domingo, 14 de julio de 2013

Incorporando la ventana de AREM. Repensando la gestión de riesgos empresariales



Introducción
Los fundamentos de la administración de riesgos tradicional poco a poco se han venido debilitando frente a la dinámica, incertidumbre y ambigüedad de los entorno de negocio. Lo que antes era medianamente era viable anticipar, ahora es prácticamente imposible establecer un análisis certero que permita ofrecer orientación y claridad sobre qué hacer frente a una situación particular.

Esta condición se confirma en las lecciones aprendidas expuestas en el libro “Surviving and Thriving in uncertainty. Creating the risk intelligent enterprise”, cuyos autores Frederick Funston y Stephen Wagner, consultores expertos y de amplia experiencia en el mundo empresarial, establecen como fuente para proponer un cambio en la forma de enfrentar el ejercicio de la gestión de riesgos empresariales.

Los autores declaran tres elementos fundamentales de la gestión de riesgos actual como punto de partida para desarrollar su vista de riesgos inteligentes empresariales, propuesta que desarrollan a lo largo de su publicación. Los elementos expuestos son: (FUNSTON y WAGNER 2010, pág.23)
  • El manejo convencional de riesgos, como cualquier forma de pensamiento tradicional, se basa en una serie de supuestos y la comprensión aceptada de cómo funciona el mundo.
  • Los individuos y las organizaciones tienden a rechazar automáticamente las nociones que parecen contradecir sus supuestos y su comprensión de cómo funciona el mundo.
  • Existe un proceso predecible y natural por el cual las personas aceptan nuevos supuestos y aceptan una nueva comprensión de cómo funciona mundo: primero el rechazo de la idea, luego su consideración, y finalmente, la aceptación.

Con esto en mente, es claro que motivar una transformación de la forma como entendemos los riesgos, pasará por un filtro conceptual y mental que deberemos superar, para poder incorporar las nuevas realidades emergentes, que posiblemente no veamos ni entendamos, pero que con seguridad serán tema de un futuro próximo, que se empieza visualizar en medio de los patrones de actividades del mundo actual.

Mientras la gestión de riesgos convencional busca crear vistas especializadas de las circunstancias analizadas que presentan una vista segmentada de la realidad empresarial, los autores, definen una forma integrada de los análisis realizados para lograr superioridad en las decisiones y éxito competitivo, lo que denominan riesgos inteligentes.

Los autores acuñan la expresión riesgos inteligentes, considerando que “la inteligencia es la habilidad para anticipar, comprender, actuar y aprender de la experiencia. De igual forma que una Unidad de Inteligencia es la responsables de recolectar e interpretar la información para producir “luces claves” para los que toman decisiones. Por tanto, la inteligencia son dos cosas al tiempo: un proceso y una capacidad”. (Idem pág.47)

En este contexto, participar del ejercicio de riesgos inteligentes demanda: (idem, pág.46-47)
  • Comprender que las discusiones sobre riesgos y valor son inseparables de la gestión empresarial.
  • Asumir que las turbulencias son inevitables y por tanto, enfatiza en la prevención y preparación corporativa.
  • Considerar las interacciones entre los múltiples riesgos más que focalizarse en uno en particular o un evento y revisar los impactos que pueden resultar de las múltiples amenazas.
  • Crear un lenguaje común y un conjunto de métricas para el valor y los riesgos, así como la cultura en la cual las personas se responsabilizan por éstos en cada decisión y actividad.
  • Motivar el asumir riesgos para capitalizar oportunidades y crear valor para la empresa, en lugar de tener una vista eminentemente de evitar los riesgos por miedo al fracaso.

Esta nueva vista del ejercicio de gestión de riesgos empresariales, debe motivar la generación de ideas creativas y consideración de oportunidades, más que “miedos corporativos” para atravesar las inestabilidades de los mercados, que en cada momento retan los modelos conocidos de los analistas y sus más acertados consejos.

Incorporando la Ventana de AREM
La ventana de AREM, surge como una forma diferente de motivar una reflexión sobre el escenario de análisis que se seleccione, con el fin de movilizar a las empresas fuera de su zona de confort frente a los riesgos, para sumergirla más allá de las condiciones actuales conocidas de su entorno y motivar una nueva vista de la empresa, tanto en su sector de negocio, como más allá de aquello que ella conoce y su entorno le manifiesta.

Como quiera que para adelantar este ejercicio renovado de riesgos, se hace necesario contar con personas especialistas en el tema, así como de personas fuera del dominio de estudio, de los ejecutivos de negocio y de personal externo a la empresa (si es posible), es importante documentar bien la sesión de trabajo, trayendo a la mesa de trabajo, aquellas situaciones que actualmente se advierten fruto del ejercicio tradicional de riesgos, que es donde iniciará la revisión de la problemática, para ir avanzando a los siguientes cuadrantes de la ventana.

Es importante anotar, que los profesionales que participen del ejercicio de la ventana de AREM, cuyo objetivo es ampliar la capacidad de conocimiento del entorno y facilitar una toma de decisiones informada sobre las oportunidades y retos del tema analizado, deben tener la seguridad psicológica y real que sus comentarios serán tomados como expresiones de cómo “conectar los puntos” para ver más allá de los hechos y eventos, y no como forma de atacar una forma de pensar particular, que genere contradictores que impidan que se movilicen las ideas y propuestas que deben salir de la sesión.


Conocido por la empresa
Desconocido por la empresa
Conocido por el entorno


AMENAZAS Y RIESGOS CONOCIDOS


AMENAZAS Y RIESGOS LATENTES
Desconocido por el entorno


AMENAZAS Y RIESGOS FOCALIZADOS


AMENAZAS Y RIESGOS EMERGENTES
La ventana de AREM (Tomado de: CANO 2013)

La ventana de AREM debe motivar a los participantes a “pensar fuera de la caja” y fortalecer las lecturas conexas de los múltiples riesgos identificados, para comenzar a mover las reflexiones desde el cuadrante de lo conocido, hacia aquello que es latente, es decir, aquello que no es evidente en el momento, pero que existen condiciones y señales en el ambiente que establecen patrones de actividad, que advierten de una situación que aparece como irrelevante, pero que existen suficientes elementos para tenerla en consideración en los análisis.

Aquellos participantes que han identificado estas nuevas aproximaciones del entorno, deben comentar y documentarlas de tal forma que describan con la mayor claridad su vista y establecer, un proceso de revisión y validación con un equipo de trabajo especializado para establecer allí sus análisis detallados y luego traerlos a la mesa, una vez se hayan estudiado.

De otra parte, los especialistas de negocio y analistas de mercados, hacen lo propio frente a los riesgos focalizados, para lo cual reconocen la nuevas tendencias de la industria relacionadas con la temática revisada, así como elementos a saber regulaciones, nuevas prácticas, estándares, movimientos políticos, sociales o empresariales, que son percibidos por la competencia en su sector o que se manifiestan como temáticas relevantes dentro de los círculos de influencia de la industria.

La consulta de los principales proveedores de la industria y analistas externos de su sector, así como estudios sectoriales son elementos relevantes para establecer aquellos elementos que son emergentes en su área de negocio, para mantenerse competitivos y con ventaja sobresaliente, siempre y cuando pueda anticiparse a las mismas o lo que es mejor, que sean sus acciones y actividades las que crean las nuevas condiciones de su entorno de negocio.

Luego de revisados y analizados los resultados en cada uno de los cuadrantes, queda expuesta la síntesis de los riesgos identificados y sus planes de tratamiento para avanzar y anticiparse a los impactos que éstos puedan tener en los planes de la empresa, en el mediano y largo plazo. Sin embargo, aún no está completo el ejercicio faltando el momento para cuestionar nuestro entendimiento actual de los riesgos y el marco conceptual en el cual han sido concebidos para evidenciar las discontinuidades y saltos inesperados de las tendencias actuales, para lo cual se hace necesario abrir el espacio a las posibilidades y dejar de pensar en las probabilidades, ampliamente conocidas para los ejercicios tradicionales de riesgos.

