Director de privacidad

El Director de Privacidad (CPO) es un ejecutivo de alto nivel dentro de un número creciente de corporaciones globales, agencias públicas y otras organizaciones, responsable de gestionar los riesgos relacionados con las leyes y regulaciones de privacidad de la información. ^[1] Las variaciones del rol a menudo llevan títulos como "Oficial de privacidad", "Líder de privacidad" y "Abogado de privacidad". ^[2] Sin embargo, la función de CPO difiere significativamente de otra función con un título similar, el Delegado de Protección de Datos (DPO), una función obligatoria para algunas organizaciones según el RGPD , y las dos funciones no deben confundirse ni combinarse. ^{[3] [4]}

El papel de CPO fue una respuesta a las crecientes "preocupaciones de los consumidores sobre el uso de información personal, incluidos datos médicos e información financiera junto con leyes y regulaciones". ^[5] En particular, la expansión de las Leyes de Privacidad de la Información y las nuevas regulaciones que rigen la recopilación y el uso de información personal, como el Reglamento General de Protección de Datos de la Unión Europea (GDPR), han elevado el perfil y aumentado la frecuencia de tener un alto ejecutivo. como líder de los esfuerzos de cumplimiento relacionados con la privacidad. ^[6] Además, algunas leyes y regulaciones (como la Regla de Seguridad HIPAA ) requieren que ciertas organizaciones dentro de su alcance regulatorio deben designar un líder de cumplimiento de privacidad. ^{[7] [8]}

Historia

En Estados Unidos, el puesto de director de privacidad se estableció por primera vez en la empresa de marketing de bases de datos para consumidores Acxiom en 1991 con el nombramiento de Jennifer Barrett como CPO. ^[9] El rol funcionó en la oscuridad hasta agosto de 1999, cuando la firma de tecnología de publicidad en Internet AllAdvantage nombró al abogado de privacidad Ray Everett para la primera instancia del rol en la era de Internet. ^[10] Esto inició una tendencia que se extendió rápidamente entre las principales corporaciones, tanto fuera de línea como en línea. ^{[11] [12]} El papel del Director de Privacidad se solidificó dentro del mundo corporativo de EE. UU. en noviembre de 2000 con el nombramiento de Harriet Pearson como Directora de Privacidad de IBM Corporation . Ese acontecimiento llevó a un analista influyente a declarar que "el director de privacidad es una tendencia cuyo momento ha llegado". ^[13]

En 2001, la organización de investigación sin fines de lucro Privacy and American Business informó que un número significativo de empresas Fortune 500 habían designado altos ejecutivos con el título o función de Director de Privacidad. ^{[14] [15]} El crecimiento de la tendencia del Director de Privacidad se vio impulsado aún más por la aprobación por parte de la Unión Europea a finales de la década de 1990 de leyes y regulaciones de privacidad de datos que incluían el requisito de que todas las corporaciones tuvieran una persona designada para ser responsable del cumplimiento de la privacidad. . ^{[6] [16]}

En 2002, el puesto de Director de Privacidad y puestos similares de gestión relacionados con la privacidad estaban lo suficientemente extendidos como para apoyar la creación de sociedades profesionales y asociaciones comerciales para promover programas de capacitación y certificación. En 2002, la mayor de estas organizaciones, la Asociación de Oficiales de Privacidad y la Asociación de Oficiales de Privacidad Corporativa, se fusionaron para formar la Asociación Internacional de Oficiales de Privacidad, que más tarde pasó a llamarse Asociación Internacional de Profesionales de la Privacidad (IAPP). ^[17] La ​​IAPP celebra varias conferencias y seminarios de capacitación cada año en todo el mundo, recibiendo a miembros de asociaciones de importantes corporaciones globales y agencias gubernamentales, y ejecutivos que buscan programas de certificación en prácticas de gestión de la privacidad. ^[6] En 2019, supuestamente tenía más de 50.000 miembros ^[18] en todo el mundo, lo que su liderazgo atribuyó a las respuestas de las empresas a nuevas leyes como el GDPR. ^[19]

