redseguridad 077

El DPO, entre la privacidad y la seguridad

xisten

numerosas

organizaciones

que ya cuentan con un delegado de

protección de datos o

Data Protection

Officer

(DPO). Ahora mismo, varios

países europeos imponen el nom-

bramiento de esta figura. El nuevo

Reglamento Europeo de Protección

de Datos (RGPD), que entrará en

vigor el 25 de mayo 2018, requiere

el nombramiento de un DPO para la

mayoría de las organizaciones. De

acuerdo con el artículo 37 de dicho

reglamento, el DPO es necesario en

el caso de organismos públicos, de

tratamientos a gran escala o si las

actividades principales del respon-

sable o encargado del tratamien-

to consisten en ciertas categorías

especiales de datos personales, o si

están relacionadas con infracciones

penales. En cualquier caso, nombrar

un DPO voluntariamente es una de

las recomendaciones de la Comisión

Europea.

¿Quién conviene nombrar como

delegado de protección de datos?

El artículo 37 indica que se podrá

designar un único delegado para

un grupo, siempre que esté accesi-

ble desde cada establecimiento (físi-

camente o mediante otros medios

seguros de comunicación). Se añade

más flexibilidad al permitir que el

DPO sea tanto un empleado de la

compañía como alguna forma exter-

nalizada. Esto permitirá a compañías

pequeñas el nombramiento de un

DPO a tiempo no completo, que

puede dedicar su tiempo a ejecutar

otras tareas siempre que éstas no

constituyan un conflicto de intereses.

Para evitar esto, el DPO no debe

tener una posición de dirección tal

y como el director de operaciones,

el director financiero, el director de

marketing o el director de recursos

humanos. En la actualidad, podemos

encontrar el DPO frecuentemente

asociado al departamento legal y al

compliance

La responsabilidad del DPO de

proteger a la organización de acuer-

do con los requisitos del Reglamento

requerirá conocimiento específico

del estado del arte y de tecnologías

emergentes, así como de los pro-

cesos organizacionales, para poder

adecuarlos a los requisitos de dicha

norma.

¿Cuáles serán las responsabilida-

des del delegado de protección de

datos?

Según lo definido en el artículo 39

del RGPD, el DPO debe informar

y asesorar a la organización y a

sus empleados, supervisar el cum-

plimiento del Reglamento, ofrecer

asesoramiento en la realización de

la evaluación de impacto relativa

a la protección de datos y coope-

rar con las autoridades de control,

actuando ante ellas como punto de

contacto.

¿Dónde debe estar situado dentro

de la organización?

El DPO debe estar situado en la

organización con la autoridad nece-

saria para implementar controles que

garanticen la confidencialidad de los

datos, muchos de ellos técnicos.

No tiene que ser un empleado de

la compañía, lo que permite a enti-

dades consultoras con experiencia

actuar como DPO en aquellas que

no dispongan de recursos internos

cualificados y así lo deleguen formal-

mente. Las organizaciones tienen

ahora la oportunidad de contratar un

DPO o trabajar con uno por medio

de una relación contractual, lo que

desata preguntas sobre si la rotación

natural hará que esto sea posible

(la regulación espera que el

Data

Protection Officer

se mantenga en

su posición durante al menos dos

años) o si estaremos ante el auge de

servicios profesionales de DPO.

De acuerdo al artículo 38, estará

involucrado en todos los temas rela-

cionados con la protección de datos

personales, recibirá apoyo completo

por parte de la dirección en términos

36 red seguridad segundo trimestre 2017

especial

Sonia Morales Robles

Jefa de Sección de Consultoría de Gestión de Seguridad

de GMV Secure e-Solutions

opinión

seguridad integral

monográfico