¿Quién necesita de un delegado de datos?
En la actualidad ante el desarrollo tecnológico, el crecimiento del e-commerce y la desmonetización, existe un enorme retraso en cuanto a la seguridad cibernética en las organizaciones y la regulación sobre la protección de datos de los usuarios.
Como parte de las medidas tomadas por la Unión Europea de protección de sus ciudadanos, el pasado 26 de mayo de 2019 fue aprobado el Reglamento de protección de Datos (RGPD), anexándose a la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
Estas nuevas regulaciones han formado nuevas figuras necesarias en la ciberseguridad y responsabilidad de las empresas, como el Delegado de protección de Datos (DPO), que analizaremos a continuación, pero primero exponemos las principales modificaciones de RGPD.
Derechos que reconoce el RGPD
Esta nueva normativa, reconoce los siguientes derechos a los ciudadanos:
· Transparencia e información
· Consentimiento
· Derecho al olvido. Los consentimientos se pueden revocar
· Derecho a la limitación de tratamiento
· Portabilidad de los datos
· Denuncias
· Indemnizaciones
· El responsable del fichero debe establecer un canon a la contestación de ejercicios de los derechos de acceso
Es decir, garantiza que los ciudadanos tienen control sobre sus datos y pueden ejercer acciones en caso de no ser utilizados como originalmente se informó, además de la posibilidad de presentar denunciar y recibir indemnizaciones. Esta situación lleva a que las empresas adopten mayores medidas en la seguridad cibernética.
Principios del RGPD
El RGPD parte de tres principios fundamentales en la protección de datos de los usuarios:
· Principio de Responsabilidad (Accountability). Las organizaciones deben ser capaces de demostrar que han implementado todos los mecanismos adecuados para la protección de datos.
· Principios de protección de datos por defecto y desde el diseño. Las medidas de protección de datos deben contemplarse desde el diseño de la organización.
· Principio de transparencia. Los avisos sobre el uso de protección de datos deben ser visibles y legibles.
Significa que las empresas deben considerar cómo proteger los datos de los usuarios incluso antes de iniciar operaciones, y si ya lo hacen esta debe ser una prioridad, además de demostrar que han implementado todas las medidas posibles para proteger a sus usuarios en caso de algún ciberataque o filtración. El derecho a la privacidad de los datos de los usuarios es prioritario, pero ¿cómo se va a lograr la aplicación de estos principios?
¿Qué es un delegado de protección de datos (DPO) y qué empresas lo necesitan?
La figura del Delegado de Protección de Datos surge como parte de las medidas contempladas en el RGPD para regular la responsabilidad de las empresas en ciberriesgos y ciberresponsabilidadades.
¿Quién es un delegado de protección de datos (DPO) y qué hace?
Es un especialista en el tratamiento de datos personales que asesora a las organizaciones sobre este tema y su cumplimiento normativo. Puede ser interno, es decir, trabajar para la organización como empleado, o externos a través de un autónomo.
Sus funciones son:
· Informar y asesorar sobre la normativa europea y del país.
· Debe revisar el cumplimiento de las normativas, si es necesario capacitará a los empleados y trabajará en conjunto con la dirección
· En caso de un ataque cibernético o filtración de datos debe apoyar en la evaluación de los daños y en la aplicación de las normativas.
· Antes de implementar nuevas tecnologías el delegado deberá elaborar un estudio de impacto con el fin de determinar si se cumple con las medidas de protección a datos personales.
· Es el enlace con las autoridades encargadas de la protección de datos, además de mantener contacto en caso de implementación de medidas de alto riesgo.
Cuando a un interesado se le proporcione información sobre el tratamiento de sus datos también se proporcionará el nombre del Delegado (DPO) ya que solo puede existir un delegado de datos por grupo empresarial.
¿Qué organizaciones están obligadas a contar con un DPO?
Las pequeñas empresas que no mantienen tratamiento masivo de datos no están obligadas a contar con la figura de un Delegado, mientras que las siguientes organizaciones si están obligadas:
· Autoridades u organismos públicos, excepto los tribunales que actúen en ejercicio de su función judicial.
· Las actividades principales de la organización consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
· Las actividades principales de la organización consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
Por lo tanto, si tienes una pequeña empresa y no utilizas de forma masiva datos personales no estás obligado a contar con la figura de un DPO, pero si se debería tener algún tipo de asesoría profesional sobre este tema.
En el caso de empresas que utilicen de manera masiva datos personales es su responsabilidad tener la figura de un DPO.
Estas medidas marcan un adelanto en cuanto a la protección de datos personales y ciberseguridad, ya que se reconoce que aún cuando el usuario proporcione datos personales, la empresa es responsable de su tratamiento y debe ser transparente en su utilización.