Responsabilidades y deberes

Como líder de un programa de privacidad corporativo, un CPO tiene una serie de responsabilidades esenciales, ^[20] que incluyen:

• Gestionar las políticas, procedimientos y gobierno del dato de la empresa.
• Impulsar la sensibilización y la formación relacionadas con la privacidad entre los empleados.
• Liderar la respuesta a incidentes, incluida la preparación para la violación de datos.
• Comunicar objetivos y valores de privacidad tanto interna como externamente.
• Diseño de controles para gestionar el cumplimiento de la privacidad
• Evaluación de riesgos relacionados con la privacidad que surgen de productos y servicios existentes
• Realizar evaluaciones de impacto en la privacidad para identificar riesgos en actividades comerciales nuevas o modificadas.
• Monitorear la efectividad de las medidas de cumplimiento y mitigación de riesgos relacionados con la privacidad

Muchas de estas actividades y requisitos están incluidos en las descripciones de trabajo de CPO. ^{[21] [22]}

El rol requiere sólidas relaciones de colaboración ^[23] con otras partes interesadas en una organización, incluidos ingenieros y gerentes de productos ^[24] (para los impactos en la privacidad de los productos y servicios), recursos humanos ^[25] (para los impactos en la privacidad de los datos de los empleados), equipos legales. ^[26] (para el seguimiento y la interpretación de las leyes aplicables y las medidas de cumplimiento), gestión de adquisiciones y proveedores, ^[27] y equipos de tecnología de la información y seguridad de la información . ^[28]

Interacciones con otros roles superiores

A medida que las organizaciones identifican la necesidad de un CPO, surge un desafío frecuente con respecto a la ubicación del rol dentro de la estructura de la organización y la cuestión de la superposición entre roles similares de "nivel C", ^[29] en particular las muchas intersecciones entre los roles de el CPO y el Director de Seguridad de la Información (CISO). ^{[30] [31]} Si bien los CPO y CISO tienen cierta superposición en las responsabilidades en torno a la protección y la gobernanza de datos, en última instancia, la privacidad y la seguridad tienen diferentes roles que desempeñar. Por ejemplo, si bien tanto los CPO como los CISO pueden estar preocupados por la prevención de violaciones de datos, la responsabilidad de gestionar las medidas técnicas de prevención tenderá a recaer en el CISO, mientras que las preocupaciones de un CPO se centrarán más ampliamente en si los datos que de otro modo estarían protegidos adecuadamente se están utilizando de manera que podrían poner a la empresa en riesgo legal, regulatorio o reputacional. ^[32]

Otra área de posible superposición, y a veces de confusión, es la interacción entre un CPO y la función cada vez más común de Delegado de Protección de Datos (DPO). La función de DPO se requiere específicamente para ciertas organizaciones que están bajo la jurisdicción del RGPD de la UE . ^[33] Los DPO tienen funciones, requisitos y expectativas muy específicos delineados en el artículo 39 del RGPD y las directrices regulatorias asociadas, y estos incluyen un nivel de independencia requerida y separación organizacional que los hace muy diferentes de un CPO. ^[4]

Calificaciones y antecedentes

Si bien varios CPO tienen formación jurídica y tienen títulos de Juris Doctor (o equivalente), la función del CPO es multidisciplinaria. El puesto requiere un ejecutivo que comprenda cómo la recopilación y el uso de datos, y los riesgos asociados, influyen en las operaciones comerciales diarias de una organización. ^[34] Los CPO también deben ser conscientes de una variedad de factores legales, regulatorios, contractuales y de otro tipo que impactan la estrategia de riesgo de privacidad de una organización. Por estas razones, muchos creen que tener experiencia legal es un requisito para un CPO exitoso. ^[35] Otros creen que una formación jurídica puede dar lugar a un enfoque demasiado limitado, ^[36] y los CPO deberían tener algo más que una formación jurídica. ^[37]

Entre otras calificaciones que se consideran valiosas en los CPO se encuentran fuertes habilidades de comunicación, particularmente en el área de relaciones públicas. Esto se debe a que el rol es parcialmente responsable del desarrollo y ejecución de estrategias de divulgación pública en caso de violación de datos u otro incidente de seguridad relacionado con los datos, y el CPO a menudo funciona como la cara de relaciones públicas de la organización. ^{[38] [39] [40]} Los CPO también suelen ser llamados a funcionar como cabilderos que representan los intereses de la organización ante los legisladores. ^[41] También se exige cada vez más a los CPO que tengan un conocimiento profundo de las prácticas y tecnologías operativas relacionadas con los datos de la organización, así como de la interacción entre las medidas de cumplimiento que abarcan los ámbitos de la privacidad y la seguridad. ^[42]

Certificado Profesional

Un número cada vez mayor de personas que buscan carreras como CPO buscarán capacitación en múltiples disciplinas relacionadas con el campo. ^[43] Entre las credenciales más comunes vistas en el espacio se incluyen:

• Profesional certificado en privacidad de la información (CIPP) con especializaciones regionales como EE. UU., Canadá, Europa y Asia ^{[44] [45]}
• Gerente certificado de privacidad de la información (CIPM) ^{[46] [45]}
• Tecnólogo certificado en privacidad de la información (CIPT) ^{[47] [45]}
• Certificado en Privacidad y Seguridad de la Atención Médica (CHPS) ^[48]
• Certificado en Cumplimiento de la Privacidad de la Atención Médica (CHPC) ^[49]
• Profesional certificado en seguridad de sistemas de información (CISSP) ^[50]

Salario

La complejidad del puesto y el desafío de encontrar personas con la combinación adecuada de habilidades, educación y experiencia se reflejan en los datos salariales. A partir de 2021, el puesto de CPO exige un salario medio de 200 000 dólares a nivel mundial y más de 212 000 dólares en los Estados Unidos. ^{[51] [52]} Según otras cuentas, los salarios medios en 2021 para puestos de oficina de privacidad en los EE. UU. oscilaron entre $ 114 638 y $ 126 000. ^{[53] [54]}

Ver también

• Director de Privacidad, Departamento de Seguridad Nacional
• Director de Privacidad - Departamento de Educación de EE. UU.
• Director de Privacidad y Libertades Civiles - Departamento de Justicia de EE. UU.
• Oficina de Privacidad - Departamento de Estado de EE. UU.
• Oficina de Privacidad del Condado - Condado de Santa Clara California (EE.UU.)
• Director de Privacidad - Oficina de Protección Financiera del Consumidor de EE. UU.
• Director de Privacidad del Gobierno - Gobierno de Nueva Zelanda
• Oficial de privacidad del campus

