seguritecnia 454

SEGURITECNIA Junio 2018 47 Seguridad Integral Conclusión Uno de los pilares principales del RGPD es la seguridad en el tratamiento de los datos, manifestado en el artículo 5 y en su desarrollo en el artículo 32, donde se indican los criterios para aplicar las me- didas de seguridad adecuadas al trata- miento. Aunque la nueva regulación intro- duce algunos cambios en los “princi- pios relativos al tratamiento”, que se de- rivan, entre otros, en mayor transparen- cia, información o cambios en la forma de obtener el consentimiento para de- terminados tratamientos, la mayor difi- cultad está en asegurar un cambio en el enfoque, donde el riesgo, la resiliencia y la responsabilidad proactiva deben lide- rar cualquier esfuerzo para garantizar el cumplimiento, obligando a una partici- pación e integración de todas las partes de la organización, desde los emplea- dos a la alta dirección, la cual ya tiene un rol activo. Por otro lado, la protección de la in- formación no puede basarse en la se- guridad lógica o física, por lo que se ne- cesitan modelos organizativos y recur- sos que permitan un enfoque completo e integrado de protección en aras de la efectividad y eficiencia. Finalmente, destacar la posibilidad de certificar este modelo mediante estándares como ISO/IEC 27001 o el propio ENS, lo que aportará mayores garantías y, por qué no, una ventaja competitiva a las organizaciones que lo decidan. S Supervisar la evaluación de impacto en la privacidad. Cooperar con la autoridad de control y ser el punto de enlace con la empresa. De igual modo, su posición también viene regulada legalmente, donde se destaca la independencia de sus fun- ciones respecto a la dirección y es- trategias adoptadas por la organiza- ción , solo pudiendo actuar en cuestio- nes relacionadas con la protección de datos y no pudiendo ser destituido ni sancionado por desempeñar sus fun- ciones. A su vez, responderá por sus ac- ciones ante el máximo órgano de direc- ción. En este sentido, cabe destacar que ya existe un esquema de certificación acreditado para DPOs que permite ga- rantizar su conocimiento, experiencia y competencias. En concreto, la figura 1 muestra cómo estos roles se coordinan y coo- peran entre sí. En relación a la convergencia del DPO con las figuras tradicionales que hemos expuesto con anterioridad, debemos señalar que, dado que los datos perso- nales se encuentran distribuidos por toda la organización y se deben definir responsabilidades para su protección a lo largo de toda la entidad, la principal labor del DPO será la confluencia y la unión entre todos ellos. Es por ello que podemos afirmar que el DPO es más visto como una figura educativa que como una figura de control en lo que se refiere al cumplimiento del RGPD. Asimismo, y durante los últimos años, diversas motivaciones han hecho emer- ger la figura de un nuevo rol, el CSO ( Chief Security Officer ) , cuyo objetivo es proporcionar una visión integral de la seguridad, tradicionalmente entendida como física y lógica. Tales motivaciones se podrían resumir en: La necesidad de afrontar de manera in- tegral nuevas amenazas por los cam- bios en el contexto externo e interno, por ejemplo nuevas formas de terro- rismo, fraude externo e interno, etc. El mayor grado de centralización y la dependencia sobre los sistemas de información, además de la necesidad de proteger las áreas, las instalaciones que los contienen y a las personas como algo crítico para el negocio. La aparición de regulaciones que im- pulsan un modelo integral, entre otras, la Ley de Protección de Infraes- tructuras Críticas, el ENS (Esquema Nacional Seguridad) y actualmente el RGPD. Ante este conglomerado de acrónimos, el RGPD ha instaurado una nueva figura, conocida como DPO ( Data Protection Officer ) , formado por un perfil jurídico- técnico en el esquema de gobierno del dato y cuya designación es obligatoria cuando nos encontremos bajo algunos supuestos. Sus funciones son: Informar y asesorar al responsable o encargado sobre la legislación. Supervisar el cumplimiento de la legis- lación y regulación aplicables. Figura 1.