CISO y DPO, ¿Necesidad u obligación?
Al hilo de mi último artículo titulado “Clasificación y tratamiento de la información. ¿Qué es y cómo nos protegemos?” donde comentaba la importancia de la información como activo de las organizaciones, vamos a hablar en esta ocasión de las personas encargadas de velar porque esa información y esos datos estén protegidos.
¿Qué es un CISO y un DPO?
Según INCIBE, “un CISO (Chief Information Security Officer) es el director de seguridad de la información. Básicamente es un rol desempeñado a nivel ejecutivo y su función principal es la de alinear la seguridad de la información con los objetivos de negocio. De esta forma se garantiza en todo momento que la información de la empresa está protegida adecuadamente”. (Fuente: https://www.incibe.es/protege-tu-empresa/blog/ceo-ciso-cio-roles-ciberseguridad)
Según el GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO 29, el DPO (Data Protection Officer) o DPD (Delegado de Protección de Datos), “Los delegados de protección de datos (DPD) serán el elemento central de este nuevo marco jurídico para muchas organizaciones, facilitando el cumplimiento de las disposiciones del RGPD”. (Fuente: https://www.aepd.es/es/documento/wp243rev01-es.pdf).
¿Cuán importante es un CISO o un DPO?
Cada día las organizaciones y los gobiernos son más conscientes de la importancia que tienen estas figuran, hecho que se ve reflejado en normativas que establecen la obligación de las empresas de tener un CISO o DPO.
En la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016 y su transposición en España, el Real Decreto-ley 12/2018, de 7 de septiembre, o el Real Decreto que la desarrolla, Real Decreto 43/2021, de 26 de enero, establecen la obligatoriedad de que las empresas consideradas operadores esenciales por dicha normativa cuenten la función del CISO.
Por otro lado, el Reglamento Europeo de Protección de Datos (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016) y la Ley Orgánica de Protección de Datos de Carácter Personal y de garantía de los Derechos Digitales española (Ley Orgánica 3/2018, de 5 de diciembre) establecen la necesidad y obligado de las empresas y organismos de contar con un DPO.
¿Qué empresas deben tener un CISO o un DPO?
Aunque mi opinión particular es que toda empresa debe tener un CISO y un DPO. Me basaré en la legislación vigente para contestar a esta pregunta:
Por un lado, el Real Decreto-ley 12/2018, de 7 de septiembre, o el Real Decreto que la desarrolla, Real Decreto 43/2021, de 26 de enero, en su articulo dos establecen que se debe tener un CISO en los casos que se trate de empresa:
- Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
- Los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
- Los operadores de servicios esenciales establecidos en España. Se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades.
- Los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
(Fuente: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-1192; https://www.boe.es/buscar/doc.php?id=BOE-A-2018-12257)
Por otro lado, el Reglamento Europeo de Protección de Datos (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016) obliga a tener un DPO designado en los casos que:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
Y la Ley Orgánica de Protección de Datos de Carácter Personal y de garantía de los Derechos Digitales española (Ley Orgánica 3/2018, de 5 de diciembre) en su artículo 34 establece que además de los ya marcados por el Reglamento Europeo se está obligado a designar un DPO para:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y re-aseguradoras
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo
- Los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo (LPBC-FT).
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes (excepto los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual).
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
(Fuente:https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673;https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32016R0679)
Si es cierto, que ambas normativas, o establecen la posibilidad o no la restringen, de contar con estas figuran de forma externa. Esto ha hecho que proliferen las compañías de consultoría especializadas que ofrecen servicios de Virtual CISO o Virtual DPO como medio de cumplir con la legislación vigente de una forma optimizada en cuanto a recursos y conocimiento de la materia.
Me viene una pregunta clara a la mente: ¿necesidad y obligación?, ¿necesitamos la figuras del CISO o el DPO?, ¿estamos preparados de verdad para entender una postura o la otra?
Para mí la respuesta está clara. Mi opinión al respecto y de forma resumida es: “estas figuras son una necesidad que, sin la obligación, es muy difícil cubrir”.
Creo que si el tejido empresarial y organizacional no se conciencia de la necesidad y requisitos que tienen estos roles no vamos a poder estar en disposición de afrontar de una forma efectiva las necesidades en materia de seguridad de la información y protección de los datos de carácter personal que tienen las empresas y las organizaciones en un mundo actual donde los ataques que vulneran los derechos fundamentales de los ciudadanos están a la orden del dial.
Desde Asseco intentamos hacer fácil el cumplimiento con esta necesidad que aquí plantemos. Si quieres saber como o estas interesado en profundizar ponte en contacto con nosotros en [email protected]
Carlos José García-Gallardo
CyberSecurity Director
Asseco Spain Group