Referencias

1. "La nueva terminología de privacidad". Los New York Times . 10 de abril de 2019 . Consultado el 23 de mayo de 2019 .
2. "Informe completo: Evaluación comparativa de la gestión de la privacidad y las inversiones de Fortune 1000". www.iapp.org . Consultado el 23 de mayo de 2019 .
3. Coseglia, Jared (3 de enero de 2019). "Café con profesionales de la privacidad: DPO frente a CPO. Abogado frente a técnico. Las dualidades de la privacidad". Revista CPO . Privacidad de datos Asia Pte. Ltd. Ltd. ​Consultado el 26 de mayo de 2019 .
4. "Es posible que los directores de privacidad no sean elegibles para desempeñarse como funcionarios de protección de datos según el RGPD, dice un experto". Out-Law.com . Pinsent Masones LLP. 7 de septiembre de 2017 . Consultado el 26 de mayo de 2019 .
5. "Director de Privacidad | DefineFinance". www.definefinance.com . Consultado el 31 de octubre de 2015 .
6. Tittel, Ed (6 de junio de 2018). "Preparándose para la certificación GDPR: sólo unas pocas buenas opciones". Empresa Hewlett Packard . LP de desarrollo empresarial de Hewlett Packard . Consultado el 24 de agosto de 2019 .
7. "Resumen de la regla de seguridad HIPAA". Departamento de Salud y Servicios Humanos de EE. UU. (HHS) . Consultado el 25 de mayo de 2019 .
8. "Responsabilidades del responsable de privacidad de HIPAA". Grupo de Cumplimiento . Consultado el 24 de mayo de 2019 .
9. "Acerca de la IAPP - Jennifer Barrett Glasgow, CIPP/US". IAPP.org . Consultado el 23 de mayo de 2019 .
10. Dan Tynan (23 de noviembre de 2012). "Preguntas y respuestas: Ray Everett, pionero de la privacidad". Mundo de TI . IDG . Consultado el 23 de mayo de 2019 .
11. Justine Brown (30 de mayo de 2014). "Ascenso del director de privacidad". Tecnología gubernamental . Consultado el 23 de mayo de 2019 .
12. Ulfelder, Steve (15 de enero de 2001). "¡Oh, no, otra O no!". Revista CIO . Archivado desde el original el 6 de diciembre de 2006 . Consultado el 18 de diciembre de 2006 .
13. "IBM nombra director de privacidad". CNET.com . 2 de enero de 2002 . Consultado el 23 de mayo de 2019 .
14. Sandberg, Jared (16 de julio de 2001). "El Oficial de Privacidad". El periodico de Wall Street . Dow Jones & Company Inc. Consultado el 26 de agosto de 2019 .
15. Schwartz, John (12 de febrero de 2001). "Primera línea de defensa; los directores de privacidad forjan roles corporativos en evolución". Los New York Times . Consultado el 26 de agosto de 2019 .
16. "Asociación Internacional de Profesionales de la Privacidad: Guía profesional y de certificación". Noticias de negocios diarias. 15 de junio de 2018 . Consultado el 10 de mayo de 2019 .
17. Maselli, Jennifer (25 de agosto de 2003). "Privacy Group se centra en RFID". Diario RFID . Exposiciones esmeralda, LLC . Consultado el 18 de agosto de 2019 ."Este es un tema de actualidad", dice Shara Prybutok, administradora de IAPP, que se formó recientemente mediante la fusión de la Asociación de Oficiales de Privacidad y la Asociación de Oficiales de Privacidad Corporativa.
18. "50.000 miembros: un hito para la IAPP y la privacidad global". IAPP.org . Asociación Internacional de Profesionales de la Privacidad. 2 de mayo de 2019 . Consultado el 1 de octubre de 2019 . La IAPP había llegado a 50.000 miembros en todo el mundo.
19. Hughes, J. Trevor (25 de mayo de 2018). "Día 1 del RGPD: Reflexiones sobre lo que diablos acaba de pasar". IAPP.org . Asociación Internacional de Profesionales de la Privacidad . Consultado el 2 de junio de 2019 . Apenas dos semanas antes de la fecha límite del RGPD, superamos los 40.000 miembros en más de 100 países de todo el mundo.
20. Densmore, Russell, ed. (2019). Gestión del programa de privacidad (Segunda ed.). Asociación Internacional de Profesionales de la Privacidad. ISBN 978-1-948771-24-5.
21. "Muestra de descripción del puesto de oficial de privacidad (jefe)". Cuerpo de conocimientos de AHIMA . AHIMA . Consultado el 2 de junio de 2019 .
22. "Guía profesional del director de privacidad". Tecnología de Florida en línea . Instituto de Tecnología de Florida . Consultado el 2 de junio de 2019 .
23. "Director de privacidad". Ética.org . Iniciativa de Ética y Cumplimiento . Consultado el 2 de junio de 2019 . Construya relaciones sólidas y colaborativas con socios clave de seguridad de TI, recursos humanos, adquisiciones, asuntos legales, finanzas, seguridad global y las unidades de negocios.
24. Ross, Alexandra (29 de septiembre de 2014). "Las cinco cualidades principales de un gran director de privacidad (CPO)". TrustArc . Consultado el 2 de junio de 2019 . Es esencial tener experiencia práctica con la tecnología y la capacidad de ver los productos y servicios de una empresa a través de la lente de un cliente consciente de la privacidad.
25. O'Connor, Brian; Yates, Amy (1 de agosto de 2009). "Una revisión de los problemas actuales de privacidad de recursos humanos". IAPP.org . Asociación Internacional de Profesionales de la Privacidad . Consultado el 2 de junio de 2019 .
26. McCreary, Mark G. (9 de agosto de 2017). "Notas del director de privacidad de un bufete de abogados: CPO frente a CISO". Fox Rothschild . Consultado el 2 de junio de 2019 . [E]l puesto debe, por diseño, tener una fuerte conexión con la oficina del asesor general de la firma.
27. Merrick, Robert; Ryan, Suzanne (1 de abril de 2019). "Gobernanza de la privacidad de datos en la era del RGPD". Revista Gestión de Riesgos . LLANTAS . Consultado el 2 de junio de 2019 . ...en Canadá, Estados Unidos y Europa, las empresas que comparten información personal con un proveedor deben garantizar que el proveedor cuente con procesos de seguridad adecuados para salvaguardar esa información.
28. Bassett, Mike (febrero de 2015). "¿Entonces quieres ser responsable de privacidad?". Para el registro . vol. 21, núm. 2. Great Valley Publishing Co. Inc. p. 24 . Consultado el 2 de junio de 2019 . La posición del responsable de privacidad ha evolucionado de tal manera que es necesario comprender más sobre las salvaguardias de seguridad.
29. White, Sarah K. (31 de marzo de 2018). "Cinco razones por las que necesita contratar un director de privacidad (CPO)". Revista CIO . IDG Comunicaciones Inc. Consultado el 2 de junio de 2019 . Un CPO ayuda a desarrollar estrategias para respaldar la protección de la información de identificación personal contra este tipo de incidentes y puede informar completamente a la alta dirección sobre los problemas, tanto técnicos como comerciales, que podrían surgir de una infracción.
30. Davis, Jessica (17 de abril de 2019). "CPO y CISO: la evolución de las funciones de los profesionales de la privacidad y la seguridad". Seguridad TI en Salud . Xtelligent Healthcare Media, LLC . Consultado el 2 de junio de 2019 .
31. Gloeckle, Maggie; Royal, K (15 de noviembre de 2017). "CPO y CISO: la evolución de las funciones de los profesionales de la privacidad y la seguridad". ACCDocket.com . Asociación de Abogados Corporativos . Consultado el 2 de junio de 2019 .
32. Bergal, Jenni (21 de agosto de 2018). "Más estados designan 'directores de privacidad' para proteger los datos de las personas". Revista de Tecnología Gubernamental . e.República . Consultado el 2 de junio de 2019 . Y los directores de privacidad no sólo se ocupan de las amenazas externas. A veces, las infracciones ocurren cuando los empleados estatales divulgan inadvertidamente datos que contienen información personal, envían por correo electrónico un documento confidencial en un formato no seguro o no lo almacenan de forma segura.
33. "Delegados de protección de datos". ico.org.uk. ​Oficina del Comisionado de Información del Reino Unido . Consultado el 2 de junio de 2019 .
34. Lawton, Stephen (5 de abril de 2018). "Cómo contratar un director de privacidad". Revista SC . Haymarket Media Inc. Consultado el 2 de junio de 2019 .
35. Carson, Angelique (25 de agosto de 2015). "¿Un título en derecho llevaría su carrera en materia de privacidad al siguiente nivel?". IAPP.org . Asociación Internacional de Profesionales de la Privacidad . Consultado el 2 de junio de 2019 ."Hay gente realmente buena en este campo que no tiene un título en derecho [...] Pero la mayoría de las personas de alto rango tienden a tener un título en derecho".
