Olvídate de ver la protección de datos como un simple conjunto de normas.🌱 Piensa en esta disciplina como una planta viva, que se nutre constantemente de antecedentes y políticas internacionales para elevar el estado de la técnica y los estándares de seguridad. 🛡️En este ecosistema en constante cambio, un debate clave ha tomado fuerza: los roles del DPO y CISO.
La normativa no aborda directamente si la misma persona puede aglutinar los dos roles, pero, ¿Qué podría impedirlo? ¿Es realmente aconsejable que ambas figuras estén separadas en una organización?🤔
La respuesta nos obliga a mirar más allá de la ley, directo al corazón del problema: el potencial conflicto de intereses.
💡 Para entrar en contexto:
📚DPO
Así se conoce al Delegado de Protección de Datos; se trata de una figura que garantiza el cumplimiento de la normativa, asesora a la empresa sobre la gestión de sus datos y es el punto de contacto con la Agencia Española de Protección de Datos (AEPD). Si bien no es obligatorio que exista esta figura para todas las empresas (solo las que tratan datos a gran escala) no deja de ser recomendable y sirve como figura preventiva y probatoria del cumplimiento de los principios de protección de datos personales por la empresa en cuestión. Supervisa el cumplimiento normativo en materia de datos personales, sin decidir sobre los fines ni los medios del tratamiento.
💻CISO
Se conoce así al Chief Information Security Officer (Director de Seguridad de la Información), es una figura que diseña los programas y políticas de protección de activos digitales y, por ende, la adecuada gestión de la información contenida en los mismos.
Para la protección de datos, es quien asegura la protección “física” de los datos y los sistemas que los resguardan y es quien da respuesta a los incidentes en donde pudieron haberse filtrado. En definitiva, es quien desarrolla y ejecuta la política de protección de datos de la empresa.
Conviene precisar que el CISO desarrolla y ejecuta la política de seguridad de la información, mientras que el DPO asesora y supervisa el cumplimiento normativo en materia de datos personales, sin decidir sobre los fines ni los medios del tratamiento.
👉¿DPO y CISO: Dos roles o dos en uno?
Para las mayores garantías, ambos roles deben estar presentes en una organización. ✅ Pero no todas las empresas tienen capacidad para asumir dos personas capacitadas para estas responsabilidades. Entonces, ¿podría la empresa que no tiene esas opciones designar a una sola persona para ser DPO y CISO a la vez?
La designación de una misma persona para ejercer ambos roles es vista con una clara desconfianza por parte de las autoridades competentes. La ley comunitaria solo indica que el DPO debe evitar conflictos de intereses cuando ejerza otros roles (38.6 RGPD⚖️). Pero, en principio, sería incompatible con el principio fundamental de independencia que esa figura debe tener para llevar a cabo su función.
El Comité Europeo de Protección de Datos (EDPB) y el Tribunal de Justicia de la UE (asunto C-453/21, “X-FAB”) han confirmado que sí hay conflicto de intereses cuando el DPO participa en la determinación de los fines y medios del tratamiento. Por ello, acumular funciones técnicas de seguridad (CISO) y de control independiente (DPO) suele ser visto como problemático.
📌 Criterio de la AEPD sobre el DPO y CISO
Ante la falta de una norma concreta, la AEPD ha establecido el criterio general de que deben ser personas distintas, pero con una clara excepción. Las organizaciones que, debido a su tamaño y recursos, no puedan separar ambos roles, tienen permitido que una misma persona los comparta.🏢⚙️
*️⃣ No obstante, para acogerse a esta excepción, la entidad debe aportar pruebas de la existencia de medidas organizativas documentadas en una política escrita que garanticen la independencia del DPO y prevengan conflictos de intereses.
Según la AEPD, el DPO no debe participar en decisiones relativas a los fines y medios del tratamiento de datos. Esto resulta desafiante para roles como el de CISO, cuyas responsabilidades implican definir cómo se asegura la información, lo que incide en los «medios de tratamiento».
El CISO es parte activa en el «cómo» se protege la información. El conflicto surge cuando la misma persona diseña los sistemas y también debe auditarlos de forma independiente, pudiendo vulnerarse así, al menos potencialmente, el principio de imparcialidad exigido al DPO.
📝¿Qué elementos pueden incluir esta política para regular los roles del DPO y CISO ?
A los fines de garantizar el ejercicio imparcial de las funciones del DPO por aquella persona que, a la vez, actúa como CISO en una organización concreta, su política puede incluir:
Así, no se trata de fijar un mero ejercicio de verificación, sino que se ha de exigir una evaluación exhaustiva y una articulación y ejecución clara de la política. Por ejemplo, una documentación inadecuada puede dar lugar a sanciones. Estas pueden de hasta 20 millones de euros o el 4% del volumen de negocio anual global de la empresa ( artículo 83 RGPD).
🔍¿Necesitas ayuda para evitar estos riesgos?
En The Lighthouse Team acompañamos a nuestros clientes en todo el proceso de vida de sus negocios.🧭 Creemos que una buena planificación y el aprovechamiento de todos los recursos disponibles puede impulsar un negocio a las nubes. #somosfareros
Seguimos adelante, en equipo. ¿Te sumas?🤝✨
