De izquierda a derecha, David Esteban, CISO de Cellnex Telecom, Olga Forné, CISO de Mediapro y Antonio Fontiveros, responsable de Ciberseguridad, Autopistas en Abertis.
Delegados de Protección de Datos crean un Libro Blanco para analizar la cobertura legal y contexto de su actividad profesional
|
11/11/2019 06:15
|
Actualizado: 10/11/2019 23:22
|
ISMS Forum, a través del Data Privacy Institute (DPI) ha presentado el primer Libro Blanco del Delegado de Protección de Datos, o «Data Privacy Officer» (DPO), en su versión anglosajona, un documento que pretender servir de referencia para definir la posición de la figura de estos profesionales en sus organizaciones.
Este documento sirvió como primer evento de esta corporación en Barcelona hace unos días, lugar donde se ha ubicado ya esta asociación profesional.
La entidad se encuentra en plena expansión territorial. Según nos confirman a finales de este mes se creara el capítulo gallego con un acto en Santiago y a primeros de año habrá otro evento en Andalucía.
Los capítulos autonómicos pretenden empujar las actividades de la asociación fuera del marco habitual de dos grandes ciudades como Madrid y Barcelona.
Hace unas semanas presentaba el Libro Blanco del Ciso (Responsable de Seguridad) que sigue parámetros parecidos a esta nueva guía.
Para Carlos Saiz, vicepresidente de ISMS Fórum, director del DPI y socio de ECIXGROUP, “desde la Asociación, queremos impulsar una guía de buenas prácticas en torno al artículo 38 del RGPD, analizando el perfil tipo del DPO y el posicionamiento habitual que encontramos, además de los aspectos relacionados con la independencia en sus funciones, autonomía (por posicionamiento o por política de empresa), y los posibles conflictos de interés”.
Este experto recuerda que es un documento de trabajo vivo y, “al igual que la propia actividad del DPO, tendrá capacidad para evolucionar a corto y medio plazo”.
Este libro blanco ya está disponible en la web de ISMS Fórum para ser revisado y descargado para aquellos expertos que quieran conocer el papel de este profesional.
A juicio de este experto en privacidad, “la figura del DPO abre la puerta a una nueva profesión realmente. Estamos en los primeros años de su regulación tanto en el RGPD como en la LOPDGDD española. Realmente hay muchas dudas y cuestiones que nos han planteado nuestros asociados, de ahí que hayamos organizado un grupo de trabajo para analizar realmente el papel del DPO y su entronque tanto en la empresa como desde el punto de vista de la privacidad”.
La idea esta publicación es que sirva como herramienta de trabajo para estos propios profesionales y que también sirva de ayuda a las empresas para saber realmente qué tipo de cobertura necesitan, tanto a nivel de medios como legal para que puedan realizar su trabajo con garantías.
“La privacidad se ha convertido en un elemento importante para las organizaciones y es fundamental que las empresas cuenten con expertos bien formados en este tipo de temas tan específicos” apunta Saiz.
RGPD y LOPDGG fijan lo que es el DPO
Hay que recordar que la figura del delegado de Protección de Datos (dPO) es una actividad que viene impulsada por el Reglamento General de Protección de Datos (RGPD) y la nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGG), “el legislador ha dejado campo abierto a que las empresas lo gestionen como quieran. Puede ser una persona a nivel interno de la empresa o se puede externalizar desde otro profesional o compañía que pueda dar esa cobertura. Lo importante es que haga el trabajo proactivo que se le exige”.
Este estudio, que ha sido elaborado por diferentes delegados de Protección de Datos adscritos a esta entidad responde a cuestiones como ¿Dónde está ubicado el dPD en el organigrama? ¿De qué área depende? ¿A quién reporta?
Sobre la autonomía y conflicto de interés: ¿Tiene independencia financiera? ¿Con qué recursos y capacidades cuenta? Entre otras cuestiones.
En opinión de nuestro interlocutor, “al final de lo que se trata es que empresas y dPOS tengan la certidumbre jurídica de que realmente lo que están haciendo es conforme a la ley. Desde nuestra asociación queremos aportar el valor añadido de ofrecer ideas y publicaciones como ésta para que estos profesionales hagan su trabajo de forma conveniente”.
Entidades como ISMS Fórum, que en su seno ha creado un grupo de trabajo con la colaboración con dPOs de diferentes empresas para debatir estos temas o la propia Asociación Española para la Calidad (AEC) con la puesta en marcha de su Club de Delegados de Protección de Datos hace un año, han apostado por dicha figura.
La propia Agencia Española de Protección de Datos tiene un canal abierto con los dPOS a nivel de comunicación para resolver cualquier duda que tengan en su quehacer profesional.
Saiz recuerda que “es cierto que el dPO tiene una labor especifica de verificación y control de los riesgos existentes en las empresas en materia de privacidad. Pero su papel principal radica también en explicar al resto de la compañía lo importante que es trabajar conforme a unos cánones de privacidad y con medidas de seguridad que mitiguen posibles riesgos existentes”.
En opinión del vicepresidente de ISMS Fórum, “las responsabilidades en las empresas están definidas. Van desde el Comité de Dirección y los Consejos de Administración para dar importancia a la materia y poner los recursos adecuados para tener dicha política de privacidad que será supervisada por el propio dPO. También es importante conocer que personas de nuestra organización tratan con datos personales para que reciben la formación adecuada en esta materia”.
¿Cómo proteger al dPO?
En cuanto a la figura del dPO, nuestro interlocutor señala que “la normativa existente define en el llamado gobierno de la privacidad tres elementos importantes en relación con su actividad. En primer lugar, debe contar con los recursos adecuados, cuestión que hace años era complicada ante la situación de crisis que vivía el país. Ahora parece que no existe ese problema y el dPO puede contar con los recursos que necesita para hacer su trabajo”.
Otro elemento que destaca Saiz tiene que ver con “la necesidad de preservar su independencia y que se respete su criterio profesional. Se trata de alejarle de cualquier tipo de presión que puede condicionar su trabajo de cualquier forma. Debe ejercer su labor de forma profesional sin ningún tipo de conflicto de este tipo”, subraya.
Y el tercer punto que cita Carlos Saiz lo enfoca desde los posibles conflictos de interés que pueda generar su actividad “el hecho de que el DPO pueda tener otras funciones y compaginarlo, es algo que lo permite la normativa. Las empresas deben evitar que se encuentren inmersos en conflictos de intereses”.
A respecto de una lectura de este Libro Blanco se subraya la necesidad de respetar la libertad organizativa de las compañías “ hay figuras con las que el dPO puede generar sinergias, como es el caso del compliance officer pero también puede haber compaginación con los CISO o responsables de seguridad. Lo importante es que en este tipo de relaciones cada empresa pueda preservar la independencia de su actividad y cualquier conflicto de interés que pueda surgir”.
Desde ISMS Fórum se insiste en que lLas empresas deben elegir el modelo de DPO que más se ajusta a su estructura corporativa e intereses.
Noticias Relacionadas:
