Cuando el nuevo RGPD comience a aplicarse en mayo de 2018, para muchas organizaciones implicará más que solo un cambio en la gestión de los datos. La nueva normativa también puede alterar el orden interno de las empresas, ya que deben asignarse nuevas funciones y responsabilidades. Este artículo analiza el papel del Delegado de Protección de Datos (DPD) y otros roles necesarios para cumplir sus requerimientos.
De acuerdo con el nuevo RGPD, las organizaciones y empresas deben designar a un Delegado de Protección de Datos en los siguientes supuestos:
El papel del DPD es informar y asesorar al responsable o encargado del tratamiento de datos de sus obligaciones para cumplir con el nuevo Reglamento General de Protección de Datos. También se les puede exigir formar a los empleados que procesan datos y supervisar el cumplimiento normativo por parte de la compañía. Además, trabajarán y cooperarán con la autoridad de control competente designada para supervisar cuestiones relacionadas con los datos y estarán disponibles para resolver las consultas que esta pueda realizar.
El Delegado de protección de datos puede ser un empleado de la compañía o un profesional externo, y no se le exige un título o certificado específico. No obstante, el nuevo Reglamento sí requiere que tenga experiencia profesional y conocimientos especializados del Derecho y la práctica en materia de protección de datos (proporcional al tipo de datos que maneja la organización y al nivel de protección que precise dicha información).
Dadas las obligaciones del DPD y la gravedad de las sanciones en caso de que se produzca una infracción (que pueden llegar a multas de hasta 20 millones de euros o el 4% de la facturación mundial anual de la compañía, la mayor de las cantidades), las empresas deberían comprobar que las pólizas de responsabilidad civil de sus Directivos y altos cargos (D&O) cubrirían al DPD en caso de litigio. Si bien muchas aseguradoras han ampliado la definición de asegurado para incluir a los Delegados de Protección de Datos en la cobertura de D&O, no se debe suponer que todas lo cubren.
La figura del director de datos está implantada en muchas compañías. Por lo general, son directores responsables de la gestión y uso global de datos, y sus funciones suelen abarcar el proceso de manejo de datos, su extracción -data mining- y el intercambio de información. El rol del director de información (CIO) difiere ligeramente en que es también responsable de los sistemas de IT que soportan los datos. Además, supervisan el mantenimiento del software, la actualización de los sistemas antiguos y la planificación de los nuevos.
Si bien un CIO no es directamente responsable de cumplir los requisitos del nuevo Reglamento, sí será responsable si se produce una infracción. Dado que el papel del CIO se está volviendo cada vez más importante, es probable que su póliza de D&O cubra una infracción como resultado de cualquier negligencia en su nombre.
Cuando se produjo el robo de datos de TalkTalk en 2016, hubo mucho debate acerca de la incorporación en las compañías de responsables de la lucha contra delitos cibernéticos. Su función se centraría en las labores de prevención -formando al equipo sobre riesgos potenciales de robo de datos y cómo evitarlos, así como colaborar estrechamente con el Delegado de protección de datos.
Podría parecer que una empresa cubre todas estas necesidades con los perfiles hasta aquí comentados (DPD, CDO, CIO y CCO), pero el nuevo Reglamento establece que su cumplimiento debe aplicar a toda la compañía. Siendo el error humano una de las principales causas del robo de datos, es fundamental que todos los empleados sean conscientes de todos los riesgos. Así, la formación de los empleados es crucial para aumentar su conocimiento de los riesgos cibernéticos y constituye una barrera importante para mantener a los hackers fuera de las redes corporativas.
Con todos los nuevos perfiles surgidos en torno a los datos, es fundamental tener muy claras sus diferentes responsabilidades. Si las empresas no cumplen los requisitos que precisan la incorporación de un Delegado de protección de datos, no tiene sentido asumir las responsabilidades más amplias que conlleva, por lo que conviene ser cautos y no asignar esta función si no es preciso.
"Aunque la labor del DPD solo es obligatoria para determinadas organizaciones, la recomendación que damos a muchos de nuestros clientes, especialmente a las grandes compañías, es que será difícil cumplir con la Ley sin contar con un Delegado de protección de datos encargado de la supervisión", asegura Jon Bartley, especialista en Protección de Datos y Ciberseguridad del bufete Reynolds Porter Chamberlain. “En la práctica, se necesitan personas que entiendan el concepto de privacidad, para que cada vez que sea preciso puedan aportar su conocimiento".
Richard Breavington, compañero de Bartley especialista en litigios tecnológicos y delitos cibernéticos, considera que la idea de tener un Delegado de protección de datos voluntario es útil en la etapa de notificación de un incumplimiento. Además, pese a que las pólizas de seguros cibernéticos siguen siendo bastante inclusivas, las compañías aseguradoras están y seguirán estando muy interesados en conocer si las compañías han implementado políticas y procedimientos sólidos para evitar y gestionar un quebrantamiento del Reglamento.
Como hemos indicado, el nuevo Reglamento requiere que una persona con experiencia profesional asuma el rol de Delegado de protección de datos, aunque se predice un déficit importante de personas cualificadas en esta materia. Es probable que las empresas subcontraten la labor del DPD y es bastante probable que surjan nuevos servicios en esta área. Es importante asegurar que el Delegado de protección de datos que se asigne esté accesible al resto de empleados y áreas relacionadas con datos, de modo que si la oficina central se encuentra en Madrid y cuenta con una sucursal en otra ciudad, pueda responder e interactuar fácilmente con todos los empleados. Además, cualquier contratación de un DPD debería detallar cuidadosamente el nivel de servicio que se le requiere.
Con la responsabilidad como un aspecto clave en el marco del nuevo Reglamento, el seguro Cyber ya no es el único relevante a considerar en caso de incumplimiento Contar con los responsables adecuados es también una cuestión de responsabilidad para los accionistas y, por tanto, también se hace necesario el seguro de D&O. Ha habido varios casos importantes de robo de datos que han motivado las quejas de los accionistas por no haber tomado las precauciones necesarias para evitar este riesgo. Con la actualización de las regulaciones de protección de datos y los requisitos que esto conlleva, ya no hay excusa para no garantizar una adecuada gestión de riesgos, lo que incluye la asignación de los responsables adecuados.