CISO vs DPO vs RSSI: quién hace qué, en realidad.

Las fronteras prácticas entre tres funciones que las organizaciones confunden. De qué responde cada una, dónde se solapan y qué certificaciones señalan cada función.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll pillars

La perspectiva de Cyber Academy

El CISO (Chief Information Security Officer) es responsable de la estrategia y el programa de seguridad de la información. El DPO (Data Protection Officer) es responsable de la supervisión independiente, exigida por el GDPR, del tratamiento de datos personales. El RSSI (Responsable de la Sécurité des Systèmes d'Information) es el equivalente francés del CISO. Las tres funciones se solapan en el perímetro de la seguridad de los datos, pero responden a mandatos distintos: el CISO y el RSSI ante la dirección ejecutiva, el DPO ante el regulador.

TL;DR

  • 1El CISO y el RSSI son la misma función con un vocabulario diferente. RSSI es el título francés; CISO es el título internacional. Mismo alcance.
  • 2El DPO es independiente por diseño del GDPR, reporta al máximo nivel directivo, no puede ser destituido por desempeñar su función y es el punto de contacto de la autoridad de control.
  • 3Responsabilidad del CISO/RSSI: estrategia de seguridad de la información, registro de riesgos, respuesta a incidentes, reporte al consejo. Mandato de la dirección ejecutiva.
  • 4Responsabilidad del DPO: supervisión del cumplimiento del GDPR, revisión de la DPIA, derechos de los interesados, diálogo con la autoridad de control. Mandato de la regulación.
  • 5Se solapan en la seguridad de los datos (Artículo 32 del GDPR) y en la respuesta a incidentes. Una misma persona no debería ocupar ambas funciones en organizaciones de tamaño significativo: el DPO debe mantenerse independiente de las decisiones de tratamiento de datos que opera el CISO.

Dos responsabilidades, un mismo perímetro

La confusión entre estas funciones no es una cuestión de títulos. Es una cuestión de ante qué autoridad responde cada persona. El CISO y el RSSI dirigen un programa en nombre de la dirección ejecutiva: se les juzga por si la organización es lo bastante segura para seguir operando y por si el consejo entiende el riesgo residual que está asumiendo. El DPO responde ante un señor totalmente distinto. La función existe porque el GDPR situó una función de cumplimiento independiente dentro de la organización, y esa función reporta al máximo nivel directivo manteniéndose al margen de las decisiones operativas que debe evaluar. Un lado optimiza para el negocio. El otro lado tiene que poder decirle al negocio que se equivoca.

En términos operativos, el CISO y el RSSI construyen y defienden; el DPO revisa y cuestiona. Cuando un equipo de marketing quiere enriquecer una base de datos de clientes con datos de terceros, el CISO pregunta si puede hacerse de forma segura y el DPO pregunta si debe hacerse en absoluto a la luz de los criterios de licitud, minimización y limitación de la finalidad. Ambas preguntas son legítimas. No son la misma pregunta, y en el momento en que las concentra en una sola persona pierde la segunda.

La comparación que de verdad importa

La mayoría de las comparaciones publicadas se quedan en las definiciones. La distinción que resuelve las disputas de organigrama es la línea de reporte y la fuente del mandato, porque es lo que determina quién puede imponerse a quién y quién asume la responsabilidad cuando algo sale mal.

CISO vs DPO vs RSSI: mandato, línea de reporte y certificaciones de señalización
DimensiónCISODPORSSI
Mandato principalEstrategia y programa de seguridad de la informaciónSupervisión independiente del tratamiento de datos personalesIgual que el CISO (título francés)
Fuente de autoridadDelegada por la dirección ejecutivaExigida y protegida por el GDPRDelegada por la dirección ejecutiva
Reporta aCEO, consejo o comité de riesgosMáximo nivel directivo, con independenciaDirection générale o DSI
Responsable deRegistro de riesgos, controles, respuesta a incidentes, reporte al consejoRevisión de la DPIA, derechos de los interesados, registro de actividades de tratamiento, diálogo con la autoridad de controlMismo alcance que el CISO, en el contexto regulatorio francés
¿Puede ser destituido por hacer su trabajo?Sí, como cualquier directivoNo, protegido frente a la destitución por desempeñar su funciónSí, como cualquier directivo
Certificaciones de señalizaciónCISM, PECB CCISO, Lead Cybersecurity Manager, CRISCGDPR DPO, CDPSE, ISO 27701 Lead ImplementerIgual que el CISO, a menudo más ISO 27001 del mercado francés

