El texto del título de esta reflexión no forma parte de las exigencias explicitas que el RGPD establece para ser Delegado de Protección de Datos, aunque personalmente echo mucho de menos el texto que remediaría esa carencia de redacción (y de fondo). En las próximas líneas trataré de explicar por qué, en mi opinión, el Delegado de Protección de Datos debe entender también de protección de datos; es decir, con los conceptos y actividades de seguridad relacionadas con la protección de los datos.

Todos sabemos que el artículo 37 del RGPD, en su apartado quinto, nos exige que el Delegado de Protección de Datos sea designado atendiendo a sus cualidades profesionales y en particular a sus conocimientos especializados del Derecho y la práctica de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39 del RGPD. Estas funciones tienen como principales funciones asesorar y supervisar.

Por otro lado, el artículo 32 del RGPD impone a los responsables de un tratamiento de datos personales la obligación de determinar y establecer las medidas de seguridad técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo en función del estado de la técnica, los costes de aplicación y, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas.

A fin de mantener la seguridad de los tratamientos, se exige al responsable evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos.

En dicha evaluación del riesgo deben tenerse en cuenta los riesgos que atenten contra los derechos y libertades de los interesados, especialmente sus derechos y libertades fundamentales.

Pues bien, además de asesorar y supervisar en los tratamientos de la Organización sobre cuestiones tales como el cumplimiento de los principios de licitud, transparencia y lealtad; de que las finalidades, las bases de legitimización y los tratamientos se ajusten a esos principios; de verificar que se proporciona la correcta información a los interesados y que se respetan sus derechos: que se determinan y cumplen de los plazos de retención de sus datos,  entre otras muchas cuestiones importantes, el trabajo del Delegado, no se circunscribe únicamente a estas cuestiones que están en un plano más afín a la práctica del Derecho. Difícilmente podrá desarrollar eficazmente la actividad de supervisión (e incluso el asesoramiento) si, por ejemplo, para verificar el cumplimiento del artículo 32 del RGPD, en un aspecto concreto como el de que los datos solo son accedidos por quienes legítimamente tienen autorización y consecuentemente que los controles de seguridad son los adecuados y están correctamente aplicados, se basa en un acercamiento a la tecnología TIC con un nivel de usuario avanzado y a la Ciberseguridad con un nivel de usuario concienciado.

Si el Delegado no tiene conocimientos suficientes, que le permitan tener un criterio fundado, sobre tecnología, plataformas y servicios, controles de seguridad, etc , tendrá que apoyarse  ciegamente en la información que le suministren (por ejemplo por parte del Responsable de Sistemas)  y aceptarla como válida, sin ponerla en duda, sin espíritu crítico, sin ejercer una verdadera supervisión.  Y en este punto se presenta además una paradoja:  al no producirse una evaluación critica de la situación,  ‘de facto’ al carecer de criterio,  el Delegado en realidad para su evaluación y toma de postura está admitiendo como buena una información, que podría contener una semilla de conflicto de intereses en su origen.

De esta forma, el delegado pensará que su postura está libre de conflictos de intereses, cuando en la realidad está asumiendo situaciones e informaciones (que pueden ser exactas, inexactas, incompletas o inexistentes) que en el caso de conocer las reales podrían representar objetivamente situaciones de conflictos de interés, y de los que no es consciente, por la mencionada falta de criterio y la consecuente permeabilidad a estas informaciones.

En mi opinión, el Delegado  debe tener la capacidad y el entendimiento para supervisar la información de cómo y en qué grado los datos personales están protegidos en los sistemas y, cuando se produzca un incidente que los comprometa, que sea capaz de entender las acciones que se adoptan, la extensión, el impacto y las medidas correctivas; es decir, de entender de evaluación y gestión de riesgos, de los controles que se proponen y de los que finalmente están en la declaración de aplicabilidad y de cómo estos se implantan, administran , mantienen y operan.

Para saber cómo de cerca o lejos está de ese plano, le recomiendo al DPD, si no lo ha hecho ya la lectura de la” UNE-EN  ISO/IEC  27701:2021 Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad de la información. Requisitos y directrices” y concretamente que tras la lectura del apartado “6.2 Guía específica del SGPI con la Norma ISO/IEC 27002” y que como autoevaluación, mentalmente y con su conocimiento previo, sea capaz a la lectura  de cada control de identificar que desarrolla cada control y que piense si es capaz  de identificar ejemplos concretos de: medidas, productos, procesos o arquitecturas de seguridad que hay detrás de cada uno de ellos.

¿Quiero decir con esto que el DPD debe ser un experto en TIC y en ciberseguridad?: no; si es un experto será perfecto, pero si no lo es, lo que defiendo es que, en la medida de lo posible y del tamaño y capacidades de la empresa, él con una base de conocimiento suficiente, debe tener los recursos profesionales expertos (ya sean internos o externos – incluso como servicio-) en TIC y ciberseguridad, que con el conocimiento que le aporten le permita, de una forma plena e independiente, llevar a cabo sus obligaciones.

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de AUTELSI