Antes de analizar el rol del Delegado de Protección de Datos en el desarrollo de sistemas de información, es necesario conocer la figura del Delegado de protección de Datos (DPD) y realizar una breve referencia a los sistemas de información.
El Delegado de protección de Datos es una novedad introducida por el Reglamento Europeo 2006/679, se encuentra regulada en los artículos 37 a 39. Sus funciones, básicamente son las de informar, asesorar, cooperar, consultar y ser en definitiva, el punto de contacto en la organización en todo lo relativo a protección de datos.
Ante la novedad que supone la introducción de la figura, surge la duda de cuales serán los requisitos y características que deba cumplir el DPD. La AEPD, ha establecido un esquema de certificación de Delegados de Protección de Delegados basado en la norma ISO 17024, donde se establecen los requisitos generales para los organismos que realizan certificación de personas. La certificación no es obligatoria y tampoco la única vía o medio para ser DPD. Sin embargo, si que será necesario algún mecanismo análogo que certifique y pueda servir de garantía para acreditar la cualificación y capacidad profesional, así como, los conocimientos requeridos. Como ya hemos mencionado, la AEPD ofrece un mecanismo para tal certificación, que serán otorgadas por entidades certificadoras debidamente acreditadas por La Entidad Nacional de Acreditación (ENAC). El fin último de esta certificación es ofrecer seguridad y fiabilidad al tratamiento de datos personales del interesado.
A su vez, los sistemas de información pueden definirse como, un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su uso posterior, generados para cubrir una necesidad o un objetivo. Al ser tan variados los sistemas de software que existen y las tecnologías que lo forman son muchos los modos para que la organización desarrolle y supervise la vida de sus sistemas de información.
La forma y contenido del Plan de Sistemas de Información alineado en todo momento a los objetivos estratégicos de la organización, responde básicamente al siguiente esquema: ANÁLISIS de la situación actual, ARQUITECTURA, donde se diseña en cierta medida cómo deben ser los sistemas informáticos de futuro y dónde encajar los sistemas nuevos que se desarrollen, y una última fase, el PROYECTO en el que se establecen las prioridades y se lleva a cabo una descripción de los proyectos que se van a acometer desde un punto de vista funcional (por ejemplo, en los proyectos a acometer a corto plazo se requerirá mayor nivel de detalle en los mismos: presupuesto, personas encargadas…
El DPD deberá participar en la elaboración del Plan de Sistemas de Información que se quiere implantar. Para ello, dispondrá de los recursos económicos, de infraestructura e incluso de personal durante todo el ciclo de vida del nuevo sistema de información implantado, otorgándole así, total independencia, característica fundamental para la figura del Delegqado de Protección de Datos.
Algunas de las actuaciones que deberá llevar a cabo, en función de la fase donde nos situemos son: en la fase de análisis del Plan, el DPD identificará en qué actividades y en qué sistemas de información se realiza tratamiento de datos personales, se determinará, por tanto el alcance de la labor del DPD; en el desarrollo o definición de la arquitectura del Plan, su función será la de concretar requisitos globales para todos los sistemas que tratan datos personales, sobretodo a los que se refiere el artículo 25 (protección desde el diseño y por defecto); y, en último lugar, en cuanto a la lista de proyectos a acometer, el DPD deberá estar presente en ellos y avisar en caso de que entienda que sería aconsejable realizar una evaluación de impacto en determinados tratamientos.
En conclusión, el Delegado de Protección de Datos tendrá una participación activa en el Plan, siempre que, a la hora de implantar un nuevo sistema de información en una organización o en su actualización vaya a producirse un tratamiento de datos personales. Tendrá que identificar los riesgos y buscar soluciones para solventarlos.
