Familiarizarse con el RGPD de la UE (Parte 3): el DPO
[ad_1]
En la publicación final de nuestra serie de blogs de tres partes, discutimos el requisito de que muchas organizaciones designen un Oficial de protección de datos (DPO) bajo el Reglamento general de protección de datos de la UE (GDPR)y destacar la experiencia necesaria para quienes ocuparán el puesto.
¿Necesitas un DPO?
Según el nuevo RGPD de la UE, a partir del 25 de mayo de 2018, muchas organizaciones deberán designar un DPO. Y es aquí donde encontramos el primer escollo; ¿Su empresa es una de las que necesita ocupar este puesto?
La respuesta «oficial» es que todas las autoridades públicas deben designar a un RPD; cualquier organización que lleve a cabo un seguimiento sistemático de personas a gran escala; todas las empresas cuyas actividades principales impliquen el procesamiento de datos relacionados con condenas y delitos penales, u otras categorías especiales, como datos genéticos y de salud. Sin embargo, para ayudar a aliviar un posible dolor de cabeza regulatorio y evitar multas que podrían afectar gravemente las finanzas de una empresa, todas las organizaciones deberían considerar designar a alguien que sea responsable de garantizar el cumplimiento del RGPD. Tenga en cuenta que, para una organización donde el rol de DPO no es obligatorio, la guía es que la persona que asume esta responsabilidad se titula de otra manera, como ‘Practicante de datos senior’.
El rol del DPO incluirá brindar capacitación en seguridad con respecto a los procesos de protección de datos; evitar costosas violaciones de seguridad; y hacer que una empresa rinda cuentas por las fallas de seguridad, sin dejar de ser imparcial. Si bien la interpretación de estos criterios se debatirá en los próximos meses, es importante que quien ocupe el cargo tenga la capacidad y los conocimientos de seguridad necesarios para asumir ese rol.
¿Quién debería asumir el cargo?
El consenso es que, incluso si una empresa no requiere oficialmente un DPO, una persona debe ser responsable, ya sea interna o externamente, de garantizar el cumplimiento normativo. La siguiente etapa es determinar quién podría ocupar esos zapatos de seguridad de datos. Más allá de la capacitación en seguridad que se debe brindar y la función diaria de evitar costosas violaciones de datos, cualquier proceso nuevo que se introduzca dentro de una organización deberá someterse a una Evaluación de impacto de protección de datos (DPIA) para garantizar la privacidad desde el diseño. ¿Hay alguien internamente que tenga tiempo para asumir estas funciones?
La Guía de DPO también establece que quienes asuman el rol no deben tener un ‘conflicto de intereses’. Esto significa que no pueden participar en la recopilación o el procesamiento de los datos personales que se les ha encomendado proteger. Esto limita de alguna manera las opciones de quién puede ocupar este puesto, y casi con certeza descarta a la mayoría de la alta gerencia, así como a los equipos de seguridad y TI.
En organizaciones más grandes, puede ser tan simple como contratar a los mejores talentos para el puesto específico; sin embargo, para las empresas más pequeñas con medios limitados, esto puede no ser un lujo fácil de pagar. Una alternativa podría ser un DPO a tiempo parcial subcontratado. Esto podría brindar la combinación adecuada de habilidades y la imparcialidad requerida, sin la carga financiera de un miembro del personal a tiempo completo.
Descubra cómo NW Security podría ayudar a su empresa a cumplir con los requisitos de GDPR, con uno de nuestros consultores actuando como un DPO subcontratado para que pueda concentrarse en su negocio principal con la seguridad de saber que el cumplimiento de GDPR está asegurado: lea más sobre nuestra protección de datos (DPO ) Servicio.