lunes, 28 de julio de 2025

BENEFICIOS ECONOMICOS DE LOS DELEGADOS (OFICIALES) DE PROTECCION DE DATOS - CNIL

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

Resumen

El análisis que la Comisión Nacional de Informática y Libertades, CNIL realizó entre 2024 y 2025 muestra que los beneficios económicos de contar con un Delegado de Protección de Datos (DPO) en las empresas generan varios beneficios económicos significativos, más allá del simple cumplimiento legal.

Entre los principios de los beneficios económicos identificados se encuentran: valorización de las solicitudes en el caso de licitaciones, reducción de riesgos financieros, racionalización de la gestión de datos, influencia en innovación y volumen de negocios y el impacto en el tamaño y la cultura empresarial.

El estudio de la CNIL demostró que estos beneficios son más tangibles gracias al cumplimiento del RGPD, ya que es un factor disuasorio más que una limitación. Además, las grandes empresas pueden contar con un eje estratégico que les permite de beneficiarse de la función del DPO. Y en el caso de las Pymes, aunque los beneficios a veces son menos visibles, el 36 % aún percibe el cumplimiento como un activo económico.

El rol del DPO puede ser asociado al papel que le atribuye el nuevo Reglamento de Protección de Datos de la Ley N° 29733 mutatis mutandi al Oficial de Protección de Datos. El presente articulo fue traducido del francés al castellano por el suscrito con la ayuda del aplicativo Google Translator. El enlace al documento original se encuentra en: https://cnil.fr/fr/quels-benefices-economiques-du-dpo-en-entreprise#:~:text=Il%20ressort%20des%20r%C3%A9ponses%20au,la%20gestion%20de%20la%20donn%C3%A9e. 

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

____________________________________________

¿Cuáles son los beneficios económicos del DPO en las empresas?

23 de julio de 2025

La CNIL (Autoridad Nacional de Protección de Datos) ha estudiado los beneficios económicos de contar con un Delegado de Protección de Datos (DPD) en las empresas. El análisis muestra que suele ser rentable, especialmente para las empresas que adoptan una estrategia positiva de cumplimiento del RGPD.



A petición del Ministerio de Trabajo, Empleo y Salud, la Asociación para la Formación Profesional de Adultos (AFPA) realizó la cuarta edición de su encuesta estadística sobre delegados de protección de datos (DPD) en enero de 2024. Con 3.625 encuestados, este cuestionario permite estudiar los beneficios económicos para una empresa vinculados a la presencia de un DPD, independientemente del carácter obligatorio de su designación.

Además de este estudio, la CNIL realizó entrevistas cualitativas con diez OPD propuestos por la Asociación Francesa de Corresponsales de Protección de Datos (AFCDP). Estas entrevistas contribuyeron a confirmar la interpretación de los resultados del cuestionario.

Los beneficios económicos del DPO

Las respuestas al cuestionario muestran que existen diversos tipos de beneficios asociados a la función de DPO: mayor margen para ganar licitaciones, evitar sanciones, evitar fugas de datos y optimizar la gestión de datos. Sin embargo, no todas las empresas con DPO perciben estos beneficios.

El análisis estadístico muestra que estos beneficios son mejor percibidos por las grandes empresas y por las empresas que más invierten en el cumplimiento del RGPD y que consideran el cumplimiento como una palanca y menos como una limitación.

Resultados de la encuesta de la AFPA, modelado y cálculos de la CNIL. En todas las empresas estudiadas, ¿cuál es la percepción del cumplimiento?: - Para el 58%, como un factor de presión (participación del grupo empresarial en todas las empresas), incluyendo el 36% de las pequeñas empresas y el 22% de las grandes empresas. - Para el 42%, el cumplimiento se percibe como una limitación, incluyendo el 27% de las pequeñas empresas y el 14% de las grandes empresas.

*Participación del grupo empresarial en el total de empresas
Fuentes: encuesta AFPA, modelización y cálculos de la CNIL

El 36% de los DPO en ejercicio trabajan en pequeñas empresas donde el cumplimiento normativo se percibe como un factor clave: este es el grupo más numeroso de todas las empresas encuestadas. En total, el 58% de los DPO trabajan en organizaciones donde el cumplimiento normativo se valora positivamente. El análisis no revela una relación sólida entre el tamaño de la empresa y la percepción del cumplimiento normativo. Los dos sectores más representados son «Investigación, TI y consultoría» y «Banca, seguros y mutuas», con un 24% y un 17% de los DPO de la muestra, respectivamente, trabajando en empresas de estos sectores.

El beneficio del cumplimiento como palanca en las licitaciones

La presencia de un DPO es un importante vector de confianza en los procedimientos de licitación, especialmente cuando el contrato implica el tratamiento de datos personales. La presencia de un DPO demuestra que los candidatos tienen en cuenta las cuestiones de cumplimiento normativo. El DPO también actúa como un contacto valioso para el comprador durante la prestación del servicio (documentación del proceso, redacción de cláusulas de subcontratación, asesoramiento, etc.).

Por ejemplo, un DPO explicó que, tras la implementación de una estrategia de promoción del cumplimiento, su empresa vio que sus posibilidades de ganar licitaciones aumentaron a la mitad. El 42% de los DPO encuestados en la encuesta también informaron haber visto este beneficio, y esta cifra aumenta al 50% entre los que son consultados activamente.

Las entrevistas también revelaron que algunos DPO consideraban que su función iba más allá de simplemente garantizar el cumplimiento del tratamiento de datos personales dentro de la organización. También asumieron la responsabilidad de promover dicho cumplimiento, por ejemplo, participando en la inclusión del cumplimiento del RGPD en la estrategia de RSE de la empresa.

El beneficio de evitar sanciones

Las sanciones impuestas por las autoridades de protección de datos pueden ser considerables. En 2024, la CNIL impuso 87 sanciones por un total de 55 millones de euros.

Las regresiones estadísticas muestran que el beneficio de evitar sanciones, según la evaluación del DPO, depende del tamaño de la empresa y de su modelo de negocio.

Las empresas con un modelo de negocio basado total o parcialmente en datos, o en la comercialización de soluciones innovadoras y potencialmente intrusivas, obtienen importantes beneficios al evitar sanciones. Cuando se enfrentan a una sanción pública , no se teme tanto el coste monetario de la sanción, sino su impacto en la imagen de la empresa ante sus clientes y socios. De hecho, en las empresas que mantienen una imagen de marca entre sus consumidores incompatible con el incumplimiento del RGPD, los DPO afirman desempeñar un papel fundamental en la preservación de la reputación de la empresa.

Mediante su función de información, sensibilización, asesoramiento y supervisión, el DPD contribuye a prevenir el riesgo de sanciones, ayudando a las organizaciones a cumplir la normativa y sus obligaciones. El DPD también es el punto de contacto entre la autoridad de control y las personas cuyos datos son objeto de tratamiento. En esta función, puede encargarse de organizar la tramitación de sus solicitudes de ejercicio de derechos, de modo que se proporcione una respuesta completa en el plazo establecido.

El beneficio de evitar fugas de datos

Al igual que con las sanciones públicas, una empresa con un modelo de negocio basado total o parcialmente en datos se arriesga a sufrir daños a su reputación en caso de una filtración de datos a gran escala. Las investigaciones sobre la economía de la ciberseguridad han demostrado, en particular, que tras una filtración de datos, el valor de las acciones de las grandes empresas tiende a depreciarse.

El DPO puede ayudar a reducir el riesgo de vulneraciones de datos. A través de sus diversas responsabilidades, el DPO desempeña un papel fundamental en la protección de los datos personales dentro de la empresa. Asesora a la empresa sobre las medidas de seguridad que debe implementar y participa en evaluaciones de impacto sobre la privacidad. Puede realizar comprobaciones y auditorías, y alertar a los directivos cuando identifica vulneraciones de seguridad. También participa en el desarrollo de políticas de seguridad y organiza actividades de concienciación y formación para los empleados.

Durante las entrevistas realizadas por la CNIL, por ejemplo, un DPO informó que después de implementar una capacitación sobre phishing, la tasa de clics en enlaces sospechosos en la estructura cayó del 21% al 5%.

El beneficio de optimizar la gestión de datos

Los principios fundamentales del RGPD (limitación de las finalidades, minimización de datos, limitación del almacenamiento), que el DPO garantiza que se respeten, incentivan a las empresas a ser vigilantes en la recopilación y almacenamiento de datos personales.

Esta optimización de la gestión de datos ofrece varias ventajas económicas a las empresas. Por un lado, genera ahorros operativos en términos de espacio de almacenamiento. Durante las entrevistas, un DPO de una empresa con una facturación de 150 millones de euros explicó que el cumplimiento del RGPD le ahorró 400.000 euros en costes de servidores. Por otro lado, esta optimización tiene efectos beneficiosos en términos de ciberseguridad: al recopilar y almacenar menos datos, se reducen los puntos de entrada para los ciberdelincuentes y, por lo tanto, la superficie de ataque.

En términos más generales, el DPO contribuye a una mejor comprensión de los activos de información de la empresa. Su labor facilita la explotación de datos al centralizar la información y evitar duplicados o silos de datos. Esto facilita el acceso de los equipos a los datos relevantes, mejorando la eficiencia de los procesos internos y la toma de decisiones.

Encuesta de la AFPA, modelado y cálculos de la CNIL. Gráfico de dos ejes: una variable para el tamaño de la empresa y otra variable para la percepción del cumplimiento como factor de presión o limitación.

Fuentes: Encuesta de la AFPA, modelización y cálculos de la CNIL

El gráfico anterior ilustra las principales conclusiones del análisis de componentes principales (ACP) de las respuestas del cuestionario. Este análisis resume las respuestas en dos ejes principales: uno que representa el tamaño de la empresa y otro que representa la percepción del cumplimiento. Los elementos de la derecha se vinculan a organizaciones de mayor tamaño. Por ejemplo, un OPD que dedica más del 70 % de su tiempo a su función suele trabajar en una organización grande. En la parte superior del gráfico, las respuestas se asocian con una visión positiva del cumplimiento: los OPD que afirman ser capaces de desempeñar plenamente sus funciones suelen trabajar en organizaciones donde el cumplimiento se percibe como un factor clave.

Este gráfico destaca algunas conclusiones clave de la encuesta. Por ejemplo, es más probable que los DPO informen que han podido evitar sanciones y filtraciones de datos en organizaciones de mayor tamaño, pero también en organizaciones con una actitud positiva hacia el cumplimiento normativo.

El impacto del modelo de negocio en el DPO

El DPO aporta beneficios económicos que pueden ser más o menos significativos según el modelo de negocio de la empresa. También existe una relación inversa: las condiciones para ejercer el DPO difieren según el modelo de negocio de la empresa, su tamaño y su visión del cumplimiento normativo.

El estudio reveló que las organizaciones más comprometidas con el cumplimiento normativo asignan más recursos a sus OPD. Es aquí donde invertir en la función de OPD puede ser beneficioso: las empresas que asignan recursos reales a los OPD son las que obtienen mayores beneficios.

Entre ellas se encuentran estructuras que perciben como alta la probabilidad de ser sancionadas por la CNIL y también empresas con un modelo de negocio en el que los datos juegan un papel importante.

Existe un retorno de la inversión en el sentido de que los DPO que tienen más tiempo para dedicarse a su función tienen mejores condiciones para garantizar el cumplimiento de la empresa, lo que reduce la probabilidad de ser sancionados.

De manera similar, dado que el cumplimiento se percibe como una cuestión menos económica que regulatoria, el papel del DPO es menos valorado en estructuras donde el cumplimiento se percibe como una restricción.

Por último, el modelo de negocio afecta la satisfacción laboral del DPO: los DPO en estructuras donde el cumplimiento del RGPD se percibe como una palanca tienden a estar más satisfechos.

Conclusión: El cumplimiento como activo

El cumplimiento del RGPD es obligatorio y conlleva costes de cumplimiento innegables. Sin embargo, es posible que una empresa rentabilizara su cumplimiento promoviéndolo.

El artículo 37 del RGPD prevé determinados casos en los que las empresas deben designar un DPO , lo que lleva a algunas estructuras a percibir al DPO como una limitación.

Sin embargo, el cumplimiento del RGPD ofrece beneficios económicos que se pueden obtener al aprovecharlo como un activo integral en su modelo de negocio. La inversión realizada tiene un retorno económico: es un activo real.

Dado que el cumplimiento del RGPD es parte integral de una estrategia de RSE, se puede establecer un paralelismo entre el cumplimiento y las cuestiones medioambientales, donde surge claramente esta distinción entre las empresas que perciben la regulación como una limitación y las que la perciben como una oportunidad.

Con una estrategia así, el DPO no sólo supone un coste sino que puede ser “rentable” y, por tanto, constituir una inversión para la empresa.

Algunas recomendaciones para las empresas

La adopción de ciertas buenas prácticas puede generar ganancias económicas para la función del DPO:

  • La participación de los DPO en determinadas reuniones del comité ejecutivo les permite coordinar el cumplimiento de la estrategia general de la empresa.
     
  • Integrar el cumplimiento del RGPD en la estrategia de RSE y en la estrategia de seguridad de los sistemas de información (ISS) para promover una planificación y operaciones consistentes.
     
  • Intentar cuantificar los beneficios económicos del rol del DPO dentro de la empresa, ya sea de manera informal o mediante consulta interna, inicialmente, para objetivar los beneficios de un posicionamiento favorable del DPO dentro de la empresa. Para ello, el DPO puede contactar con otros departamentos relevantes de la empresa o con el departamento de control de gestión para acordar algunas cifras.
     
  • Concienciar a otras profesiones sobre la importancia de las cuestiones de compliance en la estrategia de la empresa para que el DPO sea reconocido como un creador de valor y alinee su actividad con la de otros departamentos.

El método utilizado

El análisis estadístico se basa, en particular, en el método de análisis de componentes principales (ACP), que permite sintetizar la información de un gran número de respuestas a preguntas. Este método busca facilitar la comprensión de los fenómenos observados identificando los dos ejes más relevantes para organizar las respuestas de los OPD. En este caso, las respuestas varían principalmente en función del tamaño de las empresas, por un lado, y de su mayor o menor inversión en cumplimiento normativo, por otro.

 

Texto de referencia

Para profundizar

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)