El Reglamento (UE) 2016/679 del Parlamento Europeo y (RGPD) introduce la figura del delegado de protección de datos o DPD en su sección IV (artículos 37 al 39).
Su designación se producirá atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones establecidas en el artículo 39, que básicamente se refieren a informar, asesorar y supervisar, cooperar y consultar, y ser punto de contacto en su organización en lo relativo a la protección de datos.
Las organizaciones están buscando cuál es el perfil ideal para un DPD, y la Agencia Española de Protección de Datos ha presentado en colaboración con la Entidad Nacional de Acreditación (ENAC) su esquema de certificación para los candidatos. Ver esquema
¿Cómo es la vida de los sistemas de información?
El ciclo de vida del software es un proceso definido en el que a través de múltiples etapas se regula la concepción, el desarrollo y la operación de los sistemas informáticos. Al ser tan variados los tipos de sistemas software que existen y las tecnologías que los sustentan,
son muchas las metodologías que se han descrito para que una organización desarrolle y supervise la vida de sus sistemas de información.
Por ejemplo, es común partir de una planificación a alto nivel de los sistemas informáticos, que sirve para alinear el trabajo y de los recursos TIC con el resto de la organización. Como resultado de esa visión estratégica o plan de sistemas de información, las organizaciones
van desarrollando nuevos programas, y modificando o retirando los existentes. Cada vez que se acomete el desarrollo de un sistema nuevo, se comienza con un estudio de viabilidad para determinar la mejor forma de satisfacer la necesidad planteada. Una vez que se ha alcanzado
una solución viable se procede al desarrollo propiamente dicho del sistema, que a su vez suele estructurarse en fases de análisis, diseño, construcción e implantación. Cuando el nuevo sistema ya está construido, probado, aceptado, y tanto los usuarios como los procedimientos
de operación están preparados, comienza la fase de mantenimiento y operación, o vida útil del sistema, que se prolongará hasta su retirada.
Esta ‘biografía’ de un sistema informático puede tomar muchas formas y distintos nombres, algunos de ellos estandarizados. Por ejemplo, la metodología Métrica3 que se emplea como referencia en las administraciones públicas españolas, y contempla unas fases similares a las
vistas, que a su vez son las del estándar internacional ISO/IEC 12207 (Information Technology – Software Life Cycle Processes).
¿Qué hace un DPD en el Plan de Sistemas de Información?
El Plan de Sistemas de Información de una organización tiene como propósito establecer un marco de referencia para los sistemas, para que su desarrollo y evolución sea coherente, y a la vez esté alineado con los objetivos estratégicos de la organización.
Su forma y contenido puede ser muy variada, pero básicamente hay:
Un análisis. El análisis es la ‘fotografía aérea’ de la situación actual tanto desde el punto de vista técnico de los sistemas que existen, como desde el punto de vista de los servicios que la organización presta. Este apartado respondería a la pregunta de ¿A qué se dedica nuestra organización y con qué sistemas de información cuenta?, seguida de ¿Cuáles son en esta situación los principales puntos fuertes, débiles, amenazas y oportunidades?
Unos proyectos. El siguiente o siguientes capítulos del Plan describirán desde un punto de vista funcional los proyectos que van a acometerse dentro de este plan para desarrollar y modificar sistemas de información en la organización, definiendo unas prioridades.
Los proyectos a acometer en el próximo año requerirán un mayor nivel de detalle, puesto que será preciso pensar en personas concretas y en el presupuesto económico para ponerlos en marcha.
El Plan, por ser un documento estratégico de la organización, precisa de una implicación activa de sus máximos responsables, que aportan ideas, prioridades, le dan visibilidad y le muestran su apoyo. Es común que este apoyo se escenifique como una presentación interna a los mandos intermedios o a toda la organización cuando se redacta por primera vez y cuando se revisa cada año.
El DPD debe participar en la elaboración de este Plan de Sistemas, asesorando e informando de las obligaciones que impone el RGPD en el tratamiento de datos personales. La propia organización debe promover esta participación para que el DPD se involucre desde las fases más tempranas en todas las cuestiones relativas a la protección de datos, ayudando a crear también una cultura de la protección de datos en la organización.
Por un lado, la participación del DPD en la fase de análisis del Plan va a servir al DPD para conocer los procesos de la organización y cómo están cubiertos desde el punto de vista de los sistemas de información. De este análisis de alto nivel se puede saber en qué actividades y en qué sistemas de la organización se están tratando datos personales, y de esa forma concretar el alcance de la labor del DPD. Imaginemos una organización que cuenta con cinco sistemas de información principales, pero sólo dos trabajan con datos personales de clientes, proveedores o empleados. Esta limitación del alcance de la función del DPD es importante, puesto que permitirá a la organización establecer incluso directrices o programas de protección de datos sobre cuándo debe consultarse al DPD.
La fase de definición de una arquitectura de sistemas puede ser una buena ocasión para establecer requisitos globales para todos los sistemas que tratan datos personales, como son los relativos a la protección de datos desde el diseño y la protección de datos por defecto (art. 25 del RGPD). En esta arquitectura global, el DPD podrá asesorar a la organización sobre temas delicados como la transferencia internacional de datos, y comprobar que en este encaje global de los sistemas presentes y futuros se han tenido en cuenta labores que tendrán que realizarse en el día a día, como la auditoría de datos personales o el ejercicio de derechos por parte de sus usuarios.
Es importante que la parte del Plan dedicada a la lista de proyectos a acometer identifique desde el principio en cuáles de ellos se van a tratar datos personales. El DPD tendrá que estar presente en ellos y avisar de que puede ser preciso realizar evaluaciones de impacto en algunos de los tratamientos. Hará falta que participe directamente en muchas de las reuniones especialmente en las primeras fases del desarrollo, y además precisará de recursos económicos, infraestructura e incluso personal durante todo el ciclo de vida de los nuevos sistemas que es el momento de presupuestar.
Una arquitectura. A partir de este análisis de la actualidad el plan pretende avanzar en cómo deben ser los sistemas informáticos del futuro, y cómo van a relacionarse entre sí y con el resto del mundo. En este sentido es muy importante que el Plan de Sistemas defina, cuál va a ser
la arquitectura de la información en la organización, donde deben encajar los sistemas nuevos que se desarrollen.
¿Necesitas un Delegado de Protección de Datos?
Aunque en algunos países de la Unión Europea ya existe la figura del Delegado de Protección de Datos (en adelante DPD), como en Alemania, Bélgica, Hungría o Polonia, con la entrada en vigor en mayo de 2018 del Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), esta figura formará parte de nuestro ordenamiento jurídico
La AEPD también dejó claro que a partir de mayo de 2018 todas las obligaciones impuestas por el RGPD serán de aplicación, ya que el plazo de adaptación a la normativa empezó a contar desde su entrada en vigor, por lo que no esperes a mayo de 2018 para designar un DPD.
En ABD Consultoría y Soluciones Informáticas, te ayudamos y asesoramos a decidir cuál es el modelo de DPD más adecuado para tu organización: modelo de DPD centralizado, descentralizado, interno, externo..
Fuente: AEPD.