¿Por qué el CISO no debería ser designado como DPO en una organización?

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Por Daniel Monastersky – Socio Data Governance Latam

Muchas empresas buscan designar a un Delegado de Protección de Datos (DPO) dentro de su organización para asegurar el cumplimiento del Reglamento General de Protección de Datos (RGPD). Sin embargo, la pregunta que surge es si es apropiado designar al Chief Information Security Officer (CISO) para desempeñar ambas funciones. En este artículo exploramos por qué el CISO no debería ser designado como DPO y cuáles son los riesgos que esto podría implicar para la organización.

El Reglamento General de Protección de Datos establece que el DPO debe ser independiente en el desempeño de sus funciones y no estar en situación de conflicto de intereses. En este sentido, es importante señalar que el CISO, al ser responsable de la seguridad de la información y de la gestión de los riesgos de seguridad de la organización, podría no ser el candidato más idóneo para desempeñar el rol de DPO.

Según lo establecido por el RGPD, el DPO debe tener “conocimientos especializados en materia de protección de datos”. Si bien el CISO puede tener habilidades y conocimientos en materia de seguridad de la información, esto no significa que tenga la formación y experiencia necesarias para cumplir con las responsabilidades del DPO. En este sentido, el Comité Europeo de Protección de Datos (CEPD) ha señalado que “ser un experto en seguridad de la información no equivale a ser un experto en protección de datos” (CEPD, 2021).

Por otro lado, el CISO puede estar más enfocado en la seguridad de la información y en minimizar los riesgos de seguridad, mientras que el DPO debe asegurarse de que se cumpla con la normativa de protección de datos, proteger los derechos de los interesados y promover una cultura de protección de datos. Esto podría llevar a situaciones en las que el CISO implemente medidas de seguridad que limiten los derechos de los interesados, lo que sería contrario al enfoque del DPO de proteger los derechos de los interesados.

Además, el CISO puede tener incentivos para minimizar los riesgos de seguridad de la organización, incluso si esto implica incumplir con ciertos aspectos del RGPD. Por ejemplo, el CISO podría considerar que el borrado de datos personales es un riesgo de seguridad y tratar de evitarlo, mientras que el DPO debería asegurarse de que se cumpla con el derecho al olvido de los interesados.

Por otro lado, el DPO debe ser independiente en el desempeño de sus funciones, lo que significa que no puede recibir instrucciones del responsable del tratamiento o del encargado del tratamiento. Si el CISO es designado como DPO, es posible que reciba instrucciones o presiones indebidas por parte de la alta dirección para tomar decisiones que no son adecuadas para la protección de datos, lo que podría comprometer su independencia.

Asimismo, el GT29 ha destacado la importancia de que el DPO tenga un perfil independiente y no tenga ningún conflicto de intereses con la organización, y que tenga una relación directa con la alta dirección. El CISO, al estar subordinado a la alta dirección, podría no cumplir con estos requisitos.

Además, es importante destacar que el RGPD establece que el DPO debe tener acceso a recursos suficientes para desempeñar sus funciones de manera efectiva, incluyendo personal, infraestructura y presupuesto. Es posible que al designar al CISO como DPO, la organización no esté proporcionando los recursos necesarios para que el DPO pueda cumplir con sus responsabilidades adecuadamente.

En conclusión, designar al CISO como DPO puede generar conflictos de intereses y comprometer la independencia del DPO. Además, el CISO puede no tener la formación y experiencia necesarias para cumplir con las responsabilidades del DPO. Por lo tanto, es recomendable que la organización designe a una persona externa o a un equipo interno dedicado exclusivamente al cumplimiento del RGPD como DPO, en lugar de delegar esta función en el CISO.

Referencias:

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *