La figura del DPO en el desarrollo de los sistemas de información

Pantalla de ordenador sistemas información, proceso en el que está implicado el DPO, figura que Conversia puede asumir

El próximo 25 de mayo de 2018 el Reglamento General de Protección de Datos será de plena aplicación en todo el territorio europeo. Una de las novedades que incorpora el RGPD es la creación de la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés), cuya misión es garantizar la correcta aplicación de esta normativa en la compañía en la que ostente el cargo. Descubre más sobre esta figura en este post de Conversia.

La importancia del Delegado de Protección de Datos

Hace unos meses, Conversia publicó una infografía con el fin de diferenciar los diversos perfiles que desempeñan un papel importante en materia de protección de datos dentro de una compañía. A veces, estos perfiles presentan confusión y por este motivo y para profundizar un poco más sobre la figura del DPO, la Agencia Española de Protección de Datos (AEPD) ha empezado una serie de artículos para explicar la participación del Delegado de Protección de Datos en el ciclo de vida de los sistemas informáticos de una compañía. Teniendo en cuenta que los sistemas informáticos tratan datos personales, es totalmente aconsejable que el DPO participe de forma activa en este proyecto, trabajando juntamente con el departamento de Tecnología de la Información y Comunicación (TIC).

El DPO, pieza clave en el Plan de Sistemas de Información

El primer capítulo de esta serie trata sobre el rol que debe desempeñar el DPO durante la planificación de los sistemas informáticos.

Previamente, es necesario saber que, como cualquier plan, el objetivo del Plan de Sistemas de Información de una compañía es establecer unas bases de referencia para los sistemas, de manera que su desarrollo sea coherente y acorde a los objetivos de la empresa. Normalmente cuenta con: un análisis de la situación de la compañía; una arquitectura sobre cómo deben ser los sistemas informáticos y cómo se relacionarán entre sí y con el mundo exterior; y unos proyectos concretos para crear, desarrollar o modificar los sistemas de información de la compañía.

Como el plan es una estrategia para toda la organización, todos los máximos responsables deben implicarse activamente en él, incluso el Delegado de Protección de Datos. Este debe asesorar e informar sobre qué obligaciones impone el RGPD en el tratamiento de datos personales y por este motivo debe estar presente en el desarrollo del plan desde la primera fase.

En la fase de análisis, el DPO conocerá en qué tipo de actividades y sistemas de información se tratan datos personales y qué tipo de datos son. Por ejemplo, si una empresa trabaja con cinco sistemas o programas, pero solamente hay dos que tratan con datos personales, ya sean de clientes, proveedores o empleados, el Delegado será imprescindible cuando se trabaje en relación a estos dos, pero podrá ser prescindible cuando se realicen proyectos entorno a los otros tres. Este análisis también puede ser útil para que la empresa establezca directrices sobre cuándo se debe consultar al DPO y cuándo no es necesario.

En la fase de arquitectura, cuando se defina la estructura de los sistemas, el DPO podrá aportar su visión para establecer los requisitos globales que deben tener todos aquellos sistemas o programas que traten con datos personales. En esta fase se podrá profundizar sobre temas como la transferencia internacional de datos, la auditoría de datos personales o el ejercicio de los derechos de acceso por parte de los usuarios.

Finalmente, en la parte dedicada a los proyectos, el DPO deberá estar presente en la formulación de estos para avisar cuando puede ser necesario realizar una evaluación de impacto del tratamiento que se realiza de los datos.

Conversia asesora y adapta en materia de protección de datos

En Conversia disponemos de un servicio de adaptación a la normativa de Protección de Datos vigente, tanto al RGPD como a la LOPD, servicio que se adecua a las necesidades de cada cliente, al mismo tiempo que se proporciona formación, un seguimiento y auditoría para garantizar el correcto cumplimiento de la legislación en vigor.