El responsable de seguridad en pequeñas empresas

El responsable de seguridad para Protección de Datos en pequeñas empresas

Las pymes y micropymes se enfrentan a riesgos particulares en el cumplimiento de la normativa de protección de datos, aún cuando no lleven a cabo un tratamiento de datos sensibles o en un alto volumen. Para ello es clave conocer los beneficios que puede aportar un responsable de seguridad.

Esos riesgos tienen dos factores: Por un lado, es frecuente que la seguridad y el cumplimiento no estén incluidos como uno de los pilares de su diseño de negocio. Esto supone que no haya reservas de recursos o partidas destinadas a este fin y sólo se implementan medidas cuando surgen las necesidades.  Por otro lado, existe un desconocimiento general, por falta de perfiles concretos, sobre las obligaciones a cumplir y la capacidad real de gestionarlas.  Las entidades toman consciencia de esto una vez que se hayan inmersas en las primeras reclamaciones.

Es necesario recordar, que el Reglamento General de Protección de Datos (RGPD) reserva todo un capítulo destinado a enumerar las obligaciones de los Responsables de Tratamiento, sin distinguir por el tamaño de la entidad. En dicho capítulo se establecen obligaciones generales como el diseño adecuado de los tratamientos, las relaciones con los prestadores de servicio, la configuración de la privacidad, u otras más específicas, como la seguridad de los datos y estudio de sus riesgos, la gestión de las brechas de seguridad o la designación de un Delegado de Protección de Datos.

En cualquier caso, la entidad que actúa como Responsable de Tratamiento (sea empresa, asociación, autónomo, comunidad de propietarios, etc) es la única responsable de cumplir con dichas obligaciones y la única sancionada en caso de no ser así.

¿Qué es un responsable de seguridad?

Frente a esta situación lo más prudente es asignar esta labor a un responsable de seguridad, de tal forma que haya una persona concreta que asuma la responsabilidad de que las tareas encomendadas para el cumplimiento se lleven a cabo.

El responsable de seguridad es la persona o grupo nombrado por la Dirección, y en dependencia directa de ésta, para implementar las medidas legales, técnicas y operativas que otros han resuelto como necesarias para el tratamiento seguro y privado de los datos.

Funciones:

  • Reportar directamente a la Dirección de la entidad y actuar bajo sus órdenes en todo aquello relacionado con el tratamiento de los datos personales. Por ejemplo, comunicando a la existencia de una brecha de seguridad o ejercicio de derecho a la Dirección.
  • Implementar las medidas que se hayan determinado o verificar que son implementadas por un tercero asignado. Por ejemplo, asegurándose de que las cláusulas de protección de datos que se han determinado están en la documentación o que la empresa de mantenimiento a actualizado los equipos y antivirus que se habían acordado.
  • Realizar los controles periódicos que se han establecido para asegurar la eficacia y actualización de las medidas, recogiendo y almacenando evidencias para ello. Por ejemplo, guardando los registros de las copias de seguridad automatizadas.

Ventajas:

  • Una única persona responsable que se encarga de que se cumpla tal y como se ha acordado.
  • Las necesidades, problemas y urgencias están en conocimiento de una persona concreta.
  • El seguimiento habitual que desempeña aporta perspectiva de la situación pasada y las necesidades futuras, conoce dónde están los cuellos de botella.

¿Qué dudas frecuentes surgen en torno al responsable de seguridad?

  • ¿El nombramiento de un responsable de seguridad es obligatorio? NO, es completamente potestativo y no se trata de una obligación legal, aunque es deseable en ausencia de un Delegado de Protección de Datos interno.
  • ¿El responsable de seguridad debe tener un cargo directivo o un perfil alto? NO, no existen requisitos de titulación o cargo, ni tampoco régimen de incompatibilidades respecto del responsable de seguridad. Sí que es deseable -que no necesario- que cuente con cierta experiencia en las dinámicas de la empresa. También que se trate de una persona acostumbrada a gestionar, en contacto con servicios externos o con algunas nociones tecnológicas.
  • ¿Un responsable de seguridad es igual que un Delgado de Protección de Datos? NO, el Delegado debe estar especialmente formado en los usos del RGPD y actúa a nivel de asesoramiento o resolución de dudas, forma y conciencia al personal. También asiste a la entidad evaluando el impacto en protección de datos, además de determina las medidas de seguridad y es el nexo de contacto con la Agencia Española de Protección de Datos. En general, supervisa el cumplimiento de la normativa de forma independiente de la Dirección. El responsable de seguridad sigue las órdenes de la Dirección y ejecuta las medidas acordadas.
  • ¿Un responsable de seguridad es lo mismo que un Director de Seguridad? NO, el Director de Seguridad es un profesional técnico altamente cualificado. Asume responsabilidades, toma decisiones, resuelve problemas, analiza los riesgos, las ejecuta, también lidia entre departamentos. El responsable de seguridad no requiere ser un perfil técnico, sino a menudo administrativo/informático con conocimiento del negocio y cierto margen de actuación.

¿Cuáles son las conclusiones en torno al responsable de seguridad?

Como ya se ha dicho, el responsable de seguridad asume las tareas concretas para lograr el cumplimiento, pero no cuenta con el margen de actuación de otras figuras. Por ello es fundamental tener claro cuáles son las limitaciones en su responsabilidad y consecución de los objetivos.

Limitaciones generales del responsable de seguridad:

  • No toma decisiones globales o de alto impacto. Tampoco aprueba presupuestos o partidas para compras o contratos.
  • No es responsable de determinar las medidas o las soluciones más idóneas, en su lugar propone, consulta o estudia, pero requiere de aprobación.
  • Requiere de cierta autoridad o potestad para lograr cumplir las tareas encargadas sin encontrar obstáculos internos.
  • Necesita que se le dote de medios aprobados por otros para poder realizar sus funciones.
  • Si no cumple su objetivo la entidad seguirá siendo responsable. De aquí la importante de que el responsable de seguridad se encuentre arropado en sus labores por la Dirección.

El responsable de seguridad es un cargo informal, basado principalmente en la confianza depositada por la Dirección en una persona para las cuestiones ya explicadas. Y, simultáneamente, un compromiso asumido por la persona concreta de informarse y gestionar voluntariamente dichas labores, más allá de su compromiso contractual (pero sin vulnerar sus derechos laborales).

Es decir, tras lo visto, queda claro que el responsable de seguridad no es un técnico especialista en seguridad o un jurista experto en la interpretación del Reglamento General de Protección de Datos. Se trata de un perfil con capacidad de hacer efectiva las medidas establecidas por otros, dándoles seguimiento y mantener informado en todo momento a sus superiores.

Autor: Alejandro Benítez Sanjosé, consultor en protección de datos.

 

Si tiene dudas al respecto no dude en ponerse en contacto con nosotros por cualquiera de los medios disponibles.

Comparte esta noticia, Elige tu red social!