Masterclass completo: Entendiendo el Rol del #DPO (Delegado de Protección de Datos)

Vale pues con vuestro permiso vamos a<br>empezar si os parece bien Vamos<br>a a compartir un poco la presentación<br>que tenemos preparada para para el día<br>de<br>hoy lo primero es daros la bienvenida<br>vale desearos una buena tarde después de<br>una jornada larga de de trabajo Supongo<br>para para todos ustedes Así que es un<br>gusto el poder compartir eh este rato<br>este espacio desde la institución en la<br>que tengo el el el honor también de de<br>cooperar que es eh capacitación usad de<br>la Universidad de Santiago de Chile a<br>través de su programas de diplomado en<br>en ciberseguridad y desde el cual hemos<br>propuesto el lanzamiento un poco de esta<br>masterclass esta clase<br>eh que hemos titulado entendiendo el rol<br>del del oficial de protección de datos<br>el dpo delegado de protección de datos<br>Depende como le le llamemos en en en<br>distintos entornos no fundamentalmente<br>vamos a centrarnos en en tres aspectos<br>que es importante que es el perfil la<br>formación y la acreditación y y bueno la<br>La idea es que esta masterclass en<br>abierto eh sirva también para aclarar eh<br>algunas cuestiones relacionado con con<br>la posición de del oficial de protección<br>de datos eh tal y como se entiende en<br>distintos entornos así que intentado<br>abrirlo lo máximo posible para que veáis<br>eh el un poco la dificultad de digamos<br>de la comprensión de la definición del<br>propio rol y el desafío que trae la la<br>el posicionamiento orgánico dentro de la<br>de la organización el desempeño que que<br>tiene que hacer frente y sobre todo eh<br>la necesidad también de contar con eh<br>digamos la la formación la capacitación<br>adecuada para hacer frente a este<br>desafío no como está configurada la<br>sesión no en forma en modo seminario<br>sino modo reunión Os pido por favor que<br>tengáis mucho cuidado con vuestros<br>micrófonos e mantener los micrófonos<br>muteados para que no haya interrupciones<br>y bueno va a haber un turno digamos de<br>preguntas en la parte final así que<br>vamos a intentar un poco plantear ya<br>desde el minuto uno la la la<br>presentación he dividido el material<br>digamos en cinco puntos en la primera<br>parte tiene que ver un poco con con esa<br>parte inicial de contexto introducción<br>preámbulo sobre el origen del rol y su<br>necesidad eh luego hablaremos un poco de<br>la definición del marco de competencias<br>y un aspecto eh que además eh es<br>coincidente en las distintas<br>legislaciones que es la necesidad de<br>definir y aislar el conflicto de de<br>interés en la posición eh como el tercer<br>punto hablaremos sobre cómo acreditar el<br>perfil para optar al rol de dpo en una<br>organización el número cuatro eh nos<br>centraremos en los esquemas de<br>certificación de personas según<br>establece la la ISO I 17024 Y<br>explicaremos por qué digamos tiene eh un<br>punto de ventaja con respecto a otro<br>tipo digamos de propuestas que pueden<br>estar en el mercado que que son siempre<br>bien intencionadas vale siempre bien<br>intencionadas eh pero evidentemente eh<br>le falta digamos una una visión digamos<br>de revisión de tercera parte no y en la<br>parte final en eso que llamo hay anexo<br>pues hablaremos un poco de las<br>características del programa ejecutivo<br>como delegado de protección de datos que<br>que tenemos conforme al esquema de<br>certificación de la agencia española<br>protat que ya iniciamos en en el curso<br>académico 2024 en su primera edición y<br>que concluyó con un éxito rotundo de más<br>del 100% digamos de los alumnos Bueno<br>más en este caso del 100% de los alumnos<br>aprobados y y certificado a pesar de de<br>del trayecto largo y y también digamos<br>del desafío que era que era esta esta<br>formación no un poco en el en el<br>preámbulo un poco para situar un poco en<br>el en el contexto eh Lo cierto es que<br>las tecnologías están transformando<br>nuestra vida y nuestra sociedad esto es<br>una realidad no esta transformación eh<br>es fuente de innovación eh fuente de<br>calidad de vida pero la vez no deja de<br>ser también un origen de tensiones y de<br>riesgos asociado directamente al uso de<br>estas tecnologías nuestros datos<br>personales sin nula duda son se han<br>convertido en el nutriente en el<br>alimento de nuevos modelos de negocio y<br>de nuevos modelos digamos de de de<br>vigilancia no solamente hablamos de ese<br>concepto eh ampliamente extendido que es<br>el el el digamos el concepto de la<br>vigilancia<br>eh de digamos del capitalismo de<br>vigilancia sino también del otro<br>concepto que está muy asociado a a las<br>fuentes de poder que es el la la<br>vigilancia también estatal a través de<br>los propios gobiernos hacia sus propios<br>ciudadanos no lo cierto Es que a<br>diferencia por ejemplo de las ia<br>tradicionales por ejemplo hablando de<br>esa tecnología como es la Inteligencia<br>artificial y y la y la Inteligencia<br>artificial generativa No digo que a<br>diferencia de las ya tradicionales eh<br>que se limitan a automatizar distintas<br>tareas ya predefinidas no la la ella<br>generativa eh crea respuestas nuevas que<br>puede entender eh Y pueden adaptarse a<br>las necesidades de los usuarios en<br>tiempo real no se está convirtiendo en<br>en una fuente maravillosa de de de<br>soluciones en un e una herramienta<br>eh que va a ayudar Sin lugar duda en el<br>nivel digamos de producción en la<br>cantidad y sobre todo a veces en la<br>calidad de de esa de producción sin<br>quitar de de de enfrente evidentemente<br>el desafío al que nosotros nos<br>enfrentamos la verdad es que todos<br>nosotros independientemente de nuestra<br>vida digital Tenemos una vida offline no<br>eh una vida offline que transcurre<br>paralela al lado de nuestra vida digital<br>online no esa vida digamos digital<br>online llena de ceros y de unos se<br>desarrolla a través de terminales de<br>redes de sistemas que se encargan de<br>recoger transportar almacenar y producir<br>eh Y procesar eh nuestros datos<br>relacionándolos unos con otros en esa<br>ardua tarea de de recolección<br>almacenamiento y procesamiento<br>datos No cabe duda de que en ese<br>escenario digamos de vida eh digital<br>online la palabra oscuridad es una<br>palabra que es pertinente el que<br>nosotros eh la traigamos a a este<br>escenario a esta a esta clase en el día<br>de hoy por qué Porque la palabra<br>oscuridad designa fundamentalmente a<br>aquellos individuos que necesitamos<br>deseamos y necesitamos pasar<br>desapercibido de tal manera que también<br>las que nosotros hagamos también pasen<br>de esa forma desapercibida<br>No en realidad<br>la oscuridad es un arma eh Útil para la<br>propia sociedad porque la<br>oscuridad nos permite a nosotros<br>encontrarnos con nosotros mismos nos<br>permite pensar nos permite sentir nos<br>permite desarrollar<br>pensamientos libres y acciones libres de<br>la de la observación del escrutinio y<br>del juicio de otras personas por tanto<br>vivimos en una sociedad tan digital que<br>hoy día Probablemente lo que más nos<br>preocupe es perder esa capa de<br>oscuridad que nos permita tomar<br>decisiones en libertad libre de la<br>observación el escrutinio el juicio de<br>otras personas por tanto la ausencia de<br>luz es como un manto que nos hace<br>invisible a ese mundo exterior y que nos<br>lleva a al derecho a la a la privacidad<br>no por eso no nos extraña que en el<br>contexto constitucional chileno y igual<br>que que en el español el derecho a la<br>intimidad esté custodiado esté<br>custodiado por otros derechos que son<br>como la capaz o el antifaz que permite<br>precisamente proteger ese derecho a la<br>intimidad no como se ve perfectamente en<br>esta matriz no la inviolabilidad del<br>hogar la inviolabilidad de las<br>comunicaciones es como ese antifaz que<br>protege protege la identidad de nuestro<br>ser interior no y en el borde exterior<br>digamos de esa capa de ese antifaz está<br>sin lugar a duda la la la protección de<br>los datos personales como el perímetro<br>digamos más externo que permite proteger<br>digamos la la la parte más débil de de<br>esos derechos inherentes de la<br>personalidad humana Lo cierto es que<br>eh estamos viviendo en eso que que ya<br>definió en el año 1947 Jos hw cuando<br>habló ahí de de de de un mundo eh un<br>mundo en el que hasta nuestros susurros<br>iban a ser eh observados escuchados y<br>evidentemente todo iba a ser objeto de<br>observación de registro y de evaluación<br>Eh muchas veces<br>Eh no entendemos Cómo la tecnología<br>llega a este punto pero lo cierto Es que<br>ha llegado y ya conforma parte de<br>nuestra vida no eh huimos del entorno<br>laboral digital<br>eh para intentar Buscar Refugio eh En<br>eso que en la propia Constitución de<br>defiende que es la inviolabilidad de<br>nuestro domicilio intentamos Buscar esa<br>capa de oscuridad para encontrar ese<br>punto de<br>invisibilidad hacia el entorno digital<br>que nos está observando pero lo que está<br>pasando Es que cada vez que llegamos a<br>nuestro hogar nuestros hogares se están<br>convirtiendo en entornos permeables nos<br>encerramos en nuestro hogar sin darnos<br>cuenta de que las paredes son<br>transparentes a nuestros vecinos la<br>realidad es que los dispositivos<br>Smart nos nos han Hurtado lo que nos<br>quedaba ya de ese ámbito digamos de la<br>de la de la privacidad y hemos metido<br>como se ve un poco en la imagen un poco<br>al enemigo en casa hasta el punto de que<br>evidentemente nos encontramos en un<br>mundo en el que el capitalismo de<br>libertades se ha abierto camino y donde<br>los estados lo aprovechan para vendernos<br>en aras de un bien superior la seguridad<br>a Costa de pagar una altísimo precio<br>nuestra libertad como consecuencia de la<br>pérdida de privacidad no eh hace dos<br>días por ejemplo en nuestros compañeros<br>y amigos de Honduras Ah Eh bueno el<br>gobierno ha tomado una una decisión eh Y<br>es retirar eh las tarjetas s los números<br>de teléfonos móviles a aquellos<br>ciudadanos hondureños que no entregasen<br>sus datos biométricos a las telcos y el<br>argumento que que presentan es que lo<br>hacen por la seguridad de los hondureños<br>repito entregar nuestros datos<br>biométricos a cambio de poder utilizar<br>la telefonía móvil y nos dicen nos dicen<br>y nos tratan como bebés que lo hacen por<br>la seguridad de todos y cada uno de<br>nosotros estamos en un entorno donde de<br>verdad nuestras libertades están hoy<br>cada vez más en peligro puesto esto en<br>contexto vamos a centrarnos en el objeto<br>de de la de la jornada que hoy nos trae<br>aquí que es el el el rol del dpo y<br>entendiendo el rol del dpo Así que nos<br>centramos en el primero de los puntos<br>que es el origen y y la necesidad No la<br>figura del oficial de protección de<br>datos surgió por primera vez en el año<br>1977 en Alemania con la Ley Federal de<br>protección de datos en su sección 38<br>posteriormente en Francia en el año 1978<br>sería incluida la ley francesa número<br>7817 de 6 de enero 1978 en su Artículo<br>22 tercero y año más tarde eh Ya fue<br>incluida eh Aunque no requerida como<br>elemento eh de obligado cumplimiento en<br>la famosa directiva 95/46 de la Unión<br>Europea que fue digamos la la la el<br>primer instrumento la primera decisión<br>digamos para unificar Los criterios de<br>protección de ato en en el espacio eh<br>europeo no eh No es una figura nueva no<br>lo es no porque ya directamente digamos<br>tiene tiene su su arraigo o tiene su su<br>raíz por ejemplo en la directiva 95/46<br>que hemos comentado no por ejemplo el<br>considerando 54 indica que a la vista de<br>todos los tratamientos llevad a cabo en<br>la sociedad el número de los que<br>presentan tales riesgos particulares<br>Debería ser muy limitado por tanto dice<br>que los estados miembros deben prever<br>para dicho tratamiento un examen previo<br>a su realización por parte de la<br>autoridad de control o del aquí fijaros<br>del encargado de la protección de dato<br>En comparación con aquell por tanto eh<br>esta figura que aquí aparece eh No<br>denominada encargado de la protección de<br>datos no deja de ser sino lo que hoy<br>conocemos todos como oficial de<br>protección de datos Y esa figura que<br>repetimos no es una figura nueva se<br>encargaba fundamentalmente de asegurarse<br>en el ámbito interno de Un responsable<br>de