CISO, CDO y ahora DPD: las siglas de la seguridad, los datos y la privacidad

Fecha de publicación 17/07/2018
Autor
INCIBE (INCIBE)
CISO, CDO y DPO

Con el nuevo Reglamento de Protección de Datos, se introduce una nueva figura, la del DPO o DPD, es decir, el Delegado de Protección de Datos (Personales) o de Privacidad. Otras siglas más que se suman a las ya conocidas según comentábamos en el artículo: «CEO, CISO, CIO… ¿Roles en ciberseguridad?» Además, algunas empresas han nombrado recientemente un CDO o Responsable de Datos. Con tanta sigla se ha despertado la cuestión sobre quién puede o debe desempeñar la nueva tarea. Muchos responsables de datos, seguridad y privacidad: ¡de película! Como aquel spaguetti-western: «El bueno, el feo y el malo», el CDO, el CISO y el DPO se necesitan para encontrar el tesoro.

Las siglas que empiezan por C y terminan por O se corresponden con directores o responsables, es decir, ejecutivos de alto nivel dentro de la organización en sus respectivas áreas. En el vértice de la pirámide (por debajo del propietario y de la Junta directiva), el CEO o Chief Executive Officer, se corresponde con el director ejecutivo o gerente, aunque es frecuente que tengan también funciones añadidas de más alto nivel dependiendo de la estructura de la empresa (presidente o consejero delegado). Y es que ¡cada empresa es un mundo!

¿Qué funciones tendrá el Delegado de Protección de Datos?

Este Delegado de la Privacidad, el DPD, es un profesional cuyas funciones para la aplicación de la legislación se detallan en el artículo 39 del Reglamento (UE) 679/2016.

El DPD es una figura que además de cooperar y ser el punto de contacto con la autoridad, informa, coordina y asesora al responsable o al encargado en todo lo relativo al cumplimento del RGPD. Puede formar o no parte de la empresa y puede serlo a tiempo completo o no. Siempre ha de poder desempeñar sus funciones con independencia. Por ejemplo, podría contratarse un servicio externo de una consultora para este fin o tener un Delegado contratado en plantilla.

Entre sus funciones asesora al responsable del tratamiento si este tiene que realizar una evaluación de impacto, es decir, si el tratamiento que va a realizar entraña un alto riesgo para los derechos y libertades de las personas físicas.  
También será con quién contacten los interesados para cualquier consulta relativa a sus datos personales y para el ejercicio de sus derechos. (Art. 38.4).

¿Qué lugar ocupa en el organigrama?

En el artículo anterior «DPD o DPO, el Delegado de la Privacidad» indicábamos qué empresas han de designar un DPD e insistíamos en que ha de garantizarse su independencia.  

Además de por sus funciones, el lugar del DPD en el organigrama va a venir determinado porque:

  • rendirá cuentas al más alto nivel jerárquico del responsable o encargado;
  • está obligado a mantener secreto y confidencialidad en lo que respecta al desempeño de sus funciones;
  • debe actuar con independencia para garantizar el cumplimiento del RGPD, aunque puede realizar otras funciones debe evitar cualquier conflicto de intereses.

¿El CISO, el CDO y el DPO?

Además del CEO, algunas empresas cuentan con un Responsable o Director de Seguridad en su sentido amplio, el CSO. Tradicionalmente, se ocupaba de la seguridad física: control de acceso a las dependencias, vigilancia, alarmas de incendios, etc. En la década de los 80 cuando se popularizó el uso de los ordenadores personales, y poco más adelante de las redes, la seguridad informática también quedó bajo su paraguas de responsabilidad.  
Con la llegada de Internet y más recientemente con la publicación de la norma sobre el Sistema de Gestión de la Seguridad de la Información (SGSI), ISO 27001, en 2005 empezaron a destacarse los Responsables de Seguridad de la Información con funciones específicas en el ámbito de seguridad de la información y su organización. Estos son en muchos casos, los llamados CISO o Chief Information Security Officer que dependen, cuando coexisten, jerárquicamente de los CSO.

