OPINIÓN

Sonia Morales Robles , Jefa de Sección del área de Consultoría de GMV Secure e-Solutions

El DPO, entre la privacidad y la seguridad

Existen numerosas organizaciones que ya cuentan con un delegado de Protección de Datos o DPO (Data Protection Officer). Ahora mismo varios países europeos imponen el nombramiento de esta figura. El nuevo Reglamento Europeo de Protección de Datos (GDPR, General Data Protection Regulation), que entrará en vigor el 25 de mayo 2018, requiere el nombramiento de un DPO para la mayoría de las organizaciones.

De acuerdo con el artículo 37 de dicho reglamento, el DPO es necesario en el caso de organismos públicos, de tratamientos a gran escala o si las actividades principales del responsable o encargado del tratamiento consisten en ciertas categorías especiales de datos personales o si están relacionadas con infracciones penales. En cualquier caso, nombrar un DPO voluntariamente es una de las recomendaciones de la Comisión Europea.

Nombramiento

El artículo 37 indica que se podrá designar un único delegado para un grupo, siempre que esté accesible desde cada establecimiento (físicamente o mediante otros medios seguros de comunicación). Se añade más flexibilidad al permitir que el DPO sea tanto un empleado de la compañía como alguna forma externalizada. Esto permitirá a compañías pequeñas el nombramiento de un DPO a tiempo no completo, que puede dedicar su tiempo a ejecutar otras tareas siempre que éstas no constituyan un conflicto de intereses. Para evitar esto, el DPO no debe tener una posición de dirección tal y como director de operaciones, director financiero, director de marketing o director de recursos humanos. En la actualidad, podemos encontrar el DPO frecuentemente asociado al departamento legal y al compliance.

La responsabilidad del DPO de proteger a la organización de acuerdo a los requisitos del reglamento requerirá conocimiento específico del estado del arte y de tecnologías emergentes, así como de los procesos organizacionales, para poder adecuarlos a los requisitos del reglamento.

Responsabilidades

Según lo definido en el artículo 39 de GDPR, el DPO debe informar y asesorar a la organización y a sus empleados, supervisar el cumplimiento del GDPR, ofrecer asesoramiento en la realización de la evaluación de impacto relativa a la protección de datos y cooperar con las autoridades de control, actuando ante ellas como punto de contacto.

Situación

El DPO debe estar situado en la organización con la autoridad necesaria para implementar controles que garanticen la confidencialidad de los datos, muchos de ellos técnicos.

No tiene que ser un empleado de la compañía, lo que permite a entidades consultoras con experiencia actuar como DPO en aquellas que no dispongan de recursos internos cualificados y así lo deleguen formalmente. Las organizaciones tienen ahora la oportunidad de contratar un DPO o trabajar con uno por medio de una relación contractual, lo que desata preguntas sobre si la rotación natural hará que esto sea posible (la regulación espera que el Data Protection Officer se mantenga en su posición durante al menos dos años) o si estaremos ante el auge de servicios profesionales de DPO.

De acuerdo al artículo 38, estará involucrado en todos los temas relacionados con la protección de datos personales, recibirá apoyo completo por parte de la dirección en términos de acceso a los datos y recursos y no debe recibir ninguna instrucción o ser penalizado por llevar a cabo sus tareas.

Privacidad

Podría pensarse que dado que el DPO es una figura que se ha creado para satisfacer las necesidades de la regulación, no es exigible que sea la persona que comprenda y combata los vectores de ataque a la información, pero no es así. Es exigible que defina los procesos para la protección de los datos personales, apoyándose en el CISO u otros profesionales de seguridad de la información. La necesidad de que un DPO tenga un conocimiento sólido de seguridad y privacidad de los datos no sólo procede de los requisitos del reglamento, sino de la creciente urgencia de las organizaciones por estar protegidas frente a las ciberamenazas en continua evolución. La complejidad de los ataques no sólo aumenta, sino que se expande a un ritmo exponencial. Los riesgos generados demandan una atención constante por parte de las organizaciones y también un buen conocimiento de las nuevas tecnologías.

En este sentido, el DPO tendrá que lidiar con una serie de problemáticas de seguridad de la información que están en auge o que afectarán con alta probabilidad en un futuro, como son:

  • Las soluciones en la nube, que si bien están siendo usadas en seguridad como plan de recuperación de desastres y permiten solucionar problemas como la escalabilidad y el teletrabajo, están provocando nuevos problemas a la hora de gestionar datos confidenciales.
  • Los ataques ransomware, usando nuevos vectores de ataque y explotando tanto vulnerabilidades conocidas, fácilmente solucionables mediante procesos maduros de seguridad, como vulnerabilidades de día cero.
  • Políticas Byod que expanden la tradicional frontera perimetral de la organización, exponiendo fuera de la misma información sensible sin que pueda ser controlada.
  • La utilización de nuevos dispositivos conectados, plataformas, tiendas online o redes sociales que generan nuevos volúmenes de datos.

Hay una relación entre privacidad y seguridad que justifica la creación de un entorno seguro para el ciclo de vida de la información. No puede haber privacidad sin seguridad, pero la seguridad en sí misma no garantiza la privacidad.

El principio de protección de datos desde el diseño y por defecto requiere que la organización ponga los datos personales en el centro de su arquitectura empresarial, desde sus políticas de compras y adquisiciones, Byod, de formación, para terceros, de recursos humanos y de todos los controles de seguridad de la información que se definan. Este cambio, expresado en tres palabras, privacy by design, es probablemente el cambio fundamental, ya que muchas organizaciones han venido ignorando de manera continuada la privacidad de los datos.

Éxito

El DPO sólo puede tener éxito si tiene la autorizad necesaria para implementar políticas y embeber la privacidad en los propios procesos operacionales. Dado que los datos personales se encuentran distribuidos por la organización, la tarea a la que se enfrenta es la de construir puentes entre los diferentes silos. Si existen las figuras de CIO (Chief Information Officer), CTO (Chief Technology Officer), CISO (Chief Information Security Officer), CDO (Chief Data Officer), el DPO deberá tejer los hilos necesarios entre ellas.

Por otra parte, el DPO debe ser visto más como un educador que como una figura de puro control en lo que respecta al cumplimiento del reglamento, y tiene que ser el responsable de la comunicación de las fugas de datos personales, aunque no se especifica en la regulación. Claramente por este motivo debe ser un hábil comunicador. 

Por último, lo que un DPO tiene que hacer, aunque la tarea de adecuación al GDPR ya pueda parecer faraónica, es prepararse para emprender a tiempo la adecuación a nuevas regulaciones en camino, como eprivacy. Debiendo estar ya pasando el ecuador, lo cierto es que a falta de un año de los dos concedidos para la adecuación, muchas organizaciones apenas han comenzado a caminar.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual