El rol del DPD en el desarrollo de sistemas de información

Supongamos que se quiere acometer el desarrollo de un nuevo sistema informático en una organización, bien para actualizar uno existente, o bien cubrir una nueva área de negocio. Puesto que ya se sabe que va a haber tratamiento de datos personales, desde el minuto uno la dirección es consciente de que el recién nombrado Delegado de Protección de Datos (DPD) debe participar en el proyecto de una forma activa. ¿Cómo? ¿Deberá el DPD trabajar con los técnicos del departamento TIC, deberá permanecer en el plano funcional o teórico, o tal vez deberá asumir un rol horizontal similar al del responsable de calidad? ¿En qué etapas del desarrollo del sistema de información debe implicarse más, y de qué manera? ¿Será capaz de entenderse con la documentación técnica generada en el proyecto, con los consultores de las empresas y con los operadores y clientes?

En esta serie de artículos vamos a profundizar sobre  

 cuando se construyen sistemas de información en las organizaciones estudiando cómo participa en cada una de las etapas del ciclo de vida. En la primera entrega nos centraremos el en la planificación de los sistemas de la organización, y en próximos capítulos abordaremos las demás fases.

¿Quién es el DPD?

El  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD) introduce la figura del delegado de protección de datos o DPD en su sección IV (artículos 37 al 39). En el artículo 37.5 se indica que su designación se producirá atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones establecidas en el artículo 39. Y en el artículo 39.1 se enumeran las funciones concretas asociadas a este rol, que básicamente se refieren a informar, asesorar y supervisar, cooperar y consultar, y ser punto de contacto en su organización en lo relativo a la protección de datos.

Más allá del Reglamento, el Grupo de Trabajo del Artículo 29 ha profundizado sobre las funciones del delegado en el documento  Directrices sobre los delegados de la protección de datos (DPD), donde aparecen además algunas de las obligaciones de las organizaciones hacia sus DPD.

También, si queremos profundizar en las funciones del DPD, es posible encontrar una descripción detallada, en este caso en las administraciones públicas, en el documento 

Por último, las organizaciones están buscando cuál es perfil ideal para un DPD, y la Agencia Española de Protección de Datos ha presentado en colaboración con la Entidad Nacional de Acreditación (ENAC)  su esquema de certificación para los candidatos.

¿Cómo es la vida de los sistemas de información?

El ciclo de vida del software es un proceso definido en el que a través de múltiples etapas se regula la concepción, el desarrollo y la operación de los sistemas informáticos. Al ser tan variados los tipos de sistemas software que existen y las tecnologías que los sustentan, son muchas las metodologías que se han descrito para que una organización desarrolle y supervise la vida de sus sistemas de información.

Por ejemplo, es común partir de una planificación a alto nivel de los sistemas informáticos, que sirve para alinear el trabajo y de los recursos TIC con el resto de la organización. Como resultado de esa visión estratégica o plan de sistemas de información, las organizaciones van desarrollando nuevos programas, y modificando o retirando los existentes. Cada vez que se acomete el desarrollo de un sistema nuevo, se comienza con un  estudio de viabilidad para determinar la mejor forma de satisfacer la necesidad planteada. Una vez que se ha alcanzado una solución viable se procede al  desarrollo propiamente dicho del sistema, que a su vez suele estructurarse en fases de  análisis, diseño, construcción e implantación. Cuando el nuevo sistema ya está construido, probado, aceptado, y tanto los usuarios como los procedimientos de operación están preparados, comienza la  fase de mantenimiento y operación, o vida útil del sistema, que se prolongará hasta su  retirada.

Esta ‘biografía’ de un sistema informático puede tomar muchas formas y distintos nombres, algunos de ellos estandarizados. Por ejemplo,  la metodología Métrica3 que se emplea como referencia en las administraciones públicas españolas, y contempla unas fases similares a las vistas, que a su vez son las del estándar internacional ISO/IEC 12207 (Information Technology - Software Life Cycle Processes).

¿Qué hace un DPD en el Plan de Sistemas de Información?

El Plan de Sistemas de Información de una organización tiene como propósito establecer un marco de referencia para los sistemas, para que su desarrollo y evolución sea coherente, y a la vez esté alineado con los objetivos estratégicos de la organización. Su forma y contenido puede ser muy variada, pero básicamente hay:

• Un análisis. El análisis es la ‘fotografía aérea’ de la situación actual tanto desde el punto de vista técnico de los sistemas que existen, como desde el punto de vista de los servicios que la organización presta. Este apartado respondería a la pregunta de ¿A qué se dedica nuestra organización y con qué sistemas de información cuenta?, seguida de ¿Cuáles son en esta situación los principales puntos fuertes, débiles, amenazas y oportunidades?

• Una arquitectura. A partir de este análisis de la actualidad el plan pretende avanzar en cómo deben ser los sistemas informáticos del futuro, y cómo van a relacionarse entre sí y con el resto del mundo. En este sentido es muy importante que el Plan de Sistemas defina, cuál va a ser la arquitectura de la información en la organización, donde deben encajar los sistemas nuevos que se desarrollen.

• Unos proyectos. El siguiente o siguientes capítulos del Plan describirán desde un punto de vista funcional los proyectos que van a acometerse dentro de este plan para desarrollar y modificar sistemas de información en la organización, definiendo unas prioridades. Los proyectos a acometer en el próximo año requerirán un mayor nivel de detalle, puesto que será preciso pensar en personas concretas y en el presupuesto económico para ponerlos en marcha.

El Plan, por ser un documento estratégico de la organización, precisa de una  implicación activa de sus máximos responsables, que aportan ideas, prioridades, le dan visibilidad y le muestran su apoyo. Es común que este apoyo se escenifique como una presentación interna a los mandos intermedios o a toda la organización cuando se redacta por primera vez y cuando se revisa cada año.

El DPD debe participar en la elaboración de este Plan de Sistemas, asesorando e informando de las obligaciones que impone el RGPD en el tratamiento de datos personales. La propia organización debe promover esta participación para que  el DPD se involucre desde las fases más tempranas en todas las cuestiones relativas a la protección de datos, ayudando a crear también una cultura de la protección de datos en la organización.

Por un lado, la participación del DPD en la fase de análisis del Plan va a servir al DPD para conocer los procesos de la organización y cómo están cubiertos desde el punto de vista de los sistemas de información. De este análisis de alto nivel se puede saber en qué actividades y en qué sistemas de la organización se están tratando datos personales, y de esa forma concretar el alcance de la labor del DPD. Imaginemos una organización que cuenta con cinco sistemas de información principales, pero sólo dos trabajan con datos personales de clientes, proveedores o empleados. Esta limitación del alcance de la función del DPD es importante, puesto que permitirá a la organización establecer incluso directrices o programas de protección de datos sobre cuándo debe consultarse al DPD.

La fase de definición de una arquitectura de sistemas puede ser una buena ocasión para establecer requisitos globales para todos los sistemas que tratan datos personales, como son los relativos a la protección de datos desde el diseño y la protección de datos por defecto (art. 25 del RGPD). En esta arquitectura global, el DPD podrá asesorar a la organización sobre temas delicados como la transferencia internacional de datos, y comprobar que en este encaje global de los sistemas presentes y futuros se han tenido en cuenta labores que tendrán que realizarse en el día a día, como la auditoría de datos personales o el ejercicio de derechos por parte de sus usuarios.

Es importante que la parte del Plan dedicada a la lista de proyectos a acometer identifique desde el principio en cuáles de ellos se van a tratar datos personales. El DPD tendrá que estar presente en ellos y avisar de que  puede ser preciso realizar evaluaciones de impacto en algunos de los tratamientos. Hará falta que participe directamente en muchas de las reuniones especialmente en las primeras fases del desarrollo, y además precisará de recursos económicos, infraestructura e incluso personal durante todo el ciclo de vida de los nuevos sistemas que es el momento de presupuestar.