En el mundo de la protección de datos, la figura del Delegado de Protección de
Datos (DPD) ha ganado un protagonismo fundamental desde la implementación del
Reglamento General de Protección de Datos (RGPD). Tradicionalmente, se ha
asociado al DPD con un perfil eminentemente jurídico, y no sin razón: el RGPD es
una normativa compleja que requiere un profundo entendimiento legal para su
aplicación e interpretación adecuadas.
Sin embargo, el rol del DPD va más allá de simplemente aplicar la ley. En la era
digital en la que vivimos, donde la información es un activo invaluable y la
privacidad es una preocupación creciente, el DPD necesita contar con
conocimientos específicos, no solo en protección de datos sino también en seguridad de la información para poder ejecutar su trabajo de forma eficaz.
El Artículo 25 del RGPD establece el concepto de “privacidad desde el diseño”
(Privacy by Design), lo que implica que la protección de datos debe ser considerada
desde el inicio de cualquier proyecto o sistema. Esto significa que el DPD, al
colaborar con desarrolladores y equipos técnicos, debe ser capaz de hablar su
mismo idioma para poder trasladar las necesidades a estos equipos. Entender los procesos de desarrollo de software, las tecnologías utilizadas y los posibles impactos en la privacidad es crucial para garantizar el cumplimiento normativo.
Asimismo, el Artículo 32 del RGPD establece la obligación de implementar medidas
de seguridad adecuadas para proteger los datos personales. Esto va más allá de la
mera comprensión legal; el DPD debe tener conocimientos técnicos sólidos en
seguridad de la información para evaluar riesgos, recomendar medidas y supervisar
su implementación.
La disposición adicional primera de la Ley Orgánica 3/2018 de Protección de Datos
Personales y garantía de los derechos digitales (LOPDGDD) establece la obligación
para las Administraciones Públicas de implementar las medidas del Esquema
Nacional de Seguridad (ENS) para mitigar los riesgos identificados. Aquí,
nuevamente, se requiere no solo comprensión legal, sino también capacidad
técnica para entender las especificidades del ENS y su aplicación práctica.
En cuanto a la gestión de incidentes, es fundamental destacar que no todas las
incidencias son brechas de datos, pero todas las brechas de datos son incidentes y hay que gestionarlas como tal.
El DPD debe estar preparado para gestionar cualquier tipo de incidente de
seguridad de la información, desde ataques cibernéticos hasta fallos técnicos, y
contar con los conocimientos técnicos necesarios para comprender lo sucedido,
evaluar el impacto y colaborar con los responsables de seguridad y sistemas y otros equipos involucrados para resolver la situación de manera eficaz.
Conclusiones sobre la figura del DPD y la protección de datos
Por último, en el día a día, el DPD suele utilizar herramientas de Governance, Risk,
and Compliance (GRC) que requieren cierta habilidad técnica para su manejo
adecuado y sin las cuales el trabajo no puede desarrollarse. Estas herramientas son fundamentales para la gestión eficiente de la protección de datos y la seguridad de la información en cualquier organización.
En conclusión, si bien es cierto que el perfil del Delegado de Protección de Datos tiene una base jurídica sólida, es igualmente importante que cuente con conocimientos técnicos en protección de datos y seguridad de la información. Este lado técnico del perfil es imprescindible para el desarrollo óptimo de su trabajo y responsabilidades. La intersección entre el derecho y la tecnología es el terreno en el que el DPD se debe mover con destreza, para poder garantizar así la protección efectiva de los datos personales en el mundo digital actual.
Si quieres obtener más información de actualidad sobre Auditoría de Protección de Datos, Gestión de Riesgos y Cyber Compliance, visita nuestro blog.