36. Creamer, Matthew (25 de abril de 2011). "¿Su agencia necesita un director de privacidad?". Revista AdAge . Comunicaciones Crain . Consultado el 2 de junio de 2019 ."Si es una persona jurídica la que va a asistir a las reuniones y tratar de limitar la responsabilidad, no es totalmente inútil, pero no creo que vaya a hacer lo que realmente necesitamos hacer, que es comunicarnos con nuestra base de clientes y obtener nuestra base de consumidores educados...
37. Ng, Cindy (2 de junio de 2017). "Entrevista: Dra. Ann Cavoukian sobre privacidad por diseño". Varonis . Consultado el 2 de junio de 2019 . Se necesita un conjunto de habilidades mucho más amplio que el derecho únicamente. Entonces, por ejemplo, no soy abogado y logré ser Comisionado [de Privacidad de Ontario] durante tres mandatos.
38. Dan Tynan (23 de noviembre de 2012). "Preguntas y respuestas: Ray Everett, pionero de la privacidad". Mundo de TI . IDG . Consultado el 23 de mayo de 2019 .
39. Ulfelder, Steve (15 de enero de 2001). "¡Oh, no, otra O no!". Revista CIO . Archivado desde el original el 6 de diciembre de 2006 . Consultado el 18 de diciembre de 2006 ."Termino bailando entre tres campos diferentes: legal/político, marketing y tecnología". -Ray Everett-Church, CPO y vicepresidente de políticas públicas de AllAdvantage.com
40. Dieterle, EJ "Funciones futuras: ¿Debería ser una prioridad la contratación de un director de privacidad?". Sí, socios . Consultado el 2 de junio de 2019 .
41. Kang, Cecilia (24 de abril de 2018). "Facebook reemplaza al ejecutivo de lobby en medio del escrutinio regulatorio". Los New York Times . Consultado el 2 de junio de 2019 . La Sra. Egan, que también es directora de privacidad de Facebook, fue responsable del cabildeo y las relaciones gubernamentales como jefa de políticas durante los últimos dos años.
42. Simberkoff, Dana (11 de diciembre de 2018). "¿Deberían fusionarse las funciones del director de privacidad y del director de seguridad de la información?". Cable CMS . Más simple Media Group Inc. Consultado el 2 de junio de 2019 .
43. Kim, Lee (11 de marzo de 2019). "Mi viaje para obtener dos certificaciones profesionales, CIPP y CISSP". ÉL . Consultado el 2 de junio de 2019 .
44. "Profesional certificado en privacidad de la información". IAPP.org . Consultado el 2 de junio de 2019 .
45. "¿Es la certificación IAPP una consideración para los profesionales de TI en salud?". Salud de la USF en línea . Universidad del Sur de Florida . Consultado el 24 de agosto de 2019 .
46. "Gestor de privacidad de la información certificado". IAPP.org . Consultado el 2 de junio de 2019 .
47. "Tecnólogo certificado en privacidad de la información". IAPP.org . Consultado el 2 de junio de 2019 .
48. "Certificado en Privacidad y Seguridad Sanitaria". AHIMA . Consultado el 2 de junio de 2019 .
49. "Certificado en cumplimiento de privacidad sanitaria". Junta de Certificación de Cumplimiento . Consultado el 2 de junio de 2019 .
50. "Profesional certificado en seguridad de sistemas de información". ISC2.org . Consultado el 31 de mayo de 2020 .
51. "Encuesta salarial de profesionales de privacidad de IAPP 2021". IAPP.org . Consultado el 18 de junio de 2021 .
52. Spiezio, Caroline (7 de mayo de 2019). "A los directores de privacidad de EE. UU. se les paga más que a sus pares de la UE y tienen vínculos más estrechos con el ámbito legal". Ley.com . ALM Media Propiedades LLC . Consultado el 24 de agosto de 2019 . Según la Encuesta salarial de profesionales de la privacidad de 2019 de la IAPP, el salario medio de los CPO estadounidenses es de 212.000 dólares, en comparación con los 185.000 dólares del Reino Unido y los 142.000 dólares de la Unión Europea. El salario medio mundial de los CPO es de 200.000 dólares en 2019.
53. "Salario del oficial de privacidad". ziprecruiter.com . Consultado el 18 de junio de 2021 .
54. "La pandemia no ha frenado el aumento de los salarios de la privacidad, pero todavía queda trabajo por hacer" . scmagazine.com . 29 de junio de 2021 . Consultado el 1 de julio de 2021 .