Índice
Aquel viernes fue especialmente importante para empresas, autónomos y organizaciones que recopilan datos personales de ciudadanos de la Unión Europea, dado que fue el día en el que entró en vigor el Reglamento Europeo de Protección de Datos.
Esta normativa modifica en profundidad la forma en la que se tratan los datos de clientes y usuarios de la Unión Europea. Y a pesar de que las empresas han tenido dos años para adaptarse a ella, el RGPD sigue generando titulares como el siguiente.
Una reciente encuesta realizada por la Agencia Española de Protección de Datos (AEPD) y la Confederación Española de la Pequeña y Mediana Empresa (CEPYME) refleja que cuatro de cada diez pymes españolas no conocen el reglamento.
El dato pone sobre la mesa el considerable número de empresas españolas que, por distintos motivos, no están adecuadas al RGPD.
El dato también manifiesta que si un cliente de alguna de estas empresas preguntara por el CDO de la empresa, probablemente no sabrían qué contestar.
El reglamento europeo de protección de datos ha introducido nuevas figuras profesionales y destacado otras que llevan años entre nosotros. Veamos cada una de ellas.
¿Qué es un DPD en el RGPD?
El DPD es el Delegado de Protección de Datos, también conocido por sus siglas en inglés DPO (Data Protection Officer). En caso de que se cumplan ciertos supuestos, el DPD debe ser designado por el encargado del tratamiento de datos (CDO) de la empresa u organización.
La misión de este profesional se resume en hacer que la normativa se cumpla y para ello ejerce una serie funciones detalladas en el artículo 39 del Reglamento (UE) 679/2016:
- Informar al responsable del tratamiento de datos (CDO), así como a los empleados que tratan datos personales sobre las obligaciones tienen para cumplir con el reglamento.
- Supervisar su cumplimiento mediante la asignación de responsabilidades y la concienciación y formación del personal que trata datos personales.
- Asesorar siempre que se le solicite y evaluar el impacto y los riesgos asociados al tratamiento de datos.
- Cooperar y actuar como punto de contacto entre la empresa u organización y la autoridad de control (en España, la AEPD) para cuestiones en torno al tratamiento de datos.
El RGPD exige que el Delegado de Protección de Datos sea una figura independiente dentro de la empresa u organización, es decir, no debería recibir instrucciones del responsable o encargado del tratamiento, y además debe evitarse su destitución o sanción por las decisiones tomadas en el desempeño de su función.
Se trata de un profesional situado en los niveles jerárquicos dentro del organigrama de una organización y cabe decir que el DPD está obligado a mantener la confidencialidad en el desempeño de sus funciones.
¿Qué es un CDO o Responsable de Protección de Datos?
Las siglas CDO corresponden a la figura de Data Protection Officer, en español: el Responsable de Protección de Datos, o también llamado, Encargado de Protección de Datos, otra de las figuras que ha ganado protagonismo con el RGPD.
Esta figura profesional existía antes de la entrada en vigor de la normativa debido a la informatización de ingentes cantidades de datos por parte de las grandes empresas y su aprovechamiento para actividades como el Big Data.
Se encarga de la gestión de los datos y de asesorar a la empresa para el cumplimiento del reglamento. Depende de la estructura de la organización, pero a diferencia del DPD, el CDO podría situarse en una escala intermedia dentro del organigrama. En el siguiente esquema de INCIBE, se puede ver una posible estructura donde se incluye el DPD y el CDO.
¿Qué es un CISO o Chief Information Security Officer?
EL CISO suele ser una persona especializada en temas informáticos. En el caso del RGPD, para que una empresa u organización cumpla con la normativa debe tener en cuenta la seguridad de los sistemas y la infraestructura, aquella donde se guardan y almacenan los datos personales de los clientes u usuarios.
El CISO, o Responsable de la Seguridad de la Información, tiene como misión preservar la seguridad de los datos desde un punto técnico y no legal como es el caso del CDO y el DPD.
No podemos olvidar que el RGPD es un reglamento de obligado cumplimiento para toda aquella persona física o jurídica que recoge datos personales de ciudadanos de la Unión Europea, por lo que la adecuación a la normativa es imperiosa si lo que queremos es evitar multas millonarias impuestas por la Agencia Española de Protección de Datos.
Contacte con nosotros para adecuar su empresa al RGPD cuanto antes y para resolver sus dudas en entorno a estas figuras profesionales que la normativa exige en algunos casos.