COMENTARIO
El papel del CPO –responsable de proteger la privacidad– se encuentra en una encrucijada. Un número cada vez mayor de violaciones de datos, regulaciones en constante cambio y la creciente complejidad de los ecosistemas digitales han hecho que un enfoque sólido y centrado en la privacidad para la gestión de datos sea más crítico que nunca para las empresas. El papel de un CPO alguna vez estuvo claro: garantizar el cumplimiento de las leyes de privacidad, gestionar las prácticas de recopilación de datos y mitigar los riesgos de los datos. Hoy en día, los CPO deben equilibrar más responsabilidades que nunca. La privacidad afecta a todas las áreas del negocio. Entonces, ¿un CPO sigue siendo un CPO o su función es algo más importante? ¿Y es este un rol que sólo puede asumir una persona?
El creciente alcance del CPO
En un episodio reciente de mi podcast, “The Privacy Insider”, el director de privacidad saliente de Google, Keith Enright, señaló que el función de privacidad de datos ha crecido tanto que requiere un experto en todos los oficios. En muchas organizaciones, el CPO puede gestionar la privacidad, pero también aspectos de seguridad, ética de los datos e incluso la gobernanza de la IA. La privacidad juega un papel en todas estas áreas. Pero, ¿puede un CPO (o director de seguridad de la información (CISO), director de datos (CDO) o director de IA) usar todos estos sombreros y hacer que coincidan?
Independientemente de la combinación de letras que siguen a la C, muchas empresas persiguen el mismo objetivo. Quieren un miembro de la alta dirección cuyo mandato abarque una responsabilidad más amplia: ser el administrador de la gobernanza, la protección, el cumplimiento y el uso ético de los datos. El hecho de que alguien con cualquiera de las experiencias anteriores pueda supervisar todas las responsabilidades anteriores muestra cuán entrelazados se han vuelto la tecnología, los datos y el riesgo. Quizás este trabajo debería ser un esfuerzo de equipo más integrado.
Mantenga la pared unida
Por ejemplo, piense en una violación de datos. La responsabilidad de prevenir una violación de datos generalmente recae en el CISO. Si un pirata informático irrumpe en los sistemas de una empresa, se trata de una violación de seguridad. Pero la realidad de un panorama de amenazas que evoluciona rápidamente es que una vez que estás protegido contra una amenaza, otra está justo detrás de ella. Para muchas empresas, las violaciones de datos no son un “si”, sino un “cuándo”. ¿Cómo se protege lo que hay detrás del muro? Las buenas prácticas de privacidad de datos son una buena seguridad. ¿Identificar, proteger y minimizar sus datos más confidenciales? Los CISO trabajan duro para fortalecer el muro, pero si alguien lo traspasa y no hay nada que robar, habrá contenido el daño inmediato, así como el daño regulatorio y a la reputación que puede resultar. Proteger una organización desde todos los lados requiere una estrategia estrechamente integrada.
Y luego está la IA
El auge de la IA presenta desafíos únicos: ¿Cuáles son las implicaciones éticas de la IA? ¿Puedes confiar en él? ¿Cuál es el recurso si los datos confidenciales terminan en un modelo de IA? Muchas empresas recurren al CPO en busca de orientación sobre el uso ético de estas tecnologías, particularmente en torno a cuestiones de consentimiento, prejuicios y transparencia. Pero la gobernanza de la IA normalmente recae en el CISO o el CDO, no en el CPO. En este momento, nadie debería poseer IA, porque en este momento, la IA lo toca todo. Todos comparten la responsabilidad de usarlo sabiamente.
Sin embargo, los CPO pueden desempeñar un papel importante a la hora de trazar el camino a seguir para la IA, además de garantizar que las empresas la utilicen respetando la privacidad. La ética del uso de datos confidenciales (y, como vemos con la ley de IA de la Unión Europea, las consecuencias del uso indebido) son similares ya sea que el infractor sea un ser humano o una máquina. Una visión clara del manejo y la protección de datos confidenciales y la experiencia en la preparación para el Reglamento General de Protección de Datos (GDPR) pueden ayudar a los profesionales de la privacidad a guiar a la empresa en la gestión de las complejidades de la IA.
El CPO como socio
Gestionar el riesgo en una organización moderna es el acto de equilibrio definitivo. A veces se trata de fortalecer la ciberseguridad, a veces se trata de proteger datos confidenciales y a veces se trata de IA. La privacidad, la seguridad, la gobernanza y el resto son esenciales para mantener el equilibrio, sin importar el desafío. Puede que haya un CPO, puede que no lo haya. La gestión de la privacidad se puede centralizar o distribuir en toda la empresa. Pero eso no cambia la importancia de la gestión de la privacidad de los datos para ayudar a fortalecer la seguridad del sistema, definir la gobernanza de la IA, generar confianza y mitigar el riesgo. El mejor papel que puede desempeñar un CPO es demostrar el valor de un programa de privacidad sólido para fortalecer todo el negocio.