El Director de Privacidad (CPO) es un ejecutivo de alto nivel dentro de un número creciente de corporaciones globales, agencias públicas y otras organizaciones, responsable de administrar los riesgos relacionados con las leyes y regulaciones de privacidad de la información . [1] Las variaciones en el rol a menudo llevan títulos como "Oficial de privacidad", "Líder de privacidad" y "Asesor de privacidad". [2] Sin embargo, el rol de CPO difiere significativamente de otro rol con título similar, el Oficial de Protección de Datos (DPO), un rol obligatorio para algunas organizaciones bajo el GDPR , y los dos roles no deben confundirse ni combinarse. [3] [4]
El rol de CPO fue una respuesta a las crecientes "(c) inquietudes de los consumidores sobre el uso de información personal, incluidos datos médicos e información financiera junto con leyes y regulaciones". [5] En particular, la expansión de las Leyes de Privacidad de la Información y las nuevas regulaciones que rigen la recopilación y el uso de información personal, como el Reglamento General de Protección de Datos de la Unión Europea (GDPR), ha elevado el perfil y aumentado la frecuencia de tener un alto ejecutivo como líder de los esfuerzos de cumplimiento relacionados con la privacidad. [6] Además, algunas leyes y reglamentos (como la Regla de seguridad de HIPAA) requieren que ciertas organizaciones dentro de su ámbito regulatorio deban designar a un líder de cumplimiento de la privacidad. [7] [8]
En los Estados Unidos, el puesto de director de privacidad se estableció por primera vez en la empresa de marketing de bases de datos de consumidores Acxiom en 1991 con el nombramiento de Jennifer Barrett como CPO. [9] El rol operó en la oscuridad hasta agosto de 1999 cuando la firma de tecnología de publicidad en Internet AllAdvantage nombró al abogado de privacidad Ray Everett como la primera instancia del rol en la era de Internet. [10] Esto inició una tendencia que se extendió rápidamente entre las principales corporaciones, tanto en línea como fuera de línea. [11] [12] El papel del director de privacidad se consolidó en el mundo empresarial de EE. UU. En noviembre de 2000 con el nombramiento de Harriet Pearson como director de privacidad deIBM Corporation . Ese evento llevó a un analista influyente a declarar, "el director de privacidad es una tendencia cuyo momento ha llegado". [13]
En 2001, la organización de investigación sin fines de lucro Privacy and American Business informó que un número significativo de firmas de Fortune 500 habían nombrado ejecutivos senior con el título o función de director de privacidad. [14] [15] El crecimiento de la tendencia del Director de Privacidad se vio impulsado aún más por la aprobación por parte de la Unión Europea a fines de la década de 1990 de leyes y regulaciones de privacidad de datos que incluían un requisito para todas las corporaciones de tener un individuo designado para ser responsable del cumplimiento de la privacidad. . [6] [16]
En 2002, el puesto de Director de Privacidad y puestos similares de gestión relacionados con la privacidad estaban lo suficientemente extendidos como para apoyar la creación de sociedades profesionales y asociaciones comerciales para promover programas de capacitación y certificación. En 2002, la más grande de estas organizaciones, la Asociación de Oficiales de Privacidad y la Asociación de Oficiales de Privacidad Corporativos, se fusionaron para formar la Asociación Internacional de Oficiales de Privacidad, que luego pasó a llamarse Asociación Internacional de Profesionales de Privacidad (IAPP). [17] La IAPP lleva a cabo varias conferencias y seminarios de capacitación cada año en todo el mundo, hospedando a miembros de asociaciones de las principales corporaciones globales y agencias gubernamentales, con ejecutivos que buscan programas de certificación en prácticas de gestión de la privacidad. [6]En 2019, según se informa, tenía más de 50.000 miembros [18] en todo el mundo, lo que su liderazgo atribuyó a las respuestas de las empresas a nuevas leyes como el RGPD. [19]
Como líder de un programa de privacidad empresarial, un CPO tiene una serie de responsabilidades esenciales, [20] que incluyen:
Muchas de estas actividades y requisitos se incluyen en las descripciones de puestos de CPO. [21] [22]
El rol requiere fuertes relaciones de colaboración [23] con otras partes interesadas en una organización, incluidos ingenieros y gerentes de productos [24] (para impactos en la privacidad de productos y servicios), recursos humanos [25] (para impactos en la privacidad de los datos de los empleados), equipos legales [26] (para el seguimiento e interpretación de las leyes aplicables y las medidas de cumplimiento), gestión de adquisiciones y proveedores, [27] y equipos de tecnología de la información y seguridad de la información. [28]
A medida que las organizaciones identifican la necesidad de un CPO, surge un desafío frecuente con respecto a la ubicación del rol dentro de la estructura de la organización y el problema de la superposición entre roles similares de "nivel C", [29] más notablemente las muchas intersecciones entre los roles de el CPO y el Director de Seguridad de la Información (CISO). [30] [31]Si bien los CPO y CISO tienen cierta superposición de responsabilidades en torno a la protección de datos y la gobernanza de datos, en última instancia, la privacidad y la seguridad tienen diferentes roles que desempeñar. Por ejemplo, si bien los CPO y los CISO pueden estar preocupados por la prevención de violaciones de datos, la responsabilidad de administrar las medidas de prevención técnica tenderá a recaer en el CISO, mientras que las preocupaciones de un CPO se centrarán más ampliamente en si los datos que de otro modo se protegerían adecuadamente se están utilizando de alguna manera. que podría poner a la empresa en riesgo legal, regulatorio o de reputación. [32]
