Como hemos dicho en otras oportunidades, los equipos de ciberseguridad y los equipos SOC son fundamentales para cualquier tipo de empresa, ya sea una pyme, mediana o grande. Dentro de estos grupos de trabajo, tenemos distintos roles, cada uno con su importancia y protagonismo en su actividad. Hoy conocerás uno específico e importante: el DPO.
¿Qué es un DPO?
Llamado DPO, o Delegado de Protección de datos, es el que se encarga de controlar y supervisar que en una empresa se esté cumpliendo el Reglamento General de Protección de Datos. Haciendo lo necesario para que no se ponga en riesgo nunca la protección de los datos. La designación de un DPO no es siempre obligatoria, pero es altamente recomendada, especialmente en empresas grandes.
El DPO puede ser tanto interno de la ciberseguridad de la empresa, como también externo, contratado. Debe contar con conocimientos especializados en ciberseguridad y con habilidades en lo interpersonal. Debemos decir que no siempre se le exige una certificación de especialidad.
¿Cuáles son las funciones específicas de un DPO?
- Mantener informado y asesorar al encargado del tratamiento de los datos. Así como también, a los empleados que deban manejar datos específicos que le competan. Teniendo en cuenta las leyes de protección de datos del país donde se ejerza.
- Supervisar que se realiza el cumplimiento de lo planteado en el RGPD, así como también en el resto de normativas que rigen sobre la información. Tener en cuenta siempre las políticas del encargado, entendiendo los roles y las responsabilidades asignadas a los distintos empleados. Especialmente de los que tienen un rol activo en las auditorías de ciberseguridad.
- Brindar el asesoramiento sobre seguridad de información que se le solicite. Especialmente sobre cualquier tópico que impacte en la protección de datos.
- Ayudar a la autoridad de control en las tareas diarias.
- Gestión de las mejores prácticas a la hora de diseñar una política de backups.
- Ser un intermediario entre la autoridad designada y los empleados a la hora del tratamiento y manejo de crisis.
¿El DPO es un rol obligatorio en los equipos de ciberseguridad?
Una particularidad de este rol de ciberseguridad, es que no es completamente obligatorio. Pero, ¿Cuándo es necesario tener uno?
- Cuando el tratamiento de los datos lo lleva una autoridad o un organismo público; excepto cuando se trate de tribunales que estén actuando en ejercicio pleno de función judicial.
- Si las actividades principales del responsable de la seguridad de la información consisten en operaciones de tratamiento constante, habitual, sistemático, ahí es cuando se necesita un DPO inspeccionando.
- Si las actividades de las autoridades encargadas significan tratamiento de categorías especiales, de datos personales.
DPO: Ejemplos donde se necesita uno
- Colegios profesionales. Por ejemplo, de abogados.
- Establecimientos docentes que ofrezcan cualquier tipo de enseñanza aprobada y regulada por leyes que alcancen al sector.
- Organizaciones que utilicen redes, que ofrezcan servicios de telecomunicaciones. Siempre cumpliendo con las legislaciones específicas del sector en cada país.
- Prestadores de servicios en el ámbito de la industria del conocimiento. Cuando empleen información de los usuarios a gran escala.
- Empresas del ámbito financiero, del crédito y el préstamo.
- Todo tipo de aseguradoras.
- Empresas de seguridad privada.
¿Un DPO debe tener conocimientos jurídicos?
Debido al tipo de trabajo que se ejerce, donde se maneja información delicada y bajo estándares legislados, la respuesta es que sí. Un DPO debe tener conocimientos jurídicos.
Cuando hablamos directamente del perfil actual, podemos decir que la mayoría de las personas que se encargan de este puesto, tienen un titulado en Derecho. Son totalmente idóneas en el tema, pero también deben contar con conocimientos amplios en ciberseguridad y gestión del riesgo empresarial.
Independencia del DPO
En este rol, es muy importante la autonomía y la independencia, tanto en recursos como en decisión. Esto también juega en la decisión que se tome sobre la posición del DPO en la empresa. En un ámbito ideal, es muy importante que el DPO participe, desde etapas tempranas, en el cumplimiento y organización de las políticas de ciberseguridad, en todo lo relacionado con la protección de datos.
El DPO tiene que ser un interlocutor de la seguridad de la información de una empresa. Debe participar de los distintos grupos de trabajo y estar enterado de los procesos y de los avances que se realicen en materia de ciberseguridad.
A modo de conclusión
A modo de conclusión, es importante entender que los DPO son los encargados de garantizar el cumplimiento del Reglamento General de Protección de Datos. Teniendo esto en cuenta, damos cuenta del importante rol que tiene este en las empresas y en la gestión de la seguridad de la información.
Esperamos que este artículo haya aclarado tus dudas respecto a este particular puesto en ciberseguridad. Esclareciendo la función que cumple y si tu organización, ya sea una pyme o una gran empresa, debe contar con uno o no. Ya que será el encargado de la formación en ciberseguridad de los empleados de la organización.