La columna de certificaciones es la señal práctica que lee un responsable de selección. Un perfil de líder de seguridad se construye sobre CISM para la credencial de nivel directivo, el PECB Certified CISO para el encuadre ejecutivo y Lead Cybersecurity Manager para la construcción del programa. Un perfil de protección de datos señaliza a través de la credencial Certified Data Protection Officer y de una capa de ingeniería de privacidad como CDPSE. Las dos pilas no son intercambiables, y un currículum que las mezcla sin una función principal clara suele señalar a alguien que no ha hecho ninguna de las dos en profundidad.

Dónde se solapan de verdad: el Artículo 32 y los incidentes

El solapamiento es real, y fingir lo contrario es la forma en que las organizaciones acaban con brechas. El Artículo 32 del GDPR exige medidas técnicas y organizativas apropiadas para proteger los datos personales: cifrado, resiliencia, capacidad de restaurar la disponibilidad y pruebas periódicas de esas medidas. Eso es trabajo de seguridad. El CISO es responsable de los controles que lo materializan. Pero el DPO tiene que poder evaluar si esas medidas son apropiadas en relación con el riesgo para los interesados, que es una lente distinta de lo apropiado para el negocio.

La forma limpia de gestionarlo: el CISO es responsable de implementar y operar las medidas del Artículo 32, y el DPO es responsable de formar una opinión independiente sobre su adecuación. El CISO construye el estándar de cifrado en reposo; el DPO hace constar en la DPIA que es suficiente para el tratamiento en cuestión, o advierte de que no lo es. Ninguno aprueba su propio trabajo.

ISO 27701 se sitúa exactamente en esta costura. Extiende un ISMS ISO 27001 a un sistema de gestión de la información de privacidad, lo que da al CISO y al DPO un marco de controles compartido en lugar de dos vocabularios desconectados. El curso ISO 27701 Lead Implementer es la cualificación más útil para la persona que tiene que lograr que el programa de seguridad y el programa de privacidad se entiendan entre sí.

La respuesta a incidentes es el segundo solapamiento y el que se rompe bajo presión. El CISO dirige la respuesta técnica: contener, erradicar, recuperar. El DPO gestiona el reloj regulatorio: el GDPR concede 72 horas para notificar a la autoridad de control una violación de datos personales, y esa evaluación (¿es una violación, es notificable, hay riesgo para los interesados?) es decisión del DPO, no del CISO. Si estas dos personas no están en la misma sala durante la primera hora de un incidente grave, o bien notificará en exceso y quemará credibilidad ante el regulador, o bien notificará de menos e incumplirá el plazo.

Por qué una sola persona no debería ocupar el CISO y el DPO

La razón es estructural, no de carga de trabajo. El GDPR exige que el DPO esté libre de cualquier conflicto de interés: el DPO no puede ocupar un puesto que implique determinar los fines y medios del tratamiento de datos personales. Un CISO hace exactamente eso. El CISO decide qué registros (logs) se conservan, cuánto viven las copias de seguridad, qué supervisión inspecciona el tráfico de los empleados, qué proveedores tratan los datos. Esas son decisiones de tratamiento. Una sola persona que toma esas decisiones y que se supone que debe auditarlas de forma independiente no puede desempeñar el segundo trabajo, porque la autoridad de control no aceptará la autorrevisión como supervisión independiente.

Esto no es una opinión de Cyber Academy. Las autoridades de control europeas ya han sancionado a organizaciones por nombrar a un DPO que además ocupaba una función operativa sobre el tratamiento que se suponía debía supervisar. En una organización pequeña puede que de verdad tenga una sola persona capaz que podría hacer ambas cosas. La respuesta ahí no es combinar las funciones; es hacer de esa persona el CISO y nombrar un DPO externo, o viceversa. Un DPO externo es una solución reconocida y a menudo más limpia, precisamente porque la independencia viene incorporada.

