Las leyes de protección de datos en Latinoamérica son relativamente recientes. Cada vez más, los titulares de los datos conocen y ejercen sus derechos con acciones específicas como solicitudes de acceso, que pueden resultar en una pesadilla. Hemos aprendido mucho de la experiencia desde la publicación de varias de estas leyes y, en este artículo, con base en dicha experiencia y en el análisis de distintas metodologías, haremos seis recomendaciones básicas para iniciar exitosamente un programa de protección de datos (en adelante, el Programa). 

  1. Crear una visión y misión. En no más de tres frases, la visión deberá alinearse con las finalidades y objetivos comerciales de la organización, en pocas palabras, es la razón de ser del Programa. La misión es un texto de no más de 30 segundos de lectura, que explica el propósito principal del Programa y la posición de la organización respecto a la protección de datos.
  1. Definir el alcance del Programa. Para ello, será necesario identificar tanto los diferentes tratamientos que se llevan a cabo por las distintas áreas (RR. HH., TI, Finanzas, Legal, etc.), la naturaleza de los datos recolectados (de identificación, sensibles, financieros, etc.) y las leyes y reglamentos generales aplicables a dichos tratamientos (por ejemplo, la Ley Federal de Protección de Datos Personales en Posesión de Los Particulares (LFPDPPP), el Reglamento General de Protección de Datos de la Unión Europea (RGPD) y Ley General de Protección de Datos de Brasil (LGPD)) como las autoridades que regulan el tratamiento de la organización.
  1. Definir el marco de cumplimiento a implementar. Existen varios marcos los cuales varían en su complejidad y profundidad. Se podrán explorar principios y estándares específicos (como los que corresponden a la Organización para la Cooperación y el Desarrollo Económico (OCDE), al Foro de Cooperación Económica Asia-Pacífico (APEC, por sus siglas en inglés), a las normas corporativas vinculantes (BCRs, por sus siglas en inglés), etc.) y se deberán identificar a detalle las leyes, reglamentos, principios, programas y lineamientos de autoridades aplicables. Asimismo, se deberán explorar soluciones de gestión para programas de protección de datos que podrán ayudar a lograr un mejor control y desarrollo del programa (como el concepto de privacidad por diseño (PbD), la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), el Instituto Nacional de Estándares y Tecnología (NIST) y la Organización Internacional de Normalización (ISO)) y, de considerarlo necesario, soluciones tecnológicas ofrecidas por terceros para controlar y documentar los distintos aspectos de cumplimiento del Programa (proveedores de soluciones de tecnologías para la protección de datos o herramientas de gobernanza, riesgo y cumplimiento—GRCs).
  1. Desarrollar la estrategia del Programa. Este punto resulta esencial para el buen inicio del Programa. Identificar internamente a los tomadores de decisiones nos ayudará a lograr un apoyo directo en esfuerzos físicos y económicos para el Programa. Iniciar con un taller de capacitación y concientización es la mejor forma de que el equipo conozca las finalidades del Programa y así lograr consenso y apoyo para su implementación. Identificar las cabezas de área y hacerse de aliados para apoyar los esfuerzos es una tarea muy valiosa (generalmente, los encontrarás en los niveles ejecutivos de la organización o la alta dirección). Se deberá identificar a estos ejecutivos y documentar quiénes son los propietarios de los procesos de tratamiento de datos personales.
  1. Estructurar el equipo de protección de datos. La estructura del equipo del trabajo del Programa deberá estar alineado con los objetivos y metas de la organización. Será indispensable para ello conocer los tres modelos corporativos básicos para el cumplimiento de un Programa de Protección de Datos. Tomando en cuenta las ventajas y desventajas de cada modelo, se podrá implementar la estructura más adecuada para la organización.
  1. Identificar el modelo a seguir, establecer responsabilidades y una estructura para informar a la Alta Dirección: Finalmente, será importante que, tomando en cuenta las necesidades particulares de cada organización, se establezca el modelo que mejor convenga (deberá ser un traje a la medida). Se deberán documentar las responsabilidades específicas para la operación y gestión del programa en las diferentes áreas de la empresa y establecer un sistema específico para generar informes, principalmente para la alta dirección, además de un sistema robusto para documentar el cumplimiento.

Siguiendo estos pasos, estamos seguro de que el programa de protección de datos de la organización será todo un éxito. Mucha suerte.