Responsable de Seguridad y Delegado de Protección de Datos, ¿2 en 1?

Responsable de Seguridad y Delegado de Protección de Datos, ¿2 en 1?

1000 417 Daniel Fustillos Carvajal

En el presente artículo desarrollaremos las dudas que han surgido en algunas organizaciones, con respecto a las incompatibilidades en el nombramiento de dos figuras diferenciadas, e interpuestas por normativas distintas; por un lado el Delegado de Protección de Datos (DPD), y por otro el Responsable de Seguridad (RSEG). Ambas figuras, aunque en materias distintas, desarrollan funciones cuyas finalidades se encuentran ligadas.

Por una parte, la protección de datos personales, a través del Reglamento General de Protección de Datos (UE) 2016/679, (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), buscan garantizar el respeto de los derechos fundamentales y libertades de las personas respecto al uso de sus datos, mientras que por otro lado, la seguridad de la información (como una esfera más dentro de la protección de los datos personales), a través del Esquema Nacional de Seguridad (ENS), se enfoca en los aspectos técnicos para la adecuada protección de la información.

Como podemos apreciar, si bien las normas que regulan ambas figuras protegen bienes jurídicos distintos, los mismos no son incompatibles, sino complementarios, puesto que dentro de la información que protege el RSEG se encuentran también los datos de carácter personal que son competencia del DPD.

Para poder realizar una distinción entre estas figuras, resulta necesario analizar las funciones que acorde a la legislación vigente, corresponde realizar a cada una:

  • Delegado de protección de datos

Con carácter general, la principal función del Delegado de Protección de Datos (recogida tanto en el RGPD como en la LOPDGDD) consiste en asesorar y supervisar las actividades de tratamiento de datos realizadas por los responsables y encargados de tratamiento.

Entre las particularidades de esta figura, nos encontramos con que la persona o comité designado para desempeñar esta función, podrá ser tanto un miembro interno de la organización, como de una compañía externa contratada específicamente para estas funciones. Asimismo, podrá realizar sus tareas a tiempo completo, o parcial, así como desempeñar otros cometidos y funciones, siempre y cuando no genere un conflicto de intereses. Es decir, deberá actuar de forma independiente, de modo que el cargo ocupado en la organización, no implique a su vez la toma de decisiones sobre los fines y medios del tratamiento de datos personales (“Directrices sobre los Delegados de Protección de Datos” Grupo De Trabajo Sobre Protección De Datos Del Artículo 29).

Asimismo, el DPD no podrá recibir instrucciones respecto al desempeño de sus funciones, rindiendo cuentas únicamente al más alto nivel jerárquico del responsable del tratamiento.

  • Responsable de Seguridad

Acorde al ENS, el Responsable de Seguridad tendrá la función de “determinar las decisiones para satisfacer los requisitos de los sistemas de seguridad de la información y de los servicios. Constituyendo una obligación de las organizaciones a las cuales les es aplicable el ENS, el establecer en su política de seguridad sus atribuciones, mecanismos de coordinación y de resolución de conflictos.

Con este planteamiento, y con el fin de optimizar recursos y acelerar la toma de decisiones, en las organizaciones ha surgido la cuestión de si ambas figuras pueden recaer sobre la misma persona, teniendo en cuenta las previsiones de evitar el conflicto de intereses que hemos mencionado.

En atención a esta casuística, las autoridades competentes en la materia se han pronunciado a través de distintos informes. Por un lado, la Agencia Española de Protección de Datos (AEPD), en su Informe 0170/2108, concluye que con carácter general, debe existir la necesaria separación entre el delgado de protección de datos regulado en el RGPD y el responsable de seguridad del ENS, sin que sus funciones puedan recaer en la misma persona u órgano colegiado”, estableciendo como excepción a esta regla, las organizaciones que por su tamaño o recursos no sea admisible la separación de estas figuras.

Por su parte, el Centro Criptológico Nacional (CCN) en su Guía CCN-STIC 801, sobre Responsabilidad y funciones en el ENS, tras recoger lo señalado por la AEPD, indica que, cuando excepcionalmente pudiera constituirse un Comité conjunto Seguridad de la Información/Protección de Datos, se deberá tener especial cuidado en analizar los posibles conflictos de intereses. En contrataste, cuando se constituyan Comités separados, nada obstaculiza que, teniendo en cuenta las precisiones señaladas, algunos miembros de ambos comités sean coincidentes, como sucede habitualmente con las Oficinas o Unidades de apoyo a la Seguridad de la Información.

Como conclusión, en primer lugar se debe tomar en consideración que no existe una disposición legal que prohíba de manera expresa que la persona u órgano colegiado designado como Delegado de Protección de Datos ocupe también el cargo de Responsable de Seguridad del ENS.

En ese sentido, tal y como señala el CCN en la citada Guía, se puede entender que la independencia a la que se debe la figura del Delegado de Protección de Datos, se ve debidamente cubierta si ambas figuras toman la estructura de Comités separados, dentro de los cuales, algunos miembros se compartan entre sí, con el fin de dar cumplimiento a las disposiciones normativas, así como para abarcar una visión global de la seguridad en la información y protección de datos.

Además, se considera recomendable que dentro de las estructuras de estos Comités se incluya la figura de un órgano asesor (en un sentido similar se manifiesta la ISO/IEC 29151:2017 Information technology-Security Techniques), como una Oficina de Seguridad, que cuente entre sus miembros con expertos tanto en el ámbito legal como técnico, los cuales presten apoyo, emitan informes y consideraciones a tener en cuenta por parte del resto de miembros del Comité para la toma de decisiones.

Como vemos, la sintonía de las distintas normas es la de aunar dentro de la protección de datos aquellas disposiciones que sean aplicables a la seguridad de la información, puesto que son materias íntimamente ligadas.