La gestión de la IA se convierte en el principal reto del DPO en su actividad como garante de la privacidad de las organizaciones

La II Edición del Libro Blanco del DPO, expuesto por Esther García Oficina, del DPO de CaixaBank; Marta Cañas, delegada de protección de datos de Iberia; Rubén Cabezas Delegado, de protección de datos de Santander; y Carlos A. Saiz, del ISMS Forum y Ecix Group; presentó recientemente una valiosa guía para enfrentar los retos actuales en protección de datos y la gestión de la figura del delegado de protección de datos (DPO) en las organizaciones.

La comunidad de Data Privacy Institute alberga a más de cuatrocientos profesionales en sus jornadas anuales. Junto con la gestión de la privacidad, el otro elemento estratégico es el desarrollo de políticas de ciberseguridad que mantengan a la compañía en un escenario de riesgos más controlados sabiendo que el riesgo cero es imposible de lograr. En esta práctica, el papel del DPO coincide con el CISO en estas políticas de ciberseguridad.

Carlos Saiz, vicechairman del ISMS Forum, director del Data Privacy Institute y socio-director de privacy, risk & compliance de Ecix Group es uno de los promotores de la primera edición del Libro Blanco del DPO en el 2019. “Salió el Reglamento General de Protección de Datos (RGPD) y nos pusimos a trabajar inmediatamente. Creímos que cinco años después era buen momento para actualizar el conocimiento de esta publicación. Los cambios han sido notables en este lustro”, comenta.

Desde su punto de vista, “esta figura ha evolucionado mucho en el seno del modelo de gobierno de las empresas, en el papel que desempeñan, dónde están colocados y a quién reportan. También hay ciertas incompatibilidades, como por ejemplo que en la práctica se ha ido desarrollando este profesional en relación a lo que dice el RGPD. La figura del DPO se ha consolidado en las compañías como gestor de esa privacidad. Ahora debe actualizarse a la nueva realidad y a la inteligencia artificial (IA)”.

En cuanto a las principales novedades, este jurista destaca tres elementos importantes: “Todo el modelo de relaciones entre el DPO y la compañía se relaciona ahora con ciberseguridad, compliance y asesoría jurídica. Esa relación es más sofisticada. Hay DPOs que dependen de asesoría jurídica, otros son más independientes, mientras que otro grupo tiene relación con el CISO y la ciberseguridad. Este ha sido uno de los temas que abordamos en la jornada de ISMS Forum de hace unos días”.

Carlos  A. Saiz cree que la “ figura del DPO se ha consolidado en las compañías como gestor de esa privacidad. Ahora debe actualizarse a la nueva realidad y a la IA”. (Imagen: ISMS Forum)

Al mismo tiempo, recuerda que “hemos analizado el papel de la privacidad ante la IA, qué es lo que tiene que hacer ante el Reglamento de la IA y cuál es su labor ante los nuevos retos de esta normativa recién aprobada. Creo que hemos logrado una buena guía para dar soporte técnico legal a todos los modelos existentes de DPO, queda por saber si este profesional se va a encargar de liderar esta cuestión de la gestión de IA, porque el Reglamento actual no apunta hacia un profesional de manera concreta”.

En los próximos meses, “previsiblemente en la jornada del Data Privacy Institute —comunidad de DPO que engloba a alrededor de 600 profesionales del sector— presentaremos la encuesta anual que realizamos sobre las cuestiones que preocupan a estos expertos. Es ya una encuesta clásica que viene a definir los aspectos que preocupan en la actividad diaria al propio DPO”, explica.

Sobre el debate, Saiz apuntó que ha sido muy rico: “Queda claro que las organizaciones pueden tener un modelo específico distinto de la gestión de la privacidad; de los tres que estuvieron, en cuanto a perfil, Marta Cañas no es abogada, es ingeniera; Esther y Rubén sí lo son, el DPO en Caixa está metido en asesoría jurídica; en Santander es una función independiente. Son figuras necesarias en las empresas y que el RGPD señala que son obligatorios tenerlo. Al final hay que cumplir el propio RGPD”.

El papel del DPO y de la IA

Desde su punto de vista, “esta figura deberá seguir evolucionando o creciendo. La privacidad es un puntal clave para el desarrollo de la economía digital. Ahora hay un debate sobre quién va a gestionar la IA en el seno de estas organizaciones, en un entorno donde las competencias regulatorias se van a dividir entre la AEPD y la AESIA (que parece va a quedar como un ente más técnico a nivel de auditorías y gestión del sandbox). En este escenario, el DPO está mejor colocado para llevar este tipo de responsabilidades”.

A su juicio, “las obligaciones del Reglamento de IA son parecidas al RGPD: en su modelo actual ya tiene una gestión de riesgos interiorizada, así como ya cuenta con un inventario de registros de tratamiento similar al inventario de sistemas de IA que necesitarán las organizaciones. Hay algunos negocios que en su 90% de las IAs que tienen registradas tratan datos personales. De forma inevitable, el DPO va a estar ahí. Otra cosa es que sea quien lidere estas prácticas de adecuación del Reglamento de IA”.

