Garantizar la alineación comercial de los modelos de prevención de infracción de datos personales
Escrito por Catherine Muñoz
Para que un modelo de prevención de infracción de datos personales, o en términos amplios, para que un programa de privacidad tenga éxito, debe poder justificar su existencia dentro del contexto de la misión de una organización que abarca aspectos más allá de su práctica, incluyendo su desarrollo comercial.
Esto lleva a una de las responsabilidades clave de un Oficial de Datos Personales (DPO): garantizar que el programa de privacidad permanezca alineado con los objetivos comerciales de una organización.
Es fácil que los expertos protección de datos personales se pierdan en su trabajo y piensen en la protección de datos como un fin en si mismo, sin embargo su trabajo solo será efectivo cuando facilite el logro de las metas y objetivos organizacionales. Los esfuerzos de privacidad deben alinearse con las metas, objetivos, funciones, procesos y prácticas de la empresa desde su ámbito comercial.
Hay cinco formas clave en que los DPO pueden garantizar esta alineación comercial:
i. Enfocar un caso de negocios para la protección de datos personales. Los DPO deben poder justificar las inversiones de tiempo y dinero que esperan que la organización haga en un programa de privacidad o modelo de prevención de infracciones de protección de datos. Esto requiere identificar cómo la protección de datos respalda los objetivos comerciales y articular claramente el retorno de la inversión que la alta gerencia debe esperar.
ii. Identificar a las partes interesadas. Hay muchas partes interesadas diferentes que desempeñan un papel en el logro de los objetivos de un programa de privacidad. Estos incluyen seguridad de la información, recursos humanos, marketing, legal, adquisiciones y otros especialistas. Es importante involucrar a estas partes interesadas en el proceso desde el principio e involucrarlos en el programa de privacidad.
iii. Aproveche las funciones clave. Además de involucrar a otras funciones comerciales como partes interesadas en el programa de privacidad, los DPO deben aprovechar la experiencia de esas funciones para lograr los objetivos de privacidad y protección de datos. Por ejemplo, los profesionales del equipo de protección de datos dedican gran parte de su tiempo a analizar e interpretar los requisitos legales. El equipo legal de la organización puede desempeñar un papel invaluable ayudando con este trabajo. De manera similar, la mayoría de las organizaciones tienen equipos de comunicaciones que pueden ayudar a desarrollar mejores mensajes internos y externos sobre privacidad.
iv. Cree un proceso para interactuar dentro de la organización. El equipo de protección de datos a menudo trabajará en estrecha colaboración con otros equipos de la organización y debe tener procesos claramente definidos para estas interacciones. Por ejemplo, es probable que el equipo de TI tenga que realizar gran parte del trabajo técnico del programa de privacidad. El equipo de protección de datos debe conocer y comprender los procesos de gestión de servicios de TI y aprovechar ese conocimiento para mejorar su capacidad de trabajar juntos.
v. Alinear la cultura organizacional y los objetivos de privacidad/protección de datos.
Cada organización tiene una cultura única, y navegar esa cultura es crucial para el éxito de las iniciativas internas. Los DPO deben comprender la cultura de su organización y utilizar ese conocimiento para avanzar con éxito en los objetivos de privacidad.