La realidad de la sala de auditoría

Cuando un auditor de ISO 27001 o una autoridad de control examina esto, está comprobando una sola cosa: si puede demostrar que las decisiones de seguridad y las decisiones de privacidad fueron tomadas por personas con la autoridad correcta y la independencia correcta. Las evidencias que quieren son mundanas y específicas.

  1. Una RACI o equivalente que nombre quién es responsable del registro de riesgos frente al registro de actividades de tratamiento, sin que ninguna persona ocupe a la vez el rol de operar y el de supervisar para un mismo control.
  2. Registros de incidentes que muestren que se involucró al DPO en la notificabilidad y al CISO en la contención, con marcas de tiempo que encajen dentro del plazo de 72 horas.
  3. DPIAs que recojan una opinión independiente del DPO sobre las medidas de seguridad, no un visto bueno de seguridad reetiquetado como revisión de privacidad.

Las competencias de auditoría y aseguramiento que hacen demostrable todo esto pertenecen, de nuevo, a un perfil distinto. CISA construye la disciplina de auditoría y de evidencias, y CRISC construye el lenguaje de cuantificación de riesgos que permite al CISO presentar el riesgo residual al consejo en términos sobre los que este pueda decidir realmente. Estas son las credenciales que convierten una estructura defendible en una demostrable.

Errores comunes que conviene evitar

  • Tratar el CISO y el RSSI como dos funciones que deben cubrirse por separado. Son la misma función; el título sigue al idioma y al contexto regulatorio, no al alcance.
  • Dejar que el DPO reporte al CISO o a la función de TI. Eso destruye la independencia que exige el GDPR y es un hallazgo fácil para cualquier regulador.
  • Suponer que gana la certificación de mayor rango. Quien posee un CISM no está por ello cualificado como DPO, y una credencial sólida de DPO no convierte a alguien en líder de seguridad. Ajuste la credencial al mandato.
  • Redactar un informe para el consejo que mezcle el riesgo de seguridad y el riesgo de privacidad en una sola cifra. El consejo necesita ver ambos, porque las consecuencias y las autoridades implicadas son diferentes.

Las organizaciones que aciertan en esto no tienen más plantilla que las que se equivocan. Tienen una respuesta clara a una única pregunta: para cualquier decisión sobre datos personales, quién la construye y quién la juzga de forma independiente. Mantenga esas dos respuestas en dos personas distintas, dé a cada una la credencial que corresponde a su mandato, y el organigrama dejará de ser una fuente de hallazgos de auditoría.

Frequently asked questions

01¿Puede la misma persona ser CISO y DPO?

Técnicamente sí en organizaciones pequeñas, pero el EDPB lo desaconseja firmemente. El DPO debe mantenerse independiente de las decisiones de tratamiento; el CISO opera esas decisiones. En una organización pequeña donde la misma persona toma la decisión, la independencia es ficticia.

En cualquier organización de tamaño relevante (más de 50 empleados que tratan un volumen significativo de datos personales), separe las funciones. El DPO puede situarse en el equipo jurídico, en el equipo de riesgos o reportar directamente al CEO. El CISO se sitúa en la organización de tecnología o de seguridad.

02¿Qué certificaciones señalan a un CISO?

CISM (ISACA) es la credencial más habitual en el currículum de un CISO: alrededor del 60% de las ofertas de CISO en Europa la solicitan. ISO 27001 Lead Implementer o Lead Auditor (PECB) es la siguiente más común. CISSP es la alternativa tradicional de estilo estadounidense.

Para los puestos de RSSI en Francia, las cualificaciones reconocidas por la ANSSI (EBIOS Risk Manager, cualificaciones a través de los programas SecNumCloud o PASSI) tienen peso, además de las credenciales internacionales o en lugar de ellas.

03¿Qué certificaciones señalan a un DPO?

El Certified Data Protection Officer (CDPO, emitido por PECB, alineado con el GDPR) es la referencia europea. El CIPP/E (IAPP) es la credencial internacional alternativa de privacidad, especialmente reconocida en empresas con presencia en Estados Unidos.

