El DPO como servicio (DPO as a Service, DPOaaS) es una solución práctica, rentable y conveniente para la responsabilidad activa, en organizaciones que necesitan adquirir experiencia y conocimiento en protección de datos, necesarios para cumplir con sus obligaciones de DPO según el Reglamento General de Protección de Datos, RGPD.
Al externalizar las tareas y funciones del DPO con un proveedor de servicios de gestión, la organización obtiene acceso al asesoramiento y orientación de expertos que le ayudan a abordar las exigencias de cumplimiento del RGPD y mientras se puede centrar en sus actividades de negocio principales.
Este servicio ha de ser proporcionado preferentemente por un DPO Certificado y Cualificado (persona u organización) especialista en privacidad de datos, ciberseguridad y servicios de asesoramiento legal y de cumplimiento.
El RGPD permite a las organizaciones externalizar el papel del DPO como servicio para la realización de las tareas exigidas en el RGPD, con el objeto de alcanzar el nivel de cumplimiento deseado.
El DPO como servicio de privacidad y protección de datos, no sólo se limita a las tareas y responsabilidades del RGPD, sino que ha de estar basado en un plan anual de protección de datos para establecer todos los pasos que hay que dar hasta alcanzar el nivel deseado de cumplimiento.
El DPO ha de promover que la organización cumpla con la legislación, actúe en consecuencia con respecto a las prácticas de protección de datos y tenga el control general de las actividades de tratamiento de datos. Para algunas organizaciones, es obligatorio tener un nombrado DPO, pero siempre es muy recomendable por los beneficios que aporta, como por ejemplo los siguientes:
- Disponer de un equipo experimentado de especialistas con amplia experiencia en actividades de protección de datos en campos complejos.
- Subcontratación de manera flexible de las actividades relacionadas con la protección de datos y facilidad para dedicación al negocio principal.
- Mejora del nivel de cumplimiento del RGPD y la LOPDGDD.
- Mitigación del riesgo de un conflicto de intereses del DPO interno.
- Control y estructuración de las actividades de privacidad y protección de datos.
- Organización de tareas y responsabilidad activa.
- Garantías del cumplimiento.
El DPO puede realizar, por ejemplo, las siguientes tareas:
- Supervisar y ayudar a redactar y mantener un plan anual de protección de datos.
- Orientación en operaciones prácticas, como capacitación del personal, creación y mantenimiento de inventario de datos y registros de actividades de tratamiento, así como procesos y planificación.
- Informar y asesorar a la organización sobre privacidad y protección de datos.
- Evaluar el grado de cumplimiento.
- Asesorar en el imprescindible análisis de riesgos y si es necesario en su caso, en la evaluación de impacto.
- Cooperar y actuar como interlocutor con las Autoridades de Control.
En la tabla a continuación se muestran algunas de las actividades principales que el DPO puede realizar orientativamente según el tamaño de la organización:
DPO como servicio (RGPD) |
PEQUEÑA< 20 |
MEDIANA21 – 500 |
GRANDE> 500 |
|
| Dedicación del DPO Cualificado para ayuda externa a la organización | ✓ | ✓ | ✓ | |
| Análisis e información de la adecuación al RGPD y carencias reglamentarias | ✓ | ✓ | ✓ | |
| Prerrequisitos para el servicio como DPO | ||||
| Suministro de asesoría virtual y técnicas para garantizar el cumplimiento | Hasta 48 horas de consultor anuales | Hasta 96 horas de consultor anuales | Hasta 192 horas de consultor anuales | |
| La prestación anual de consultoría incluye: | ||||
| Revisión y asesoría sobre política de privacidad, procedimientos y documentación relativa al tratamiento de datos personales Artº. 39(1)(a) | ✓ | ✓ | ✓ | |
| Supervisión del establecimiento y mantenimiento de los registros de tratamiento de datos personales (Registros Artº. 30) Artº. 39(1)(a) | ✓ | ✓ | ✓ | |
| Información sobre la realización del preceptivo análisis de riesgos y supervisión de las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo. Artº 32 (1) (2). | ✓ | ✓ | ✓ | |
| Asesoría sobre la necesidad de una evaluación de impacto EIPD, sobre su desarrollo e implantación y sobre sus resultados.
Art. 39(1)(c) |
✓ | ✓ | ✓ | |
| La EIPD puede ser llevada a cabo para los responsables TIC como un servicio separado | ||||
| Orientación para el control, reporte y gestión de las brechas de seguridad.
Artº. 39(1)(a) |
✓ | ✓ | ✓ | |
| Cooperar y actuar como interlocutor con las Autoridades de Control para los asuntos de protección de datos. Artº. 39(1)(d) y (e) | ✓ | ✓ | ✓ | |
| Asesorar e informar a sobre las consultas y peticiones en base a los derechos de privacidad de las personas interesadas (información, acceso, rectificación, oposición, eliminación y, portabilidad de los datos) – Art. 38(4). | ✓ | ✓ | ✓ | |
| Los procesos de gestión de consultas y peticiones sobre los derechos de privacidad no están en el alcance de los servicios como DPO. | ||||
| Facilitar la concienciación sobre el RGPD y la formación de las personas implicadas en el tratamiento de los datos personales. | ✓ | ✓ | ✓ | |
| Sentar las bases y el entrenamiento en las buenas prácticas sobre el RGPD en los responsables, encargados y en la organización. | ||||
| Vigilar el cumplimiento de las exigencias del RGPD. Artº. 39(1)(b) | ✓ | ✓ | ✓ | |
| Asistir a la organización con información para identificar las actividades de tratamiento, verificando el cumplimiento del RGPD y proporcionando asesoría y orientación sobre las mejores prácticas. | ||||
| Información periódica a la alta dirección para asegurar el gobierno corporativo y la responsabilidad activa. | ✓ | ✓ | ✓ | |