La presentación de esta guía profesional congregó una asistencia notable de profesionales de la privacidad. (Imagen: ISMS Forum)

Junto con este reto, este experto no olvida las tareas más exigentes de estos profesionales como “la anonimización, la gestión de la cadena de suministros, la diligencia debida o la relación con los proveedores. Junto a ello, la regulación emergente que llega procedente de Nis2 o del reglamento DORA para el sector financiero, entra otras cuestiones”.

En este contexto, cree que en estos cinco últimos años “la figura del DPO se ha consolidado y está mucho más presente. En general hay falta de medios en muchas entidades. En empresas muy grandes nos encontrados al DPO con dos personas de apoyo, pese al mucho trabajo que gestionan. Ahora, con el Reglamento de IA todo se complica. Ahora el DPO debe pensar cómo posicionarse ante la llegada de este Reglamento de IA, si como un protagonista o como uno más de la partida”.

Un trabajo profesionalizado

Marta Cañas es la delegada de protección de datos de Iberia, donde con un grupo de profesionales que dirige, gestiona la privacidad de esta multinacional española. Es una de las profesionales vinculada a ISMS Forum y a este Libro Blanco desde el principio. Al mismo tiempo es profesora de asignaturas de privacidad en la Universidad Nebrija y la Universidad Pontificia de Comillas, ICAI-ICADE. “Debemos afrontar el entorno regulatorio existente y conocer bien todas las áreas de negocio de la empresa para una mejor gestión de la privacidad”, aclara.

Para esta ingeniera volcada al mundo de la privacidad desde hace años, “nuestro papel como DPO nos obliga a conocer muy bien los negocios de nuestras empresas. Se trata de que les podamos dar el asesoramiento adecuado en el momento que lo necesiten. Ahora con el Reglamento de IA y el DPO necesita de otras figuras para la gestión de la misma, ya que la función de la IA toca otras áreas de la compañía y el DPO no tiene por qué tener ese conocimiento”.

A este respecto, nos concreta que “no es solo ciberseguridad y gestión de los datos, sino cuestiones como ética, compliance e, incluso, lo que es el puro desarrollo de los modelos que hay en el mercado de IA. Un DPO no puede de forma independiente analizar el sesgo de sus herramientas de IA, necesita un expertise técnico que no tiene por qué tener. Al final, cuenta con el apoyo de otros profesionales de la compañía, por eso en muchas empresas se han puesto en marcha comités o grupos multidisciplinares donde se toman decisiones para el cumplimiento de dicho Reglamento de IA. Esto es lo que hemos incluido en el Libro Blanco”.

Marta Cañas, DPO de Iberia y primera por la derecha, subraya que gracias a esa revisión del Libro Blanco “ahora los DPO estamos más cerca del negocio. Se ha incluido en la obra una parte importante sobre la IA y su regulación”. (Imagen: ISMS Forum)

Sobre el Libro Blanco del DPO, nos revela la evolución del trabajo de estos expertos: “Esta guía realizada por un grupo de profesionales expertos en la materia, vinculados a ISMS Forum, trata de orientar a las empresas y a los propios DPO sobre la tipología de profesionales que hay operativos. Se trata de orientarles en cuanto al modelo de DPO que pueden poner en marcha y los medios que van a necesitar para ello. En esta nueva versión hemos revisado lo que ha cambiado de la figura del DPO. Ahora estamos más cerca del negocio. Se ha incluido una parte importante sobre la IA y su regulación”.

En esta nueva edición confiesa que “también hemos abordado el papel del DPO en las entidades públicas y hasta qué punto es necesario su implementación y sobre todo en la figura del DPO y su relación con el resto de la organización a la que participa y en la forma que reporta. Somos conscientes que la alta dirección debe estar más concienciada de su labor. Hay ya regulación que señala que la responsabilidad está vinculada a los consejos de administración. No es lo mismo un reporte a un comité de protección de datos que a un comité de dirección, que tiene otras cuestiones sobre la mesa de orden estratégico”.

Para Cañas, “es fundamental reportar de manera adecuada los riesgos de la compañía a la alta dirección. Deben entender lo que sucede para apoyar nuestro trabajo como profesionales; tanto en la gestión de los datos como en la notificación de las brechas de seguridad y otras cuestiones claves como el contar con las medidas de seguridad adecuadas en cada entidad. Los reportes deben ir más a los riesgos y a los indicadores para que la alta dirección sea consciente de la importancia de la adecuada gestión de la privacidad y ciberseguridad en todo momento”.

El trabajo de los DPO debe estar coordinado con el CISO, “el responsable de seguridad tiene como objetivo la protección de la información y de los activos de la compañía, y el responsable de privacidad tiene un objetivo diferente porque nos centramos en la protección de las personas. Al final, se busca un punto de entendimiento entre el CISO y DPO para que las personas y sus datos estén protegidos, así como que los sistemas de seguridad tengan un nivel adecuado de seguridad para evitar cualquier tipo de amenaza externa”, concluye.