio de 2019. El puesto de oficial de privacidad ha evolucionado de tal manera que es necesario comprender más sobre las salvaguardas de seguridad .
29. White, Sarah K. (31 de marzo de 2018). "Cinco razones por las que necesita contratar a un director de privacidad (CPO)". Revista CIO . IDG Communications Inc. Consultado el 2 de junio de 2019. Un CPO ayuda a desarrollar estrategias para respaldar la forma en que se protege la información de identificación personal de este tipo de incidentes y puede informar completamente a los altos ejecutivos sobre los problemas, tanto técnicos como comerciales, que podrían surgir de una violación.
30. Davis, Jessica (17 de abril de 2019). "CPO y CISO: los roles cambiantes de los profesionales de la privacidad y la seguridad". Seguridad informática sanitaria . Xtelligent Healthcare Media, LLC . Consultado el 2 de junio de 2019 .
31. Gloeckle, Maggie; Royal, K (15 de noviembre de 2017). "CPO y CISO: los roles cambiantes de los profesionales de la privacidad y la seguridad". ACCDocket.com . Asociación de Asesores Jurídicos Corporativos . Consultado el 2 de junio de 2019 .
32. Bergal, Jenni (21 de agosto de 2018). "Más estados designan 'directores de privacidad' para proteger los datos de las personas". Revista de tecnología gubernamental . e.Republic . Consultado el 2 de junio de 2019 . Y los directores de privacidad no solo se ocupan de las amenazas externas. A veces, las infracciones ocurren cuando los empleados estatales divulgan inadvertidamente datos que contienen información personal, envían por correo electrónico un documento confidencial en un formato no seguro o no lo almacenan de forma segura.
33. "Delegados de protección de datos". ico.org.uk . Oficina del Comisionado de Información del Reino Unido . Consultado el 2 de junio de 2019 .
34. Lawton, Stephen (5 de abril de 2018). «Cómo contratar a un director de privacidad». SC Magazine . Haymarket Media Inc. Consultado el 2 de junio de 2019 .
35. Carson, Angelique (25 de agosto de 2015). «¿Un título en derecho llevaría su carrera en materia de privacidad al siguiente nivel?». IAPP.org . Asociación Internacional de Profesionales de la Privacidad . Consultado el 2 de junio de 2019 ."Hay gente realmente buena en este campo que no tiene un título en derecho [...] Pero la mayoría de las personas de mayor nivel tienden a tener títulos en derecho".
36. Creamer, Matthew (25 de abril de 2011). "¿Su agencia necesita un director de privacidad?". Revista AdAge . Crain Communications . Consultado el 2 de junio de 2019 ."Si se trata de una persona jurídica que va a asistir a las reuniones y tratar de limitar la responsabilidad, no es totalmente inútil, pero no creo que vaya a hacer lo que realmente necesitamos hacer, que es comunicarnos con nuestra base de clientes y educar a nuestra base de consumidores...
37. Ng, Cindy (2 de junio de 2017). "Entrevista: Dra. Ann Cavoukian sobre la privacidad por diseño". Varonis . Consultado el 2 de junio de 2019 . Se necesita un conjunto de habilidades mucho más amplio que el de la ley únicamente. Por ejemplo, yo no soy abogada y logré ser Comisionada [de Privacidad de Ontario] durante tres mandatos.
38. Dan Tynan (23 de noviembre de 2012). "Preguntas y respuestas: el pionero de la privacidad Ray Everett". IT World . IDG . Consultado el 23 de mayo de 2019 .
39. Ulfelder, Steve (15 de enero de 2001). "Oh No, Not Another O!" [Oh, no, otra O no]. Revista CIO . Archivado desde el original el 6 de diciembre de 2006. Consultado el 18 de diciembre de 2006 ."Termino bailando entre tres campos diferentes: legal/política, marketing y tecnología". -Ray Everett-Church, CPO y vicepresidente de políticas públicas en AllAdvantage.com
40. Dieterle, EJ "Funciones futuras: ¿Debería ser una prioridad contratar a un director de privacidad?". YesPartners . Consultado el 2 de junio de 2019 .
41. Kang, Cecilia (24 de abril de 2018). "Facebook reemplaza a ejecutivo de lobby en medio del escrutinio regulatorio". The New York Times . Consultado el 2 de junio de 2019. La Sra. Egan, quien también es la directora de privacidad de Facebook, fue responsable de lobby y relaciones gubernamentales como directora de políticas durante los últimos dos años.
42. Simberkoff, Dana (11 de diciembre de 2018). "¿Deberían fusionarse los roles de director de privacidad y director de seguridad de la información?". CMS Wire . Simpler Media Group Inc . Consultado el 2 de junio de 2019 .
43. Kim, Lee (11 de marzo de 2019). "Mi camino hacia la obtención de dos certificaciones profesionales, CIPP y CISSP". HIMSS . Consultado el 2 de junio de 2019 .
44. "Profesional certificado en privacidad de la información". IAPP.org . Consultado el 2 de junio de 2019 .
45. "¿Es la certificación IAPP una consideración para los profesionales de TI de la salud?". USF Health Online . Universidad del Sur de Florida . Consultado el 24 de agosto de 2019 .
46. "Gerente de Privacidad de Información Certificado". IAPP.org . Consultado el 2 de junio de 2019 .
47. "Tecnólogo certificado en privacidad de la información". IAPP.org . Consultado el 2 de junio de 2019 .
48. "Certificado en Privacidad y Seguridad en el Cuidado de la Salud". AHIMA . Consultado el 2 de junio de 2019 .
49. "Certificado en cumplimiento de la privacidad en el cuidado de la salud". Compliance Certification Board . Consultado el 2 de junio de 2019 .
50. "Profesional certificado en seguridad de sistemas de información". ISC2.org . Consultado el 31 de mayo de 2020 .
51. "Encuesta de sueldos de profesionales de la privacidad de IAPP 2021". IAPP.org . Consultado el 18 de junio de 2021 .
52. Spiezio, Caroline (7 de mayo de 2019). "Los directores de privacidad de EE. UU. reciben un salario mayor que sus pares de la UE y tienen vínculos más estrechos con el sector legal". Law.com . ALM Media Properties LLC . Consultado el 24 de agosto de 2019 . Según la Encuesta de salarios de profesionales de la privacidad de 2019 de la IAPP, el salario medio de los directores de privacidad estadounidenses es de 212 000 dólares, en comparación con los 185 000 dólares del Reino Unido y los 142 000 dólares de la Unión Europea. El salario medio mundial de los directores de privacidad es de 200 000 dólares en 2019.
53. "Salario del oficial de privacidad". ziprecruiter.com . Consultado el 18 de junio de 2021 .
54. "La pandemia no ha detenido el aumento de los salarios relacionados con la privacidad, pero aún queda trabajo por hacer". scmagazine.com . 29 de junio de 2021 . Consultado el 1 de julio de 2021 .