¿Quién debe desempeñar la función de RPD?
Entonces, ¿quién debe ser el DPO? Bien, ha decidido que necesita un responsable de la protección de datos para Cumplimiento del GDPR...eso es genial, pero ¿quién debería ser?
DESCARGUE NUESTRA DESCRIPCIÓN DEL PUESTO DE TRABAJO DE DPO
Bueno, en la superficie, elegir un RPD puede sonar como un problema difícilpero en realidad no lo es. El DPO tiene que ser una persona nombrada y es su elección si es un a tiempo completo o parcial en el papel. Todo depende en gran medida de la carga de trabajo. El mejor punto de partida es examinar las funciones que se tienen en el lugar y es muy posible que ya tengas un DPO en algún lugar de la organización o, al menos, que hayas designado informalmente a alguien previamente para que investigue y compruebe que esta base no está ya cubierta. El siguiente paso es excluir a su personal operativo y de seguridad. Ella a un claro conflicto de intereses.
Elegir el OPD adecuado
El GDPR establece que el RPD no debe estar en conflicto por tener una joya papel del gobierno de la protección de datos al tiempo que se define cómo se gestionan los datos. No se puede ser a la vez cazador furtivo y guardián de la caza.
Ahora, en el mundo real, esto significa que un Director de informática y director de informática, a CTO o CIOEn este sentido, es muy poco probable que un responsable de seguridad sea también un RPD. Además, es posible que haya otros puestos que representen un conflicto de intereses, como un director de marketing.
Por lo tanto, el Función de responsable de la protección de datos se trata fundamentalmente de gobernanza y cumplimiento. A su vez, se sienta naturalmente con los equipos de gobierno legal y de seguridad. Las organizaciones más grandes tendrán un abogado interno que podría ser un DPO. También pueden tener un separación de la seguridad informática operativa y equipos de gobernanza de la seguridad. Por lo tanto, esta separación suele dar lugar a que la función de gobierno se sitúe fuera de ella, lo que elimina ese conflicto de intereses para un RPD. A jefe de seguridad de la información o un CISO significa muchas cosas para muchas personas y podría estar tanto dentro como fuera de él. Por lo tanto, no asuma que este puesto podría desempeñar automáticamente el papel de DPO sin conflicto.
Sabiendo que el RPD tiene que ser un rol de tipo de gobierno es una cosa, pero tendrá que asegurarse de que también son reconocidos como asesor a nivel del consejo de administración. El RPD es un rol protegido en que no se puede despedir a un DPO si hace su trabajo muy bien, como informar al regulador de una infracción. El DPO tiene que ser realmente reconocido como un función de alto nivel dentro de la organización y muy respetado por todos.
Su OPD es fundamental para el éxito de su cumplimiento del GDPR. Tiene que entender el negocio, el manejo de los datos y cómo interactuar con la base de clientes y el regulador. El DPO tiene que entender la seguridad de los datos a un gran nivel y tiene que estar al día de las últimas amenazas para la empresa y los datos que protege. Por lo tanto, una consideración que se pasa por alto es si un papel de joya.
DPO es realmente un movimiento sabio. Usted quiere el mejor talento para su DPO y para las organizaciones más grandes, se ratifica un empleado existente que es de alto calibre suficiente que también tiene grandes cantidades de capacidad de especificaciones para asumir el papel bajo el GDPR.
El RPD es no es un papel pequeñoespecialmente en la fase de preparación para obtener la conformidad. Sin embargo, muchas pequeñas y medianas empresas se adaptan bien al papel de joya. DPO, sé de uno personalmente con el asesor jurídico es que el uso DPO en su jefe de cumplimiento y uno está utilizando su director de finanzas.
No hay una respuesta mágica ni una talla única para todos, pero prepárate para tu joya. La OPD siente presiones en ambos lados de su trabajo por el tiempo y la atención.
Una pregunta habitual es: ¿en qué equipo colocar a un responsable de protección de datos a tiempo completo?
¿Deben informar al departamento jurídico, al director general o al departamento de riesgos? Bueno, quién es su jefe de línea o qué líneas de puntos tienen realmente no importa demasiado, siempre y cuando no estén en conflicto con su línea de informes y un informe libremente hasta la junta.
Por último, considere la posibilidad de nombrar a un consultor externo dedicado al DPO. Serán nombrados como su DPO y donde su sombrero corporativo. Así, este tipo de contrato de servicios puede ser una gran opción cuando se necesita un DPO, pero ningún empleado actual puede asumir el papel en la contratación de alguien será excesivo. Algunas organizaciones sólo necesitan dos o tres días de DPO al mes.
En mi empresa Cognition, proporcionamos estos servicios virtuales de RPD y tenemos un número de clientes donde estamos. El nombre DPO, el DPO virtual puede ser en realidad un equipo de personas. Cada uno aportando su propia especialidad es para hacer el conjunto mayor y este enfoque, una persona específica es nombrada como el líder de esa función DPO.