En el sector de amenazas y riesgos emergentes, se requiere contar con habilidades particulares de aquellos que son capaces de: (FUNSTON y WAGNER 2010, pág.74)
  • Ver los cambios que vienen
  • Comprender las implicaciones de dichos cambios
  • Anticipar la trayectoria de los cambios

Es decir profesionales que están dedicados a vigilar y correlacionar eventos inesperados, variables asimétricas del entorno y comportamientos socio-económicos inadvertidos, tecnologías disruptivas, así como cambios en las preferencias de los diferentes grupos de interés, que permitan animar nuevas reflexiones sobre las implicaciones que se pueden generar para la organización y sus planes de mediano y largo plazo.

Las ideas que se presenten en este sector de la ventana serán el trasfondo del conocimiento de la realidad empresarial, un lugar donde buscar nuevas forma de crear valor en la empresas, es decir, para diseñar nuevos activos no documentados, así como impactos aún no dimensionados, que para algunos podría denominarse un posible “cisne negro” que pueda tener implicaciones bien positivas o devastadoras para la organización.

Terminado el recorrido por cada uno de los segmentos de la ventana de AREM, se establecen los riesgos y amenazas emergentes más relevantes para los asistentes del ejercicio, los cuales serán documentados por cada uno de los grupos de trabajo establecidos para cada cuadrante, quienes ahora deberán desarrollar las estrategias de tratamiento de los mismos y entregar una vista consolidada de cada segmento de la ventana, para que la empresa cuente con acciones concretas y análisis claves para documentar sus decisiones.

Ajuste y revisión del ejercicio realizado
Considerando la evolución de un entorno volátil, incierto, complejo y ambiguo, es clave poder revisar los resultados del ejercicio realizado con la ventana de AREM, al menos cada seis (6) meses (los que puedan hacerlo cada trimestre, sería lo ideal) con el fin de actualizar sus reflexiones para lo cual se siguen los siguientes postulados.
  • 1.      Los riesgos y amenazas latentes ahora hacen parte de los riesgos y amenazas conocidas. Esto es, se motiva a la organización a incorporarlos dentro de sus revisiones de riesgos conocidos para que se obligue a contar con planes de tratamiento que anticipen sus efectos y así la organización pueda movilizarse aún las situaciones sobrevinientes puedan impactar la operación de la empresa.
  • 2.      Los riesgos y amenazas emergentes mejor estudiados y documentados, pasan al sector de riesgos y amenazas latentes, con el fin de motivar una revisión con analistas de negocio y grupos de interés empresariales, para evaluar la pertinencia de los mismos en el contexto de los planes de mediano y largo plazo de la organización. Mientras no se tengan claros los análisis de los riesgos latentes, permanecen en observación hasta que se tenga mayor claridad de forma de tratamiento.
  • 3.      Los riesgos y amenazas focalizados deben nutrirse de los riesgos latentes y los emergentes para identificar “puntos ciegos de la industria”, “nuevas aplicaciones de conceptos en la industria”, “movimientos sociales inesperados”, “noticias relevantes que afecten la posición estratégica de la empresa” y “cambios políticos notables que generen nuevos cuerpos normativos” como aspectos básicos de sus revisiones.
  • 4.  Los riesgos y amenazas emergentes deben estar animados de al menos tres capacidades y procesos claves: (FUNSTON y WAGNER 2010, pág.83)
a.  Detección de señales para percibir potenciales cambios relevantes. Una habilidad que combine la exploración del entorno y sensibilidad para escuchar, percibir, observar e interpretar las señales, bien como aspectos funcionales o de negocio que quiebren el entendimiento actual de lo que conocemos.
b.   Interpretación de las señales que permitan identificar tanto amenazas como oportunidades. Es decir, poder crear un radar empresarial que no solo vea los puntos en el plano, sino que pueda identificar con otras herramientas los movimientos de los puntos, sus trayectorias y posibles motivaciones de los mismos.
c.  Comunicación de las señales identificadas e interpretadas que permitan abrir espacios en las conversaciones empresariales para motivar reflexiones y análisis pertinentes y propios de la tolerancia al riesgo corporativa, los mecanismos de reporte ejecutivo, los criterios de valoración de riesgos y del lenguaje actual de la empresa frente a sus ventajas competitivas.
  • 5.      La ventana de AREM no debe sobrecargar de información las revisiones de los riesgos empresariales y debe evitar generar “angustia por el futuro”, sino motivar una reflexión práctica y aplicada de la realidad empresarial, sin subestimar las tendencias que el ejercicio identifique como claves y relevantes para la soportar una toma de decisiones consciente e informada.
Siguiendo estos postulados la ventana de AREM generará una nueva capacidad de la empresa para crear un análisis de escenarios que combine lo mejor de la creatividad de sus analistas, así como la claridad y realidad de los ejecutivos frente a los retos de la empresa, que permita repensar las metas empresariales más allá de una eminente vista de mitigación de riesgos, para capitalizar las oportunidades que se advierten en la nube de amenazas y riesgos emergentes.

Reflexiones finales
Bien sabemos que podemos planear nuestra reacción frente a la inevitabilidad de la falla, pero no para aquello que es impredecible o inesperado; en este sentido las decisiones sobre los riesgos empresariales deben estar animadas por el conocimiento de aquellos aspectos que puedan afectar las operaciones y actividades que afecten particularmente la generación de los activos que posicionan a la corporación, como quiera que éstos últimos, hacen viable la estrategia y motivan la competencia en su sector de negocio.

En este sentido, podemos advertir que nuestros modelos mentales actuales generan una visión limitada de los riesgos y amenazas emergentes que afectan la capacidad empresarial para reconocer patrones emergentes que pueden perturbar bien de manera positiva o negativa la dinámica empresarial de una organización. Habida cuenta de lo anterior, se hace necesario contradecir los supuestos corporativos y la forma como ésta entiende el mundo, para sacarla de la zona de confort donde se encuentra e indicarle que es posible tener una forma diferente de entender tanto la industria como su contexto de negocio.

Así las cosas, la ventana de AREM establece una nueva forma de canalizar las reflexiones y discusiones de los riesgos empresariales fuera de la zona conocida y establecer una serie de ejercicios de análisis que amplíen la capacidad de la organización para reconocer su entorno, así como de fortalecer su proceso para consolidar la toma de decisiones informadas, que permitan a la empresa andar sobre territorios desconocidos, con una vista proactiva sobre las oportunidades y amenazas aumentada y proactiva que le proporcione margen de acción frente a las eventualidades.

Si bien la gestión de los riesgos pretende aumentar las posibilidades de supervivencia y éxito de las organizaciones, aún bajo situaciones extremas y de incertidumbre, ésta no lo podría lograr sino mantiene en su radar aquellos aspectos que no permiten lograr los objetivos, alcanzar el desempeño esperado y conquistar los resultados requeridos. En este contexto, la ventana de AREM, es una estrategia complementaria para motivar el cumplimiento de los objetivos estratégicos y tácticos de la organización sabiendo que existen formas para hacer que las cosas pasen.

Los riesgos y amenazas empresariales no deben ser fuente de “temores” frente a las exigencias cambiantes del entorno de negocio, sino la motivación para crear una plataforma de confianza inteligente que movilice una cultura institucional que cuestione la “falsa sensación de seguridad” como insumo permanente para cuestionar los estereotipos corporativos de las empresas exitosas y descubrir el arte de las organizaciones que aprenden, es decir:

Aquellas “que no temen equivocarse, saben invertir en los errores de las personas, y no encuentran en éstos formas de castigar y someter, sino insumos para afinar lo que en el futuro próximo será la nueva forma de desequilibrar su entorno. Aprender supone, declarar que no sabemos, pensar en las posibilidades y no en las probabilidades, pues sólo en el campo de la sabiduría del error, está la espiral de conocimiento disponible para crear una ventaja competitiva sostenible.” (CANO 2013b)

