¿Qué han de tener en cuenta el responsable y encargado del tratamiento ante una brecha de seguridad?  Independientemente del tamaño de la entidad y de la gravedad y consecuencias del incidente, el responsable y encargado del tratamiento lo tienen que dejar documentado en el registro de incidencias, incluyendo entre otros datos, los hechos relacionados con el incidente, sus efectos y las medidas correctivas que se han adoptado. Así, por ejemplo, la pérdida de un ordenador portátil, el acceso de un empleado no autorizado a la base de datos y su borrado, el envío de un e_mail a un destinatario incorrecto, constituyen todas brechas de seguridad que deben documentarse. Este documento lo pondremos a disposición de la autoridad de control, cuando ésta nos lo requiera, y verificar así, que cumplimos con lo dispuesto en la norma.

IMPORTANTE

El encargado del tratamiento debe notificar las quiebras de seguridad al responsable, en caso de no comunicárselas se considera una infracción grave.

La entrada ¿Qué son Las brechas de seguridad? (I) se publicó primero en Adaptación RGPD.

El DPO/DPD es esencial en el nuevo modelo de protección establecido en el RGPD. Sus funciones principales serán las de asesorar y supervisar las actividades de tratamiento de los responsables o encargados, también nos dice el informe que el DPO/DPD podrá formar parte de la plantilla de la entidad o bien desempeñar sus funciones en virtud de un contrato de servicios. El responsable y encargado garantizarán que el puesto de DPO/DPD no dé lugar a conflictos de intereses.

El responsable de seguridad de la información, según el Real Decreto que regula el Esquema Nacional de Seguridad, se diferenciará del responsable de la información y del responsable del servicio, pudiendo recibir órdenes de éstos últimos, mientras que el DPO/DPD es una figura completamente independiente y no se le podrán dar instrucciones en el ejercicio de sus funciones. Este es uno de los criterios del Gabinete Jurídico para determinar que ambas figuras son incompatibles y que deberían ser desarrolladas por personas diferentes.

Termina el informe diciendo que, aunque formalmente nada lo impide, sería lo recomendable según el Centro Criptológico Nacional.

IMPORTANTE

Excepcionalmente en aquella organización que por su tamaño y recursos no pueda aplicar la separación de cargos, se admitiría que una sola persona ocupe ambos cargos, adoptando medidas organizativas adecuadas.

La entrada ¿Es incompatible ser DPO/DPD y responsable de seguridad de la información según el Esquema nacional de seguridad? se publicó primero en Adaptación RGPD.