Al tomar la decisión de subcontratar el servicio de DPO en una empresa tecnológica, es esencial comprender cómo tomar la decisión más adecuada en función de tus actividades concretas.
Con la implementación del Reglamento General de Protección de Datos (RGPD), las empresas necesitan revisar y actualizar sus prácticas de protección de datos. Esto es especialmente importante para aquellas empresas que tratan grandes cantidades de datos personales o que lo hacen de forma innovadora, como es el caso de las empresas tecnológicas. Uno de los aspectos clave para asegurar cumplimiento con el RGPD es la designación de un Delegado de Protección de Datos (DPO). Existen múltiples beneficios de externalizar la función del DPO, tal y como detallamos en este artículo.
Sin embargo, ¿cómo podemos asegurarnos de que elegimos el DPO más adecuado para nuestra empresa tecnológica? Antes de nada, es esencial comprender la función del DPO. Un DPO ayuda a asegurar que tu empresa cumple con la normativa de protección de datos aplicable y también son el punto de contacto entre tu empresa y los sujetos y entre tu empresa y las autoridades de control. Por lo tanto, es indispensable elegir un DPO que conozca el marco normativo de protección de datos que es relevante para tu sector. Por ejemplo, un proveedor de servicios de análisis de datos en la nube deberá cumplir con los requisitos específicos para los encargados de tratamiento, mientras que un desarrollador de una app de retail tratará la mayor parte de datos personales de sus clientes sobre la base legítima del contrato.
El DPO debería tener experiencia no sólo en protección de datos y normativa de privacidad, sino también en las leyes específicas que se aplican a tu industria en particular.
Al elegir a un DPO externo, es importante tener en cuenta su formación y experiencia dentro de tu sector. El DPO debería comprender en detalle los distintos procedimientos de tu empresa tecnológica y ser capaz de identificar los riesgos asociados. Además, las habilidades de comunicación son esenciales para desempeñar su función de punto de contacto para los individuos y las autoridades de control. Por ejemplo, las empresas Fintech tratan grandes cantidades de datos personales como nombres, direcciones y detalles de la cuenta bancaria y en algunos casos también tienen una serie de obligaciones legales por las cuales deben almacenar ciertas categorías de datos personales por un período de tiempo determinado. Un DPO externo con experiencia en el sector financiero puede ayudar a estas empresas a cumplir con la normative de protección de datos y a proporcionar seguridad a los clientes con relación a la seguridad de sus datos personales.
Es esencial también comprobar la reputación del DPO y su evolución. Un DPO con experiencia debería ser capaz de ofrecer referencias de otros clientes en la misma industria.
Antes de elegir un DPO externo es importante saber cuál es su disponibilidad y cuáles son sus tarifas.
Un DPO externo debería ofrecer expectativas razonables sobre su disponibilidad y ser capaz de responder a las preguntas de protección de datos o incidentes de forma rápida y proporcionar apoyo a tu personal. En consecuencia, es crucial asegurar que el DPO que elijas cuenta con los recursos y la capacidad para ofrecer sus servicios de manera eficiente, especialmente en caso de brechas de datos personales o emergencias.
Un ejemplo serían las empresas de Healthtech que ofrecen soluciones tecnológicas para el sector de la salud. Estas empresas tratan categorías especiales de datos personales, como registros médicos e información de los pacientes. En caso de brecha de datos personales que afecte a datos de salud u otra categoría especial de datos personales, un DPO externo con experiencia en esta industria puede ayudar de forma óptima a cumplir con los retos concretos que se derivan de estas circunstancias y contribuir a la seguridad de los datos de los pacientes.
También es importante comprobar los honorarios del DPO y confirmar que se encuentran dentro del presupuesto previsto para este rol. El coste de los servicios de un DPO externo debería ser inferior al coste de un DPO interno y, en cualquier caso, transparente. También ha de tenerse en cuenta el coste de servicios adicionales en caso de existir, como podría ser la realización de Evaluaciones de Impacto en algunos casos.
Un DPO externo debería tener en cuenta los retos a los que se enfrenta tu empresa y los aspectos concretos de la misma, incluido el tamaño de tu equipo, y estar dispuesto a ofrecer un enfoque de protección de datos personalizado según estos elementos.
Otro elemento clave es el enfoque que el DPO externo adopte con relación a la protección de datos, incluidas sus perspectivas al identificar riesgos potenciales e implementar medidas para evitar las brechas de datos personales. Sin embargo, un DPO externo también debería adaptarse a las necesidades de tu empresa y a tu organización para proporcionar un servicio personalizado.
Al elegir un DPO externo que se adapte al trabajo con un pequeño equipo de fundadores o que se integre como parte de un gran equipo multidisciplinar, las empresas tienen más posibilidades de afrontar los riesgos y desafíos que surgen conforme van creciendo. Por ejemplo, las compañías que ofrecen servicios de Software as a Service (SaaS) en la nube normalmente tratan grandes cantidades de datos personales, como información de clientes, contenido generado por los usuarios o detalles de pagos. Mientras que un DPO puede tener experiencia trabajando con otras empresas SaaS, es importante comprender que cada empresa es distinta, y es posible que sea necesario diseñar un enfoque que se adapte a la base de clientes específica, ya sean empresas o consumidores finales, el público objetivo, incluido el rango de edad de los individuos, lo cual puede implicar que se apliquen normas adicionales, por ejemplo el Código de los Niños de Reino Unido y los países en los que opera, que pueden también tener sus propias leyes nacionales.
Un DPO externo debería asimismo ofrecer formación específica conforme a las necesidades de tus equipos o departamentos.
Es por tanto necesario debatir tus necesidades y retos con el DPO, de forma que cuente con toda la información necesaria para ofrecer los servicios requeridos.