Referencias
FUNSTON, F. y WAGNER, S.  (2010) Surviving and Thriving in uncertainty. Creating the risk intelligent Enterprise. John Wiley and Sons.
CANO, J. (2013) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Blog IT-Insecurity. Disponible en: http://insecurityit.blogspot.com/2013/06/la-ventana-de-arem-una-herramienta.html (Consultado: 14-07-2013)
CANO, J. (2013b) El riesgo de aprender. Blog Frase de la Semana. Disponible en: http://frasedelaseman.blogspot.com/2013/07/el-riesgo-de-aprender.html (Consultado: 14-07-2013)

domingo, 7 de julio de 2013

Oficial de Privacidad Empresarial y la inseguridad de la información personal



Con el Decreto 1377 de 2013, el gobierno colombiano reglamenta de manera parcial la Ley 1581 de 2012. Dicha pieza jurídica establece entre otras cosas, la creación de un área al interior de las organizaciones para la adopción e implementación de políticas consistentes con la ley previamente mencionada.

Según se advierte en el artículo 27 del decreto previamente comentado se tiene:
“Artículo 27. Políticas internas efectivas. (…) Dichas políticas deberán garantizar: 
  • La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este Decreto. (…)”
En este sentido, la norma establece que las empresa deben contar con un nuevo oficial de cumplimiento, es decir un profesional de alto nivel, que busque desarrollar una cultura alrededor de la protección de los datos personales, se anticipe a los nuevos riesgos emergentes sobre los datos personales y asegure (verifique) la operación y prácticas respecto de los dichos datos en cada uno de los procesos de la organización.

Este nuevo perfil organizacional, representará a la organización frente a los requisitos del ente regulador, responderá de manera directa y concreta frente a los incumplimientos organizacionales en esta temática, además de estar expuesto a las sanciones de tipo personal que se establece en la Ley 1581 de 2012 en su artículo 23. En pocas palabras, es quien va a “ponerle la cara al regulador” ante cualquier solicitud o requerimiento sobre el tratamiento de los datos personales.

Si una organización no cuenta con este tipo de perfil, formalmente establecido dentro de su estructura organizacional o asociado con una descripción de cargo particular, la Autoridad de Datos Personales irá directamente a validar sus requerimientos y preguntas  con el representante legal de la empresa, quien deberá estar informado sobre el estado de la práctica de protección de datos en cada una de las bases de datos declaradas ante el supervisor.

Algunas de las preguntas naturales frente a esta nueva exigencia normativa, es ¿dónde debe estar ubicado en la estructura organizacional? ¿Qué profesión debe tener? ¿Qué tipo de estudios debe acreditar? ¿debe exhibir alguna certificación particular? ¿Cuáles son sus responsabilidades básicas? ¿A qué riesgos se expone este tipo de cargos? ¿Qué dice la práctica internacional?

La Asociación Internacional de Profesionales de la Privacidad, en inglés International Association of Privacy Professional – IAPP, en su último estudio internacional publicado en 2012, muestra que el cargo de Oficial de Privacidad (en inglés Chief Privacy Officer – CPO), se ubica en su orden:
  • 1.      Área legal
  • 2.      Área de cumplimiento
  • 3.      Área de seguridad de la información
  • 4.      Área de privacidad de datos
  • 5.      Área de gestión de riesgos
Como podemos ver, la figura del Oficial de Privacidad privilegia el contexto jurídico y no es para menos, toda vez que el procesamiento de una solicitud particularmente de eliminación de los datos de una base de datos, exige un análisis pormenorizado de la persona y sus vínculos contractuales, la pertinencia de la eliminación, el respeto del orden constitucional frente al derecho de hábeas data, que en últimas se traduce casi en una “providencia” del área de “Protección de Datos” donde se establecen las justificaciones y condiciones en las cuales es posible o no cumplir con el ejercicio del derecho por parte de los ciudadanos.

Sin perjuicio de lo anterior, no necesariamente la figura legal será la mandante en este cargo, habida cuenta que otras disciplinas complementarias podrán sintonizar el discurso del Oficial de Privacidad, desde la realidad empresarial, pasando por el debido análisis jurídico, hasta la operacionalización de las prácticas que son requeridas para establecer un ejercicio adecuado y ajustado a la Constitución y la ley del derecho de hábeas data.

Así las cosas, en una revisión de la práctica internacional en países europeos y algunos americanos, los encargados de la protección de datos personales o de la privacidad en general, son profesionales de las ciencias jurídicas o profesionales de otras disciplinas con preparación en ciencias jurídicas bien propias del derecho sancionador o constitucional que comprendiendo la esencia del derecho de la autodeterminación informática, son capaces de conciliar la materia leal propia del cargo, con las condiciones y connotaciones prácticas que requiere la organización para darle vida a la cultura de protección de la información personal y atender al regulador frente a su función de vigilancia y control.

Siguiendo la práctica europea, el Delegado de Protección de Datos – DPD, tendrá como parte de sus actividades:
  • a)      Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y documentar esta actividad y las respuestas recibidas.
  • b)      Supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • c)      Supervisar la implementación y aplicación del presente Reglamento, en particular por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud del presente Reglamento
  • d)      Velar por la conservación de la documentación contemplada en el artículo 28. (La documentación referida deberá contener, como mínimo, el nombre y los datos de contacto del responsable del tratamiento, el nombre y los datos de contacto del delegado de protección de datos, los fines del tratamiento, una descripción de las categorías de interesados y de las categorías de datos personales que les conciernen, los destinatarios o las categorías de destinatarios de los datos personales, las transferencias de datos a un tercer país o a una organización internacional, una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos, más la descripción de las medidas de seguridad. Tomado de: http://www.delegadoprotecciondatos.com/2013/06/tareas-delegado-proteccion-datos.html  (Consultado: 6-07-2013))
  • e)      Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con lo dispuesto en los artículos 31 y 32. (Será por tanto responsable de la comunicación tanto a las autoridades como a los directamente afectados., idem)
  • f)       Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consulta previas, si fueran necesarias de conformidad con lo dispuesto en los artículos 33 y 34. (Estudios previos a realizar cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. Idem)
  • g)      Supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia.
  • h)      Actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia.

Si revisamos los alcances de esta propuesta, encontramos semejanzas interesantes que nos advierten sobre la indicación del Decreto Reglamentario de la Ley 1581 de 2012 en Colombia, para desarrollar una figura semejante para el país. Una posición de esta estirpe en las organizaciones en el territorio nacional, establece un reto particular para las áreas de diseño organizacional y talento humano, como quiera que su novedad y particular perfil motiva una reflexión desde la Alta Gerencia para comprender los alcances de este nuevo profesional, que desde la privacidad de los datos, custodia las garantías constitucionales de los ciudadanos y asegurar comportamientos adecuados frente a los datos personales por parte de los empleados de una empresa.

De otra parte siguiendo la práctica internacional expuesta por los analistas del CIO Executive Board, el Oficial de Privacidad, “gobierna y asegura el desarrollo y mantenimiento de las políticas de protección de datos de la compañía, así como los procedimientos y prácticas requeridas que permitan a la empresa adherirse a su política de privacidad con una efectiva gestión de la información personal”.

Si bien esta definición muestra una vista general de lo que debe desarrollar el oficial de privacidad, nótese que se habla de la política de privacidad, que bien puede hacer referencia de un marco de autoregulación empresarial o relación directa con la legislación nacional aplicable a la organización. En este sentido, las empresas deben revisar con claridad y precisión cómo desarrollarán el tenor de su relación con los ciudadanos tradicionales y de la red, para darle cumplimiento de sus derechos constitucionales de conocer, actualizar y rectificar la información que sobre su persona registren las empresas.

