lunes, 6 de enero de 2014

Planificando el 2014

¡Enhorabuena! Ha sobrevivido Usted a las cenas de empresa, a los regalos del “amigo invisible” y a la conversación de su cuñado. Ahora, puede dedicarse a lo que de verdad importa en esta vida: Ponerse al día con mi blog.

He pensado empezar el año con una serie de post dedicados a la figura del Data Protection Officer (DPO), que como saben, es lo que quiero ser de mayor. 

Otros compañeros ya han analizado los requisitos previstos en el borrador de Reglamento Europeo de Protección de Datos. Pueden leer los comentarios de nuestro amigo D. Jesús, por citar sólo un ejemplo, en este link. Así que, me perdonará si no soy muy sistemática a la hora de explicarle qué empresas deben nombrar un DPO o de detallar el contenido del art. 37 del reglamento que se nos viene encima. Eso sí, le garantizo que le ofreceré una visión práctica de cómo comenzar a desarrollar su trabajo como responsable de protección de datos de su compañía.

Lo primero que debe tener claro es que el DPO no desempeñará las mismas tareas que el Responsable de Seguridad. Supongo que esto ya lo sabía. Sus competencias son mucho más amplias y no están centradas en los aspectos más técnicos, en el cumplimiento de las obligaciones de seguridad. 

Aquí va una primera recomendación: Si Usted actualmente es Responsable de Seguridad de una compañía y espera en el futuro desarrollar funciones de DPO, cambie el chip. 

Muchos Responsables de Seguridad realizan un trabajo que va más allá de vigilar el cumplimiento del título VIII del RLOPD, pero otros, no. Son éstos últimos los que deberían ampliar sus conocimientos y comenzar a plantearse que el cumplimiento de la LOPD consiste en mantener al día el Documento de Seguridad o planificar las auditorías cada dos años.

Por cierto, el Reglamento Europeo no incluye un listado tasado de medidas de seguridad que deben implantarse ni tampoco la obligación de disponer de un Documento de Seguridad. En resumen, su trabajo hasta ahora ha estado centrado en un sólo aspecto de la protección de datos, probablemente uno de los que más va a cambiar con la nueva norma. Por eso, aunque todavía no tenemos muy claro qué “cualidades profesionales” o “nivel de conocimientos” se exigirán a los DPO, no descarte hacer algún curso de reciclaje sobre protección de datos o prepararse alguna certificación.  

Puestos a analizar las diferencias entre Responsable de Seguridad y DPO, le diré que, en mi opinión, el requisito de independencia que se exige a éste último no parece compatible con la asunción de otras responsabilidades en la compañía o con la dependencia orgánica de un departamento o área concreta de la empresa. Esto resulta bastante habitual en los Responsables de Seguridad. Si Usted, como Responsable de Seguridad, formaba parte del Departamento de Sistemas o similar, hágase a la idea de que lo más probable es que tengan que ubicarlo en otro lugar del organigrama de su compañía. 

Cada empresa debería realizar un análisis de qué fórmula resulta más adecuada para garantizar la independencia del DPO y asegurar que puede llevar a cabo todas las responsabilidades que se le han asignado. 

En algunas compañías, ya existen Oficinas de Protección de Datos, integradas por equipos multidisciplinales, que tendrán que hacer pocos o ningún cambio. Pero esto no significa que Usted deba adoptar la misma solución. Hay soluciones más sencillas: Por ejemplo, es de esperar que, al igual que en otros países, comiencen a ofrecerse servicios de DPO externalizados. Como le decía, cada compañía habrá de realizar un estudio previo para determinar la solución que convenga a su negocio. 

Lo dejo por hoy, que tengo que salir a devolver mis regalos (¡con lo fácil que habría sido hacerme un ingreso en cuenta!). Buenas tardes. 

No hay comentarios: