El Director de Privacidad (CPO) es un ejecutivo de alto nivel dentro de un número creciente de corporaciones globales, agencias públicas y otras organizaciones, responsable de gestionar los riesgos relacionados con las leyes y regulaciones de privacidad de la información. [1] Las variaciones del rol a menudo llevan títulos como "Oficial de privacidad", "Líder de privacidad" y "Abogado de privacidad". [2] Sin embargo, la función de CPO difiere significativamente de otra función con un título similar, el Delegado de Protección de Datos (DPO), una función obligatoria para algunas organizaciones según el RGPD , y las dos funciones no deben confundirse ni combinarse. [3] [4]
El papel de CPO fue una respuesta a las crecientes "preocupaciones de los consumidores sobre el uso de información personal, incluidos datos médicos e información financiera junto con leyes y regulaciones". [5] En particular, la expansión de las Leyes de Privacidad de la Información y las nuevas regulaciones que rigen la recopilación y el uso de información personal, como el Reglamento General de Protección de Datos de la Unión Europea (GDPR), han elevado el perfil y aumentado la frecuencia de tener un alto ejecutivo. como líder de los esfuerzos de cumplimiento relacionados con la privacidad. [6] Además, algunas leyes y regulaciones (como la Regla de Seguridad HIPAA ) requieren que ciertas organizaciones dentro de su alcance regulatorio deben designar un líder de cumplimiento de privacidad. [7] [8]
En Estados Unidos, el puesto de director de privacidad se estableció por primera vez en la empresa de marketing de bases de datos para consumidores Acxiom en 1991 con el nombramiento de Jennifer Barrett como CPO. [9] El rol funcionó en la oscuridad hasta agosto de 1999, cuando la firma de tecnología de publicidad en Internet AllAdvantage nombró al abogado de privacidad Ray Everett para la primera instancia del rol en la era de Internet. [10] Esto inició una tendencia que se extendió rápidamente entre las principales corporaciones, tanto fuera de línea como en línea. [11] [12] El papel del Director de Privacidad se solidificó dentro del mundo corporativo de EE. UU. en noviembre de 2000 con el nombramiento de Harriet Pearson como Directora de Privacidad de IBM Corporation . Ese acontecimiento llevó a un analista influyente a declarar que "el director de privacidad es una tendencia cuyo momento ha llegado". [13]
En 2001, la organización de investigación sin fines de lucro Privacy and American Business informó que un número significativo de empresas Fortune 500 habían designado altos ejecutivos con el título o función de Director de Privacidad. [14] [15] El crecimiento de la tendencia del Director de Privacidad se vio impulsado aún más por la aprobación por parte de la Unión Europea a finales de la década de 1990 de leyes y regulaciones de privacidad de datos que incluían el requisito de que todas las corporaciones tuvieran una persona designada para ser responsable del cumplimiento de la privacidad. . [6] [16]
En 2002, el puesto de Director de Privacidad y puestos similares de gestión relacionados con la privacidad estaban lo suficientemente extendidos como para apoyar la creación de sociedades profesionales y asociaciones comerciales para promover programas de capacitación y certificación. En 2002, la mayor de estas organizaciones, la Asociación de Oficiales de Privacidad y la Asociación de Oficiales de Privacidad Corporativa, se fusionaron para formar la Asociación Internacional de Oficiales de Privacidad, que más tarde pasó a llamarse Asociación Internacional de Profesionales de la Privacidad (IAPP). [17] La IAPP celebra varias conferencias y seminarios de capacitación cada año en todo el mundo, recibiendo a miembros de asociaciones de importantes corporaciones globales y agencias gubernamentales, y ejecutivos que buscan programas de certificación en prácticas de gestión de la privacidad. [6] En 2019, supuestamente tenía más de 50.000 miembros [18] en todo el mundo, lo que su liderazgo atribuyó a las respuestas de las empresas a nuevas leyes como el GDPR. [19]
Como líder de un programa de privacidad corporativo, un CPO tiene una serie de responsabilidades esenciales, [20] que incluyen:
Muchas de estas actividades y requisitos están incluidos en las descripciones de trabajo de CPO. [21] [22]
El rol requiere sólidas relaciones de colaboración [23] con otras partes interesadas en una organización, incluidos ingenieros y gerentes de productos [24] (para los impactos en la privacidad de los productos y servicios), recursos humanos [25] (para los impactos en la privacidad de los datos de los empleados), equipos legales. [26] (para el seguimiento y la interpretación de las leyes aplicables y las medidas de cumplimiento), gestión de adquisiciones y proveedores, [27] y equipos de tecnología de la información y seguridad de la información . [28]
A medida que las organizaciones identifican la necesidad de un CPO, surge un desafío frecuente con respecto a la ubicación del rol dentro de la estructura de la organización y la cuestión de la superposición entre roles similares de "nivel C", [29] en particular las muchas intersecciones entre los roles de el CPO y el Director de Seguridad de la Información (CISO). [30] [31] Si bien los CPO y CISO tienen cierta superposición en las responsabilidades en torno a la protección y la gobernanza de datos, en última instancia, la privacidad y la seguridad tienen diferentes roles que desempeñar. Por ejemplo, si bien tanto los CPO como los CISO pueden estar preocupados por la prevención de violaciones de datos, la responsabilidad de gestionar las medidas técnicas de prevención tenderá a recaer en el CISO, mientras que las preocupaciones de un CPO se centrarán más ampliamente en si los datos que de otro modo estarían protegidos adecuadamente se están utilizando de manera que podrían poner a la empresa en riesgo legal, regulatorio o reputacional. [32]
