La perspectiva de Cyber Academy
El DPO es el rol exigido por el GDPR que supervisa el cumplimiento, asesora al responsable del tratamiento y actúa como punto de contacto con la autoridad de control. Es obligatorio para las autoridades públicas y para los tratamientos que requieren una supervisión sistemática a gran escala o datos de categorías especiales. La independencia y el acceso a la dirección son los dos aspectos que los auditores verifican en la práctica.
Para qué sirve la figura
El Data Protection Officer es la persona que una organización designa para mantener la integridad de su tratamiento de datos personales conforme al GDPR. Su función no es dirigir proyectos de privacidad ni dar el visto bueno a la conformidad, sino supervisar si la organización hace lo que la ley y sus propias políticas exigen, asesorar al responsable y al encargado del tratamiento, formar y concienciar, y ser el punto de contacto único para la autoridad de control y para los interesados que deseen ejercer sus derechos. El DPO informa y asesora, pero la responsabilidad del tratamiento sigue recayendo en el responsable.
Un DPO es obligatorio en tres situaciones: cuando el tratamiento lo realiza una autoridad pública, cuando las actividades principales requieren una observación habitual y sistemática de personas a gran escala, y cuando las actividades principales implican el tratamiento a gran escala de categorías especiales de datos, como datos de salud, biométricos o relativos a condenas penales. Las organizaciones que quedan fuera de estos supuestos pueden designar igualmente un DPO de forma voluntaria, y muchas lo hacen porque les proporciona un responsable interno claro para las cuestiones de privacidad.
Independencia y acceso, los dos puntos que comprueban los auditores
Cuando un regulador o un auditor interno examina la función del DPO, dos puntos deciden si es real o cosmética. El primero es la independencia. El DPO no debe recibir instrucciones sobre cómo desempeñar su labor, no puede ser destituido ni sancionado por hacer bien su trabajo, y no debe quedar en una posición en la que audite sus propias decisiones. Por eso un DPO normalmente no debería ser también el CISO, el responsable de TI o el responsable de marketing, porque esos cargos definen los fines y los medios del tratamiento que el DPO debe escrutar. El segundo es el acceso. El DPO debe rendir cuentas ante el más alto nivel de dirección y participar, de forma temprana y adecuada, en todas las cuestiones relativas a la protección de datos personales.
- Supervisa el cumplimiento del GDPR y de las políticas internas de protección de datos.
- Asesora sobre las evaluaciones de impacto relativas a la protección de datos (DPIA) y ayuda a revisarlas.
- Coopera con la autoridad de control y actúa como su punto de contacto.
- Gestiona la comunicación con los interesados sobre sus derechos.
Cómo encaja el DPO con conceptos vecinos
El DPO es una persona y un deber, no un marco de control. El GDPR es el reglamento que crea la figura y fija sus funciones. La DPIA es uno de los instrumentos sobre los que asesora el DPO, una evaluación estructurada que se realiza antes de iniciar un tratamiento de alto riesgo. ISO 27701 es la norma de gestión de la información de privacidad frente a la que una organización puede certificarse, y una función de DPO bien gestionada se ajusta de forma natural a sus requisitos sin ser lo mismo.
La CDPSE es una certificación profesional que valida que un ingeniero de privacidad o un DPO sabe integrar la privacidad en los sistemas. Un DPO puede ser un empleado o un proveedor de servicios externo, y un grupo de empresas puede designar un único DPO siempre que esa persona siga siendo accesible desde cada establecimiento y conserve suficiente independencia y recursos para cubrirlos a todos.
Frequently asked questions
01¿Es obligatorio un DPO para toda empresa?
No. El GDPR exige uno para las autoridades públicas, para las organizaciones cuyas actividades principales implican una observación habitual y sistemática de personas a gran escala, y para aquellas cuyas actividades principales implican el tratamiento a gran escala de datos de categoría especial o relativos a condenas penales. Otras organizaciones pueden designar uno de forma voluntaria.
02¿Pueden el CISO o el responsable de TI ser también el DPO?
Normalmente no. Esos cargos deciden los fines y los medios del tratamiento, por lo que combinarlos con el de DPO genera un conflicto de intereses, ya que la persona acabaría supervisando sus propias decisiones. El DPO debe mantener su independencia respecto de las decisiones operativas de tratamiento de datos.
03¿Se puede externalizar el DPO?
Sí. El DPO puede ser un miembro del personal o desempeñar sus funciones en virtud de un contrato de servicios. En ambos casos se aplican los mismos requisitos de independencia, acceso y disponibilidad de contacto, y la organización debe publicar los datos de contacto del DPO y comunicarlos a la autoridad de control.
04¿Es el DPO personalmente responsable de las brechas?
No. La responsabilidad del tratamiento sigue recayendo en el responsable y el encargado del tratamiento. El DPO asesora y supervisa, pero no asume responsabilidad jurídica personal por la decisión de la organización de ignorar ese asesoramiento.
05¿Puede un único DPO cubrir todo un grupo de empresas?
Sí, un único DPO puede dar servicio a un grupo de empresas, siempre que siga siendo fácilmente accesible desde cada establecimiento y disponga de suficiente independencia, recursos y tiempo para supervisar todos los tratamientos implicados.