Si aplicamos la lógica, muy poco habría que explicar acerca de la relación existente entre la ciberseguridad y la privacidad. Cuando un sistema recibe un ataque, todos los datos personales que en él se almacenan están en peligro, algo que puede acarrear unas terribles consecuencias, tanto en el sector público como en el privado e, incluso, el doméstico.
Desde APDTIC somos plenamente conscientes de que, a pesar de lo fundamental de esta cuestión, no siempre ni en todos los contextos se comprende y se asimila igual. Si nos centramos en el sector privado, son muchas las empresas que aún no ponen todos los medios para evitar los ciberataques.
Para cambiar esto, entre otras acciones, hemos impartido recientemente una sesión informativa titulada ‘Coordinación entre el Responsable de Seguridad y el Delegado de Protección de Datos‘.

Durante la charla, que se retransmitió en streaming, ahondamos un poco más en la importancia de coordinar ambas áreas para evitar daños mayores causados por ciberataques.
Las pymes, las principales víctimas de los ciberataques
A pesar de que en nuestro día a día también estamos muy expuestos, es en el entorno de las pymes donde más ataques informáticos se producen. ¿Cuántos, exactamente? El año pasado, alentados por la pandemia, se registraron hasta 40 000 ciberataques diarios, que causaron pérdidas de entre 2000 y 5000 euros. Sin embargo, con tanto en juego, aún hay muchísimas empresas que no son conscientes del riesgo que están asumiendo.
Para incrementar esa concienciación, planteamos algunas preguntas que creemos que nos hacen reflexionar acerca del nivel de seguridad que existe en las empresas:
- ¿Crees que es suficientemente segura tu contraseña de acceso?
- ¿Sabes dónde debes almacenar la información para que esta se copie automáticamente?
- ¿Gestionas la información confidencial acorde a su clasificación?
- ¿Sabes si es posible acceder a tu correo o averiguar qué haces en la red?
- ¿Utilizas tu móvil o tu ordenador personal para trabajar, aunque sea solo con el correo?
- ¿Sabes cómo actuar si ves o padeces un problema de seguridad de la información?
- ¿Conoces los datos personales que tratas y cómo gestionarlos de manera legal y segura?
Es más que probable que la mayoría de trabajadores de una organización no sepan responder a todas estas preguntas adecuadamente. Por esta razón, se vuelve crucial el papel de dos figuras clave en el campo de la seguridad de la información: el Responsable de Seguridad y el Delegado de Protección de Datos.
Dos perfiles con objetivos comunes
Sobre la base que marcan entre otras normas, el Esquema Nacional de Seguridad (ENS), el Real Decreto 43/2021, de seguridad de las redes y sistemas de información, el Reglamento UE 2016/679 de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LOPDGDD), se configuran las funciones y obligaciones del Responsable de Seguridad y el Delegado de Protección de Datos dentro de una organización. A continuación, diferenciamos ambos roles, para después comprender mejor el trabajado que pueden desarrollar conjuntamente.
El Responsable de Seguridad (CISO)
Es el máximo encargado de la seguridad de la información en una empresa u organización. Es quien toma las decisiones orientadas a cumplir los requisitos de seguridad de la información y de los servicios.
No obstante, en el caso de los servicios externalizados, es la entidad destinataria del servicio la que ostenta la última responsabilidad. Por eso, en estos supuestos es siempre recomendable disponer también de un responsable interno.
¿Qué organizaciones deberían contar con un Responsable de Seguridad?
- Las entidades públicas.
- Los prestadores de servicios a las Administraciones Públicas.
- Los prestadores de servicios en régimen de concesión, encomienda de gestión o contrato.
- Operadores de infraestructuras críticas.
- Operadores de servicios esenciales (energía, agua o salud, por ejemplo).
- Prestadores de servicios digitales.
En cuanto a las funciones del Responsable de Seguridad, básicamente son las siguientes:
- Diseñar el Plan de Seguridad de la Información.
- Supervisar la aplicación de las políticas de seguridad.
- Elaborar la Declaración de Aplicabilidad de las medidas de seguridad.
- Formar acerca de las buenas prácticas en el ámbito de la seguridad de las redes.
- Actuar como punto de contacto entre la empresa y la autoridad competente.
- Interpretar y aplicar las instrucciones que reciba de la autoridad competente.
El Delegado de Protección de Datos (DPD)
El rol del DPD y sus funciones están reguladas en el RGPD (Reglamento General de Protección de Datos). En líneas generales, la norma viene a indicarnos que es quien garantiza el cumplimiento de la normativa sobre la protección de los datos personales dentro de las organizaciones.
Su cualificación ha de ser universitaria y vinculada en mayor o menor grado al Derecho y a la protección de datos. En cuanto a su nombramiento, corre a cargo del Responsable o del Encargado del tratamiento.
Aparte, una cuestión importante relacionada con este profesional es su mayor nivel de independencia. Hay que tener en cuenta que, aunque el DPD emita sus informes o dicte sus recomendaciones, es la empresa la que decide seguir sus criterios o no.
¿Quiénes tienen la obligación de contratar a un DPD?
De forma genérica (según artículo 37 RGPD):
De forma más específica (según artículo 34 LOPDGDD):
En relación con las funciones del DPD, son estas principalmente:
- Asesorar en materia de protección de datos.
- Supervisar el cumplimiento de la normativa.
- Concienciar y formar al personal.
- Analizar los riesgos y su impacto.
- Atender consultas y reclamaciones.
Principales diferencias entre los dos perfiles
Hay, básicamente, cuatro aspectos en los que se diferencia el trabajo del Responsable de Seguridad y el del DPD:
- La independencia: el DPD está asociado a un principio de independencia más restrictivo que el Responsable de Seguridad, que sí recibe instrucciones del responsable de la información.
- Los objetivos: el DPD se centra en asegurar los derechos y las libertades de los interesados, mientras que el Responsable de Seguridad busca garantizar únicamente la seguridad de la información.
- El ámbito de actuación: el DPD estudia los riesgos asociados a los derechos y las libertades de las personas y el Responsable de Seguridad analiza los que están vinculados a la seguridad de la información.
- Conflicto de intereses: el DPD puede llegar a supervisar la labor del Responsable de Seguridad.
¿Cómo se coordinan el Responsable de Seguridad y el DPD?
De forma muy resumida, el punto de encuentro entre estos dos profesionales se localiza en el área de la protección de los datos personales y su tratamiento. Mientras que el Responsable de Seguridad se ocupa de otros muchos asuntos, el DPD es aquí donde más valor aporta para, conjuntamente los dos, supervisar el cumplimiento, diseñar e implementar medidas de seguridad y analizar los riesgos concretos asociados.
A través de varias guías de la Agencia Española de Protección de Datos (AEPD), se observa hasta qué punto la labor de estos dos perfiles se interrelaciona. Algunos ejemplos de esta extensa documentación son los siguientes:
- Guía para la notificación de brechas de seguridad.
- Gestión del riesgo y evaluación de impacto en tratamiento de datos personales.
En esta última guía, además, se señala como imprescindible la coordinación entre el DPD y el Responsable de Seguridad. De lo contrario, podrían producirse errores con consecuencias muy graves, tanto económicas como reputacionales.