Otra área de posible superposición, y a veces de confusión, es la interacción entre un CPO y la función cada vez más común de Delegado de Protección de Datos (DPO). La función de DPO se requiere específicamente para ciertas organizaciones que están bajo la jurisdicción del RGPD de la UE . [33] Los DPO tienen funciones, requisitos y expectativas muy específicos delineados en el artículo 39 del RGPD y las directrices regulatorias asociadas, y estos incluyen un nivel de independencia requerida y separación organizacional que los hace muy diferentes de un CPO. [4]
Si bien varios CPO tienen formación jurídica y tienen títulos de Juris Doctor (o equivalente), la función del CPO es multidisciplinaria. El puesto requiere un ejecutivo que comprenda cómo la recopilación y el uso de datos, y los riesgos asociados, influyen en las operaciones comerciales diarias de una organización. [34] Los CPO también deben ser conscientes de una variedad de factores legales, regulatorios, contractuales y de otro tipo que impactan la estrategia de riesgo de privacidad de una organización. Por estas razones, muchos creen que tener experiencia legal es un requisito para un CPO exitoso. [35] Otros creen que una formación jurídica puede dar lugar a un enfoque demasiado limitado, [36] y los CPO deberían tener algo más que una formación jurídica. [37]
Entre otras calificaciones que se consideran valiosas en los CPO se encuentran fuertes habilidades de comunicación, particularmente en el área de relaciones públicas. Esto se debe a que el rol es parcialmente responsable del desarrollo y ejecución de estrategias de divulgación pública en caso de violación de datos u otro incidente de seguridad relacionado con los datos, y el CPO a menudo funciona como la cara de relaciones públicas de la organización. [38] [39] [40] Los CPO también suelen ser llamados a funcionar como cabilderos que representan los intereses de la organización ante los legisladores. [41] También se exige cada vez más a los CPO que tengan un conocimiento profundo de las prácticas y tecnologías operativas relacionadas con los datos de la organización, así como de la interacción entre las medidas de cumplimiento que abarcan los ámbitos de la privacidad y la seguridad. [42]
Un número cada vez mayor de personas que buscan carreras como CPO buscarán capacitación en múltiples disciplinas relacionadas con el campo. [43] Entre las credenciales más comunes vistas en el espacio se incluyen:
La complejidad del puesto y el desafío de encontrar personas con la combinación adecuada de habilidades, educación y experiencia se reflejan en los datos salariales. A partir de 2021, el puesto de CPO exige un salario medio de 200 000 dólares a nivel mundial y más de 212 000 dólares en los Estados Unidos. [51] [52] Según otras cuentas, los salarios medios en 2021 para puestos de oficina de privacidad en los EE. UU. oscilaron entre $ 114 638 y $ 126 000. [53] [54]
"Este es un tema de actualidad", dice Shara Prybutok, administradora de IAPP, que se formó recientemente mediante la fusión de la Asociación de Oficiales de Privacidad y la Asociación de Oficiales de Privacidad Corporativa.
La IAPP había llegado a 50.000 miembros en todo el mundo.
Apenas dos semanas antes de la fecha límite del RGPD, superamos los 40.000 miembros en más de 100 países de todo el mundo.
Construya relaciones sólidas y colaborativas con socios clave de seguridad de TI, recursos humanos, adquisiciones, asuntos legales, finanzas, seguridad global y las unidades de negocios.
Es esencial tener experiencia práctica con la tecnología y la capacidad de ver los productos y servicios de una empresa a través de la lente de un cliente consciente de la privacidad.
[E]l puesto debe, por diseño, tener una fuerte conexión con la oficina del asesor general de la firma.
...en Canadá, Estados Unidos y Europa, las empresas que comparten información personal con un proveedor deben garantizar que el proveedor cuente con procesos de seguridad adecuados para salvaguardar esa información.
La posición del responsable de privacidad ha evolucionado de tal manera que es necesario comprender más sobre las salvaguardias de seguridad.
Un CPO ayuda a desarrollar estrategias para respaldar la protección de la información de identificación personal contra este tipo de incidentes y puede informar completamente a la alta dirección sobre los problemas, tanto técnicos como comerciales, que podrían surgir de una infracción.
Y los directores de privacidad no sólo se ocupan de las amenazas externas. A veces, las infracciones ocurren cuando los empleados estatales divulgan inadvertidamente datos que contienen información personal, envían por correo electrónico un documento confidencial en un formato no seguro o no lo almacenan de forma segura.
"Hay gente realmente buena en este campo que no tiene un título en derecho [...] Pero la mayoría de las personas de alto rango tienden a tener un título en derecho".
"Si es una persona jurídica la que va a asistir a las reuniones y tratar de limitar la responsabilidad, no es totalmente inútil, pero no creo que vaya a hacer lo que realmente necesitamos hacer, que es comunicarnos con nuestra base de clientes y obtener nuestra base de consumidores educados...
Se necesita un conjunto de habilidades mucho más amplio que el derecho únicamente. Entonces, por ejemplo, no soy abogado y logré ser Comisionado [de Privacidad de Ontario] durante tres mandatos.
"Termino bailando entre tres campos diferentes: legal/político, marketing y tecnología". -Ray Everett-Church, CPO y vicepresidente de políticas públicas de AllAdvantage.com
La Sra. Egan, que también es directora de privacidad de Facebook, fue responsable del cabildeo y las relaciones gubernamentales como jefa de políticas durante los últimos dos años.
Según la Encuesta salarial de profesionales de la privacidad de 2019 de la IAPP, el salario medio de los CPO estadounidenses es de 212.000 dólares, en comparación con los 185.000 dólares del Reino Unido y los 142.000 dólares de la Unión Europea. El salario medio mundial de los CPO es de 200.000 dólares en 2019.