Para los DPO técnicos (ingenieros de privacidad que operan dentro del equipo de seguridad o junto a él), CDPSE (ISACA) es el complemento técnico. ISO/IEC 27701 Lead Implementer (PECB) es la credencial de sistema de gestión para las organizaciones que operan un ISMS de privacidad.

04¿Cómo se comparan sus salarios en Europa?

Gran variación según el país y el sector. En Francia, en 2026, un CISO/RSSI con experiencia en una empresa del CAC 40 percibe entre 130.000 y 220.000 euros de salario base. Un DPO con experiencia en la misma empresa percibe entre 90.000 y 150.000 euros de salario base. En servicios financieros, ambas funciones tienden a situarse entre un 20% y un 30% por encima. En el segmento medio del mercado, ambas funciones tienden a situarse entre un 30% y un 40% por debajo.

La horquilla salarial refleja el alcance: el CISO/RSSI gestiona presupuesto, plantilla y decisiones tecnológicas. El DPO gestiona la supervisión, la independencia y el contacto regulatorio.

Ediciones que convierten la lectura en una certificación.

CISM: ISACA credential badgeISACA★ Featured

CISM: Certified Information Security Manager

Manager4 days
Autónomo. Comience cuando quiera

La certificación de referencia de ISACA para la gestión de la seguridad. Cuatro dominios; presente en aproximadamente el 60% de las ofertas de empleo para CISO. Cohorte de cuatro días con una repetición del examen incluida.

Live €2900

Self-paced €790

Book
Certified CISO by PECBPECB★ Featured

Certified CISO by PECB

Expert5 days
Autónomo. Comience cuando quiera

Formación oficial acreditada por PECB para la certificación Certified CISO by PECB. Curso online en directo con instructores expertos y garantía de certificación o reembolso. Inscríbase...

Live €2499

Self-paced €899

Book
Lead Cybersecurity ManagerPECB

Lead Cybersecurity Manager

Manager5 days
Autónomo. Comience cuando quiera

Certificación Lead Cybersecurity Manager acreditada por PECB. Formación en directo online con garantía de certificación o reembolso.

Live €2499

Self-paced €899

Book
GDPR - Certified Data Protection OfficerPECB

GDPR - Certified Data Protection Officer

Expert5 days
Autónomo. Comience cuando quiera

Certificación GDPR - Certified Data Protection Officer acreditada por PECB. Formación en línea en directo con garantía de certificación o reembolso.

Live €2499

Self-paced €899

Book
CDPSE: ISACA credential badgeISACA

CDPSE: Certified Data Privacy Solutions Engineer

Practitioner3 days
Autónomo. Comience cuando quiera

La credencial de ISACA en la intersección entre privacidad y tecnología. Tres dominios que abarcan gobernanza de privacidad, arquitectura de privacidad y ciclo de vida de los datos. La certificación para ingenieros de privacidad que construyen sistemas conformes con GDPR, no solo políticas.

Live €2900

Self-paced €790

Book
ISO 27701 Lead ImplementerPECB

ISO 27701 Lead Implementer

Lead Implementer5 days
Autónomo. Comience cuando quiera

Certificación ISO 27701 Lead Implementer acreditada por PECB. Formación en vivo online con garantía de certificación o reembolso.

Live €2499

Self-paced €899

Book
CISA: ISACA credential badgeISACA★ Featured

CISA: Certified Information Systems Auditor

Practitioner4 days
Autónomo. Comience cuando quiera

La credencial de referencia de ISACA para auditoría de TI. Cinco dominios, examen de cuatro horas, la certificación de auditoría por defecto en los encargos de las Big Four. Cohorte de cuatro días con una convocatoria de recuperación incluida.

Live €2900

Self-paced €790

Book
CRISC: ISACA credential badgeISACA★ Featured

CRISC: Certified in Risk and Information Systems Control

Risk Manager4 days
Autónomo. Comience cuando quiera

La credencial de referencia de ISACA para el riesgo TI. Cuatro dominios que conectan el riesgo de negocio con los controles de SI. El complemento natural de CISA y de ISO 31000 / 27005 para el vocabulario ISACA.

Live €2900

Self-paced €790

Book

Pilar leído. ¿Qué sigue?

Cada pilar enlaza con la edición que lo convierte en una certificación. Explora el catálogo o háblanos para un itinerario personalizado.