Complementario a lo anterior, los especialistas en mención, establecen como requerimientos básicos para el ejercicio del cargo de Oficial de Privacidad los siguientes:
  • Capacidad para ejercer los más altos estándares éticos, de conducta profesional, y prudente toma de decisiones empresariales.
  • Capacidad para comprender complejos requisitos normativos y contractuales y crear sistemas de cumplimiento efectivos.
  • Capacidad demostrada para dirigir y ejecutar a través de diferentes negocios y funciones con diferentes temas e intereses.
  • Organización demostrada, con habilidades para la facilitación, comunicación y desarrollo de presentaciones efectivas.
  • Comprensión funcional de sistemas basados en tecnologías de información, incluidos los procedimientos y prácticas de seguridad de la información.
  • Experiencia previa como oficial de privacidad y / o experiencia en el análisis y la aplicación de prácticas de privacidad y seguridad de la información.
  • Deseable contar con certificaciones de industria relacionadas con gestión de riesgos (p.e CRISC, CRMA), seguridad de la información (p.e CISSP, CISM), auditoría (p.e CIA, CISA), fraude (p.e CFE) o privacidad (como CIPP – Certified Information Privacy Professional o CIPM – Certified Information Privacy Manager)

Estos requisitos básicos nos informan sobre las habilidades que se requieren de este nuevo oficial que necesariamente deberá conocer de aspectos jurídicos, acreditar experiencia sobre tecnologías de información y adicionalmente tener conocimientos sobre prácticas y procedimientos de seguridad de la información. Podríamos decir que este cargo, presenta a la privacidad como un nuevo dominio de conocimiento, que demanda de aquellos que quieran desarrollar un alto nivel de competencia en el mismo, una dedicación especial y claridad conceptual para mantenerse en la esencia de su papel y no cruzar a otros dominios de acción que cuentan con su propia dinámica y responsabilidad.

Es claro que el Oficial de Privacidad, deberá trabajar de manera coordinada con el Oficial de Seguridad de la Información, con el Director de Tecnología de Información y el Oficial de Cumplimiento Corporativo (si existe), para actuar de manera independiente y diligente frente a la responsabilidad que tiene con el representante legal de la empresa y ante la Autoridad de Protección de Datos, para proteger y mostrar el debido cuidado, diligencia y previsibilidad que la organización ha desarrollado para dar cumplimiento a las exigencias legales de protección de la información personal.

Como quiera que esta nueva figura de cumplimiento, como los son los oficiales de fraude, lavado de activos, seguridad de la información, son parte inherente de todas las actividades de las empresas, la ubicación del mismo deberá asegurarle una actuación independiente, autoridad en sus decisiones y reporte concreto al representante legal de la empresa, para motivar los comportamientos requeridos, asegurar las acciones disciplinarias que sean necesarias y movilizar la madurez de las prácticas y procedimientos de la organización respecto de la protección de los datos personales.

Como se puede observar este nuevo cargo tiene importantes responsabilidades y grandes retos a nivel organizacional que lo exponen igualmente a riesgos relevantes como los de no-cumplimiento, que pueden comprometer la imagen de la empresa, sus operaciones y posición en su entorno de negocios, como quiera que una sanción o multa en este sentido, no deja de afectar su contabilidad, sus utilidades y la confianza de sus grupos de interés, que en últimas son los más interesados por la salud y viabilidad de la organización en mediano y largo plazo.

El Oficial de Privacidad o el Delegado de Protección de Datos, es un nuevo desafío para las empresas en Colombia, pues demanda de éstas, el reconocimiento de una nueva exigencia de cumplimiento, hasta ahora tibia y escondida en algunos aspectos de la vida empresarial, que reclama la mayor atención del nivel ejecutivo frente al ejercicio de un derecho constitucional, representado en una ley estatutaria, que eleva la información personal al primer nivel de atención jurídica, técnica, de prácticas y procedimientos de seguridad de la información que nos movilizan hacia una sociedad de la información y conocimiento más abierta y confiable.

Referencias adicionales
CIO Executive Board (2012) Chief Privacy Officer Job Description. Disponible en: https://www.irec.executiveboard.com/Public/Default.aspx (Con suscripción)
DENSMORE, R. (2013) Privacy Program Management: Tools for Managing Privacy Within Your Organization. International Association of Privacy Professional – IAPP. ISBN 978-0-9885525-1-7.