Una mañana cualquiera, la empresa recibe en su buzón de contacto un correo con el asunto “Queja ante la SIC por uso indebido de información personal en bases de datos.”, el correo es renviado entonces al área contable, ya que como dice «SIC» seguramente es de ellos, el área contable ocupada con el cierre de mes, reenvía el mensaje al área de sistemas, porque como dice «bases de datos» si tiene que ver con bases de datos es de ellos, el área de sistemas colapsada, reenvía el correo al área administrativa diciendo: “Se reenvía correo para su atención teniendo en cuenta que hace referencia a un tema de compra de un producto” Y el asistente administrativo de dicha área, sin saber muy bien qué hacer, lo imprime y lo deja en la bandeja del jefe.
Lo que acabas de leer, pasa. Y pasa más seguido de lo que imaginas, porque muchas empresas no tienen claro quién debe responder por la protección de datos, y es allí donde entra una figura poco conocida, pero cada vez más necesaria: el Delegado de Protección de Datos (DPO).
¿Qué es un DPO y por qué debería importarte?
El DPO (por sus siglas en inglés: Data Protection Officer) es esa persona dentro o fuera de la empresa que vela porque se cumpla con las normas de protección de datos personales, no se trata de la persona que se encarga de implementar la protección de datos, ni de la persona que hace informes o responde derechos de petición, es la persona que debe supervisar y conectar lo jurídico con lo técnico y lo estratégico, para proteger los datos y evitar que la empresa termine sancionada.
¿Qué hace realmente un DPO?
Un buen Delegado de Protección de Datos:
🔹 Supervisa que la empresa cumpla con la Ley 1581 de 2012 y otras normas aplicables.
🔹 Capacita al equipo para que no se cometan errores por desconocimiento.
🔹 Evalúa los riesgos de privacidad y propone medidas para mitigarlos.
🔹 Gestiona incidentes o brechas de datos (sí, esas cosas que a veces se ocultan).
🔹 Es el canal directo ante la Superintendencia de Industria y Comercio.
Y lo más importante: es la persona que permite a la empresa dormir tranquila, sabiendo que hay alguien con criterio, conocimiento y responsabilidad cuidando los datos de todos.
Casos cotidianos donde un DPO marca la diferencia
- Cuando el equipo de marketing quiere lanzar una campaña usando datos de clientes antiguos.
- Cuando el área de talento humano guarda las hojas de vida sin autorización.
- Cuando alguien plantea grabar una capacitación o usar fotos del equipo en redes.
- Cuando se hace una alianza con un proveedor que accede a bases de datos internas.
- Cuando alguien deja expuesta información confidencial en una carpeta compartida.
En cada uno de esos momentos, un buen DPO no estorba, orienta y lo hace antes de que haya un problema legal o reputacional.
¿El DPO debe ser un abogado?
No necesariamente, pero sí debe ser alguien que entienda la normativa, los riesgos, la operación de la empresa, y que tenga autoridad e independencia para actuar y las normativas actuales de privacidad cada vez se alinean más con la normativa Europea, estableciendo la obligatoriedad de tener un DPO certificado, evitando así que las empresas dejen este importante rol en el aire o encargándolo al que tenga tiempo.
Reflexión final
No importa si tu empresa es grande, mediana o pequeña, si manejas datos personales, necesitas a alguien que sepa cómo protegerlos. No se trata de contratar un cargo con nombre elegante, se trata de designar (y empoderar) a una persona con criterio, formación y respaldo para que cumpla con esta misión, porque al final del día, la pregunta no es si vas a tener un DPO, sino si vas a tener uno por voluntad… o por requerimiento de la Entidad de Control.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
