Si ya tenemos un Responsable de Seguridad ¿necesitamos en nuestra empresa disponer de un Delegado de Protección de Datos (en adelante DPD)?. A esta pregunta debemos contestar, de manera rápida, que sí.
Si usted trabaja dentro de una Administración Pública, es muy probable que en su organización ya cuenten con una persona que ocupe el puesto de responsable de seguridad (en el sentido exigido por el artículo 10 del Esquema Nacional de Seguridad). Se trataría de la persona encargada de garantizar que la información y los datos se vean protegidas en lo que se refiere a su confidencialidad, su integridad y su disponibilidad.
A poco que conozcamos el RGPD, estos conceptos nos sonarán. ¿Acaso no exige el Reglamento, en su artículo 5.1.f), que los datos sean tratados con confidencialidad y que se garantice la integridad de los mismos? ¿No hace el artículo 32.1.f) una mención expresa a la necesidad de disponibilidad de los datos? Y ¿no están obligados los encargados del tratamiento a cumplir con esas mismas exigencias (para recordar la diferencia entre responsables y encargados del tratamiento? (les recomendamos leer este artículo).
Con estos antecedentes, podríamos pensar que la persona que se encargue de lo primero también podría encargarse de lo segundo (en calidad de Delegado de Protección de Datos, o DPD).
Parecen figuras plenamente coincidentes. En caso de nombrar a dos empleados diferentes ¿no estaremos cayendo en una redundancia de puestos?. Si la persona responsable de seguridad ya cuida de la confidencialidad, integridad y disponibilidad de la información en su conjunto, ¿no es evidente que también cuidará de estos aspectos en lo que se refiere a los datos de carácter personal?.
Parece claro… pero la realidad presenta una frontera mucho más difusa.
En su día la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS emitió sobre este tema el informe 2018-170 (que puede leerse aquí). En el mismo se dedica a estudiar ambas posiciones dentro del organigrama y explica por qué debemos tener claro que son dos puestos diferentes.
El informe hace una serie de valoraciones que pueden ayudarnos a la hora de tomar decisiones en este campo:
– Para empezar, nos recuerda que la protección de datos personales se considera en España un derecho fundamental. Y dentro del texto del RGPD se le da idéntica consideración. Lo que esto implica es que las tareas de un DPD tienen un alcance legal mucho más severo que las del responsable de seguridad. El primero debe ser consciente de que su trabajo afecta a uno de los derechos más importantes de la ciudadanía, y ser capaz de actuar en consecuencia (el informe, por ejemplo, recuerda que la protección de datos está situada «en el máximo nivel de protección jurídica», cosa que no es baladí).
– Esta especial naturaleza jurídica hace que la protección de datos tenga un alcance mucho mayor que el de la seguridad de la información. De hecho, para la acreditación como DPD es necesario demostrar conocimientos en el campo de la seguridad de la información (porque es una parte de su trabajo), pero también se debe evidenciar conocimientos en otros muchos campos, tanto jurídicos como técnicos.
– En lo que se refiere a su posición jerárquica, el DPD no puede recibir instrucciones u órdenes en lo que se refiere al cumplimiento de sus obligaciones; es una figura con un alto grado de autonomía. Sin embargo, el responsable de seguridad está sometido a las órdenes que se le dé jerárquicamente. Por lo tanto, un responsable de seguridad no dispone de la misma independencia que el DPD, cosa que impide que pueda llevar a cabo sus funciones con las debidas garantías.
– Las obligaciones profesionales de ambos puestos (RdS DPD) también son divergentes. El Responsable de Seguridad tiene que garantizar la seguridad de la información de las Administraciones Públicas. El DPD hace eso en lo que se refiere a los datos personales, pero además asesora, lleva a cabo programas de formación, coopera con las autoridades de control y en general supervisa el cumplimiento de normativa en esta materia.
– El informe también señala que ni siquiera los análisis de riesgos que hagan ambas figuras serán coincidentes. Por ejemplo, las evaluaciones de impacto relativas a la protección de datos tienen como objeto «determinar los riesgos de un tratamiento para los derechos y libertades de las personas», cosa que poco o nada tiene que ver con un análisis de riesgos centrado en la seguridad de la información (de hecho, y una vez más, lo primero es de alcance más amplio que lo segundo).
– Para terminar, el DPD debe -dentro de sus funciones- asesorar a quienes se encarguen del tratamiento de datos. E, irónicamente, esto incluye al responsable de seguridad. Lo que, a los ojos del informe de la AEPD, podría generar conflictos de intereses en caso de que ambas posiciones fueran ocupadas por la misma persona.
Por todo ello, la AEPD recomienda como norma general distinguir ambas posiciones (RdS vs DPD).
Si tiene alguna duda sobre posibles situaciones excepcionales que afecten a su Administración, póngase en contacto con nosotros y se la aclararemos gustosamente.
Fabián Plaza Miranda, Auren Abogados y asesores Fiscales