Recientemente con la explosión del Big Data, la inteligencia artificial y la analítica de datos, se ha puesto de manifiesto la revalorización de los datos que han llegado a considerarse el nuevo petróleo del siglo XXI. Por ello, algunas empresas han comenzado a nombrar Responsables de Datos o Chief Data Officer o CDO como por ejemplo los bancos o las grandes compañías de telecomunicaciones, reportando directamente al consejero delegado o al presidente. El CDO desempeña un rol relacionado con los riesgos, el cumplimiento y la gestión de políticas de datos con un enfoque de negocio.

El DPO (Data Protection Officer en inglés) traducido a Delegado de Protección de Datos en el RGPD, es por sus funciones y su independencia, fundamentalmente un asesor en el cumplimiento del RGPD y por tanto, podría estar situado en un nivel intermedio entre la Dirección y la Gerencia como pudiera estarlo una asesoría legal o un órgano de control interno. No obstante, su ubicación final dependerá de la estructura organizativa de cada empresa. Un organigrama posible sería el siguiente:

El DPD en el organigrama de la empresa

¿Puede el CISO o el CDO ser el DPO?

El RGPD define la figura del DPD. El CISO podría decirse que aparece en la ISO 27001 como el responsable de seguridad de la información. Por su parte, el CDO se perfila en la norma BCBS 239, una norma de supervisión bancaria sobre agregación de datos e informes sobre riesgos. No cabe duda de que los tres están próximos en sus funciones aunque desde perspectivas diferentes, por eso entendemos que han de colaborar estrechamente.

Entre los requisitos que el RGPD impone al DPD está la de garantizar su independencia y evitar conflictos de intereses, es decir, no podrá ser influenciado en su actuación por imperativos «de negocio» y no tendrá tareas que impliquen determinar los fines y medios de los tratamientos de datos de carácter personal, es decir, podría haber conflicto de intereses, por ejemplo, con el director general, el director de operaciones, el responsable de personal o el de marketing o el jefe del departamento TI. Desde este punto de vista, las organizaciones podrán definir los roles de sus CISO y CDO de manera que no interfieran con el DPD, garantizando este requisito.

A este respecto las directrices del WG29, un órgano consultivo independiente a nivel europeo, sobre el DPD comenta: «La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar de manera independiente. Aunque los DPD puedan tener otras funciones, solamente se les podrá confiar otras tareas y cometidos si estas no dan lugar a conflictos de intereses. Esto supone, en especial, que el DPD no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales. Debido a la estructura organizativa específica de cada organización, esto deberá considerarse caso por caso

CDO, CISO y DPD son los responsables respectivos de Datos, Seguridad y Privacidad. El CDO conocerá los riesgos de los datos masivos y las necesidades de cumplimiento. El CISO, donde exista según la ISO 27001, también tiene responsabilidades sobre la privacidad, que incluyen tareas organizativas y técnicas. El DPO es fundamentalmente un asesor para el cumplimiento del RGPD. Estos son dos posibles encajes:

  • El CISO o el CDO, otro «Chief XXX Officer» o un empleado a otro nivel, podría ser también el DPD siempre que no intervengan en determinar los fines y medios del tratamiento, y que se implementen las garantías de ausencia de conflicto de intereses. Junto con la designación del DPD, si además tiene otras funciones, se puede elaborar su estatuto o un documento en el que se especifique cómo se va a garantizar su participación y cómo se le facilitarán los recursos necesarios para el desempeño de sus funciones, y también cómo se garantizará su independencia y ausencia de conflicto de intereses.
  • Si el DPD se designa como figura independiente, el CISO y el CDO podrán «descargar» la responsabilidad de supervisión y asesoramiento sobre el RGPD en esta persona. En este caso, al no ser desempeñadas las funciones de DPD junto con otras funciones, será más fácil demostrar la ausencia de conflicto de intereses.

Una vez aclarada la separación de funciones, de existir estas figuras, lo que está claro es que han de coordinarse y colaborar estrechamente para garantizar el cumplimiento del RGPD, prevenir incidentes que afecten a la privacidad y atajar el impacto que puedan tener en caso de que ocurran. Al contrario que en la película, no compiten por el tesoro: la protección de los datos personales es un objetivo común para todos.

INCIBE LÍNEA DE AYUDA 017