Otra área de posible superposición, y en ocasiones confusión, es la interacción entre un CPO y el papel cada vez más común del Oficial de Protección de Datos (DPO). El rol de DPO es específicamente requerido para ciertas organizaciones que se encuentran bajo la jurisdicción del RGPD de la UE . [33] Los DPO tienen roles, requisitos y expectativas muy específicos delineados en el Artículo 39 del RGPD y la guía regulatoria asociada, y estos incluyen un nivel de independencia requerida y separación organizacional que lo hacen muy diferente de un CPO. [4]
Si bien varios CPO provienen de antecedentes legales y tienen títulos de Juris Doctor (o equivalentes), el rol de CPO es multidisciplinario. El puesto requiere un ejecutivo que comprenda cómo la recopilación y el uso de datos, y los riesgos asociados, influyen en las operaciones comerciales diarias de una organización. [34] Los CPO también deben conocer una variedad de factores legales, regulatorios, contractuales y otros que impactan la estrategia de riesgo de privacidad de una organización. Por estas razones, muchos creen que tener antecedentes legales es un requisito para un CPO exitoso. [35] Otros creen que un trasfondo legal puede resultar en un enfoque demasiado estrecho [36] y los CPOs deberían tener más que un simple trasfondo legal. [37]
Entre otras calificaciones que se consideran valiosas en los CPO se encuentran fuertes habilidades de comunicación, particularmente en el área de relaciones públicas, porque el rol no solo es parcialmente responsable del desarrollo y ejecución de estrategias de divulgación pública en caso de violación de datos u otros relacionados con los datos. incidente de seguridad, el CPO a menudo funciona como la cara de relaciones públicas de la organización. [38] [39] [40] Los CPO también suelen ser llamados a actuar como cabilderos que representan los intereses de la organización ante los legisladores. [41]También se requiere cada vez más que los CPO tengan un conocimiento profundo de las prácticas y tecnologías operativas relacionadas con los datos de la organización, así como de la interacción entre las medidas de cumplimiento que abarcan los ámbitos de la privacidad y la seguridad. [42]
Un número cada vez mayor de personas que buscan carreras como CPO buscarán capacitación en múltiples disciplinas relacionadas con el campo. [43] Entre las credenciales más comunes que se ven en el espacio se encuentran:
La complejidad del rol y el desafío de encontrar personas con la combinación adecuada de habilidades, educación y experiencia se refleja en los datos salariales. A partir de 2021, el puesto de CPO tiene un salario medio de 200.000 dólares a nivel mundial y más de 212.000 dólares en los Estados Unidos. [51] [52] Según otras cuentas, los salarios medios en 2021 para los puestos de oficina de privacidad en los EE. UU. Oscilaron entre $ 114,638 y $ 126,000. [53] [54]
"Este es un tema oportuno", dice Shara Prybutok, administradora de IAPP, que se formó recientemente tras la fusión de la Asociación de Oficiales de Privacidad y la Asociación de Oficiales de Privacidad Corporativos.
La IAPP había llegado a 50.000 miembros en todo el mundo.
Solo dos semanas antes de la fecha límite del RGPD, superamos los 40.000 miembros en más de 100 países de todo el mundo.
Establezca relaciones sólidas y de colaboración con socios clave de seguridad de TI, recursos humanos, adquisiciones, legal, finanzas, seguridad global y las unidades de negocio.
La experiencia práctica con la tecnología y la capacidad de ver los productos y servicios de una empresa a través de la lente de un cliente consciente de la privacidad es esencial.
[E] l puesto debe, por diseño, tener una fuerte conexión con la oficina del abogado general de la firma.
... en Canadá, Estados Unidos y Europa, las empresas que comparten información personal con un proveedor deben asegurarse de que el proveedor cuente con los procesos de seguridad adecuados para salvaguardar esa información.
El puesto de oficial de privacidad ha evolucionado de tal manera que es necesario comprender más sobre las salvaguardias de seguridad.Mantenimiento de CS1: ubicación ( enlace )
Un CPO ayuda a desarrollar estrategias para respaldar cómo se protege la información de identificación personal de este tipo de incidentes y puede informar completamente al C-suite sobre los problemas, tanto técnicos como comerciales, que podrían surgir de una infracción.
Y los directores de privacidad no solo se ocupan de las amenazas externas.
A veces, las infracciones ocurren cuando los empleados estatales divulgan inadvertidamente datos que contienen información personal, envían por correo electrónico un documento confidencial en un formato no seguro o no lo almacenan de forma segura.
“Hay gente realmente buena en este campo que no tiene un título en derecho [...] Pero la mayoría de las personas de alto rango tienden a tener títulos en derecho”.
"Si se trata de una persona jurídica que va a asistir a las reuniones y tratar de limitar la responsabilidad, no es totalmente inútil, pero no creo que vaya a hacer lo que realmente tenemos que hacer, que es comunicarnos con nuestra base de clientes y obtener nuestra base de consumidores educada ...
Necesita un conjunto de habilidades mucho más amplio que el de la ley.
Entonces, por ejemplo, no soy abogado y logré ser Comisionado [de Privacidad de Ontario] durante tres mandatos.
"Termino bailando entre tres campos diferentes: legal / política, marketing y tecnología".
-Ray Everett-Church, CPO y vicepresidente de políticas públicas de AllAdvantage.com
La Sra. Egan, quien también es directora de privacidad de Facebook, fue responsable del cabildeo y las relaciones gubernamentales como jefa de política durante los últimos dos años.
Según la Encuesta salarial de profesionales de la privacidad de IAPP de 2019, el salario medio de los CPO estadounidenses es de $ 212,000 en comparación con $ 185,000 en el Reino Unido y $ 142,000 en la Unión Europea.
El salario medio global de los CPO es de 200.000 dólares en 2019.