redseguridad 077

seguridad integral

monográfico

opinión

El DPO, entre la privacidad y la seguridad

Sonia Morales Robles Jefa de Sección de Consultoría de Gestión de Seguridad de GMV Secure e-Solutions

la evaluación de impacto relativa a la protección de datos y coope- rar con las autoridades de control, actuando ante ellas como punto de contacto. ¿Dónde debe estar situado dentro de la organización? El DPO debe estar situado en la organización con la autoridad nece- saria para implementar controles que garanticen la confidencialidad de los datos, muchos de ellos técnicos. No tiene que ser un empleado de la compañía, lo que permite a enti- dades consultoras con experiencia actuar como DPO en aquellas que no dispongan de recursos internos cualificados y así lo deleguen formal- mente. Las organizaciones tienen ahora la oportunidad de contratar un DPO o trabajar con uno por medio de una relación contractual, lo que desata preguntas sobre si la rotación natural hará que esto sea posible (la regulación espera que el Data Protection Officer se mantenga en su posición durante al menos dos años) o si estaremos ante el auge de servicios profesionales de DPO. De acuerdo al artículo 38, estará involucrado en todos los temas rela- cionados con la protección de datos personales, recibirá apoyo completo por parte de la dirección en términos

E xisten numerosas organizaciones que ya cuentan con un delegado de protección de datos o Data Protection Officer (DPO). Ahora mismo, varios países europeos imponen el nom- bramiento de esta figura. El nuevo Reglamento Europeo de Protección de Datos (RGPD), que entrará en vigor el 25 de mayo 2018, requiere el nombramiento de un DPO para la mayoría de las organizaciones. De acuerdo con el artículo 37 de dicho reglamento, el DPO es necesario en el caso de organismos públicos, de tratamientos a gran escala o si las actividades principales del respon- sable o encargado del tratamien- to consisten en ciertas categorías especiales de datos personales, o si están relacionadas con infracciones penales. En cualquier caso, nombrar un DPO voluntariamente es una de las recomendaciones de la Comisión Europea. ¿Quién conviene nombrar como delegado de protección de datos? El artículo 37 indica que se podrá designar un único delegado para un grupo, siempre que esté accesi- ble desde cada establecimiento (físi- camente o mediante otros medios seguros de comunicación). Se añade más flexibilidad al permitir que el DPO sea tanto un empleado de la

compañía como alguna forma exter- nalizada. Esto permitirá a compañías pequeñas el nombramiento de un DPO a tiempo no completo, que puede dedicar su tiempo a ejecutar otras tareas siempre que éstas no constituyan un conflicto de intereses. Para evitar esto, el DPO no debe tener una posición de dirección tal y como el director de operaciones, el director financiero, el director de marketing o el director de recursos humanos. En la actualidad, podemos encontrar el DPO frecuentemente asociado al departamento legal y al de compliance . La responsabilidad del DPO de proteger a la organización de acuer- do con los requisitos del Reglamento requerirá conocimiento específico del estado del arte y de tecnologías emergentes, así como de los pro- cesos organizacionales, para poder adecuarlos a los requisitos de dicha norma. ¿Cuáles serán las responsabilida- des del delegado de protección de datos? Según lo definido en el artículo 39 del RGPD, el DPO debe informar y asesorar a la organización y a sus empleados, supervisar el cum- plimiento del Reglamento, ofrecer asesoramiento en la realización de

especial

36 red seguridad segundo trimestre 2017