La Regulación General de Protección de Datos de la Unión Europea describe un curioso rol, desconocido hasta ahora por la mayoría de las organizaciones en el mundo: el Oficial de Protección de Datos.
Un Oficial de Protección de Datos es la persona designada por una empresa para monitorizar el cumplimiento de las normativas de protección de datos.
GDPR dedica una sección completa al OPD, a quien también menciona en muchos otros fragmentos. Al alcanzar la estructura de las organizaciones, los autores de GDPR querían dejar claro que la protección de datos es un asunto serio para los negocios.
Muchas empresas de todo el mundo necesitarían contar con un OPD ya desde el 25 de mayo de 2018, el día que la GDPR se hizo efectiva.
El trabajo de un Oficial de Protección de Datos
La función de un OPD es:
- Chequear si la organización está en cumplimiento con las regulaciones de protección de datos
- Informar a la organización acerca de violaciones a las regulaciones de protección de datos (y formas de resolverlas)
- Notificar a la organización sobre nuevos proyectos relacionados a la protección de datos
- Ser capaz de demostrar el cumplimiento de la organización a las autoridades de protección de datos
- Actuar como un intermediario entre la organización, la información de los individuos, y las autoridades de protección de datos
En la vida real, las tareas del OPD también incluyen actividades adicionales de protección de datos, como la creación de un Directorio de Procedimientos, la revisión de los resultados de auditorías externas, etc.
La función del OPD se superpone con la de los oficiales de Seguridad Informática o roles similares. Las principales diferencias son:
- Seguridad Informática es solo un aspecto de la protección de datos. El OPD también tiene que monitorizar el cumplimiento de otros aspectos de la protección de datos, como la minimización de datos, los derechos de los individuos, etc.
- Las empresas tienen la libertad de designar un oficial de Seguridad Informática. Sin embargo, en muchos casos, asignar un OPD es obligatorio.
¿Mi empresa necesita tener un OPD?
GDPR requiere que las empresas designen un OPD, si: a) procesa (recibe, almacena, manipula, consulta, etc.) datos personales relacionados a los residentes de la Unión Europea, y b) adicionalmente, cumple uno o más de los siguientes criterios:
- La organización es un organismo público (agencia o ente de gobierno).
- La organización realiza “actividades centrales” que “requieren monitorización regular y sistemática de los sujetos de los datos a gran escala”. Por ejemplo, bancos (que realizan chequeos anti-lavado de dinero), empresas de telecomunicación o empresas que realizan vigilancia en video.
- La organización realiza "actividades centrales basadas en el procesamiento a gran escala” de alguna de las siguientes categorías de datos personales especialmente sensitivos:
- “datos personales que revelen orígenes étnicos o raciales, opiniones políticas, creencias religiosas o filosóficas, participación en sindicatos, y el procesamiento de datos genéticos o datos biométricos […], datos concernientes a la salud o la vida u orientación sexual de una persona” (Artículo 9). Un ejemplo podría ser una empresa que verifique datos genéricos para prescripciones de asuntos de salud.
- “datos personales relacionados con sentencias criminales y ofensas o relacionadas a medidas de seguridad”.
Además, leyes nacionales pueden requerir que una organización disponga de un OPD, incluso para casos en los que GDPR no lo requiere.
GDPR recomienda crear la función de OPD voluntariamente, para los casos en los que no sea obligatorio.
Finalmente, si ha analizado los puntos anteriores y determinado que su organización no requiere de un OPD, igualmente debería documentar las consideraciones que lo llevaron a tomar esa desición.
¿Cuáles son los requerimientos de un OPD?
Un OPD debe tener "conocimiento experto en leyes y prácticas de protección de datos”. Más allá de eso, la persona seleccionada debe ser capaz de realizar las tareas detalladas anteriormente.
¿Qué tengo que hacer por mi OPD?
Su OPD necesita contar con el poder necesario para cumplir con su trabajo. Eso puede consistir en una oficina o una computadora, pero también significa acceso a toda la información necesaria, incluyendo proyectos confidenciales o secretos.
Usted no debe interferir con el trabajo del OPD, evitando que analice alguna actividad. Para evitar conflictos de intereses, un OPD no suele ser un miembro del directorio, a menos que su posición en el directorio esté limitada a las funciones de OPD.
El OPD debe estar involucrado activamente en cualquier nuevo proyecto que tenga un mínimo contacto con datos personales.
El OPD es siempre una sola persona, pero si es necesario, puede contar con un grupo que lo asista en su trabajo. En empresas pequeñas, el OPD debe revisar los reportes de cumplimiento, descripciones de proyectos, y los resultados de auditorías de seguridad. En una empresa de mayor tamaño, puede contar con la ayuda de otros para analizar esa información y proporcionarle una versión resumida.
¿El OPD puede ser externo?
Sí, el OPD puede ser un proveedor de servicios externo. De hecho, como estimó la Asociación Internacional de Profesionales de Privacidad, GDPR creará una demanda global de alrededor de 75.000 OPDs en todo el mundo, y es poco probable que todos sean seleccionados de entre los empleados de las organizaciones.
Si no nos gustan las opiniones del OPD, ¿podemos despedirlo?
Solo si puede demostrar que el OPD no está haciendo bien su trabajo. Si le dice que su organización está fracasando en el cumplimiento de los estándares de GDPR, tal vez esté haciendo un excelente trabajo, por lo que no debe deshacerse de él.
Si mi organización fracasa en el cumplimiento de GDPR, ¿podemos culpar a nuestro OPD?
No. El rol del OPD es señalar lo que está bien o mal en relación al cumplimiento de GDPR. Hacer el seguimiento y trabajar en esos aspectos, depende de su organización.
¿Cuál es el beneficio para mi organización?
Más allá de que la obligación de designar un OPD y proveerle los poderes necesarios parezca un costo, su organización se verá beneficiada con los siguientes aspectos:
- Un experto propio en protección de datos
- Un “segundo par de ojos" para su Seguridad Informática
- Reducción de las preocupaciones de cumplimiento
- Para las grandes empresas, un solo responsable de interactuar con las autoridades de protección de datos
- Una revisión de sus flujos de datos, sin costo extra
- Identificación de problemas de protección de datos antes de que puedan causar daño a sus clientes y su reputación
- Más confianza por parte de clientes y potenciales clientes
Muy largo, no lo leí
Si usted pertenece a una agencia pública, procesa una gran cantidad de datos, o procesa datos confidenciales, necesita tener un OPD para asegurar el cumplimiento de GDPR.
Reciba consejos para cumplir con GDPR
Queremos ayudarlo a cumplir con los requisitos de GDPR, incluyendo cómo evitar el acceso no autorizado a su información y encriptación de datos (tanto en reposo como en movimiento). Agende sin compromiso una consulta gratuita de 30 minutos para recibir asesoramiento de un especialista de Fortra en la normativa.