tratamiento de que este tuviese la<br>capacidad de cumplir de cumplir está<br>correctamente alineado con los con los<br>requerimientos por tanto es un encargado<br>que se herejía desde dentro dent como un<br>garante de la protección de los derechos<br>y libertades de los interesados y como<br>ya estableció la propia directiva solo<br>algunos estados eh se valieron digamos<br>desh habilitante mientras que otros<br>prefirieron optar eh Como modelo de<br>control a través del famoso registro de<br>ficheros Ese fue el caso por ejemplo del<br>gobierno español que optó por el<br>criterio del registro de ficheros que<br>teníamos en la ley 15/99 eh como como<br>requisito formal Entonces era la forma<br>en que en teoría la ciudadanía podía<br>tener una especia digamos de control un<br>elemento digamos de de garantía un<br>elemento que evidentemente con el tiempo<br>se puso de manifiesto que no tenía<br>ningún tipo de valor y que no aportaba<br>absolutamente nada digamos esa capacidad<br>de control por parte del ciudadano eh<br>seguimos diciendo que no es una figura<br>nueva es una figura que inclusive por<br>ejemplo ya en el reglamento<br>45/21 de del parlamento de Europa y del<br>Consejo que se aplicaba tratamiento<br>datos de carácter personal en las<br>instituciones en su Artículo 241 ya se<br>exigía desde el año eh 2001 la<br>designación de un oficial de protección<br>de dat esto para que veáis un poco este<br>este desarrollo un poco en en en el<br>espacio no en en el ámbito por ejemplo<br>en el ámbito español eh la propia<br>agencia de protección de datos mucho<br>antes del reglamento Ya vino promoviendo<br>la la inclusión de esta figura de hecho<br>en su plan estratégico 2015 2019 Verdad<br>que es muy cerquita de del momento en<br>que se eh promulga y se y se publica el<br>el reglamento general de proteccion dat<br>pero ya de aquel entonces ya cuando se<br>diseñó ese plan estratégico la agencia<br>española dijo que los dpo hablando de la<br>figura del dpo tienen una labor<br>proactiva fundamental de Cara a<br>implantar las medidas protectoras y la y<br>la propia evaluación del impacto no y<br>dentro de de ese plan en concreto se<br>decía claramente de que el dpo iba a ser<br>un interlocutor para facilitar la<br>adopción de las correspondientes medidas<br>protectoras por tanto esa labor<br>proactiva venía como consecuencia<br>fundamentalmente de esa eh de esa<br>disposición digamos de poder eh orgánico<br>institucional dentro de las<br>organizaciones para que se eh pudiese<br>actuar en esa labor de interlocución<br>entre eh los distintos actores que son<br>partícipes en un ecosistema en materia<br>de protección de dato responsable<br>encargado de tratamiento terceros y<br>evidentemente los propios interesados o<br>ciudadanos no y de hecho un poco más<br>adelante el propio grupo de trabajo de<br>artículo 29 hoy comité europeo de de<br>protección de datos eh aprobó una<br>directriz en este caso Wi paper 243 en<br>el año 2016 eh con una serie digamos de<br>preguntas frecuentes donde<br>fundamentalmente lo que trataba era de<br>orientar sobre la posición y el<br>despliegue de de este rol de esta figura<br>dentro de las organizaciones públicas y<br>y privadas dentro de la de la Unión<br>Europea no y por ejemplo la<br>confederación europea la c la cdpo la<br>confederación Europea de delegados de<br>proteccion dat que agrupa a todas las<br>asociaciones de de profesionales que<br>están en los distintos estados miembros<br>de la Unión Europea que se dedican al<br>ámbito de la protección de datos como es<br>en el caso español apep la asociación de<br>profesionales españoles de la privacidad<br>de la cual soy socio fundador eh la acdo<br>lo que viene a comentar en en su<br>documento marco del año 2017 sobre la<br>posición sobre la figura del delegado de<br>protección de datos eh lo que viene es<br>fundamentalmente a a impulsar y<br>a indicar Cuáles serían alguno de los<br>tip alguna de las consideraciones que<br>debería tener en cuenta el el despliegue<br>y el funcionamiento correcto de de esta<br>figura no Así que en la evolución<br>histórica podríamos enumerar eh toda<br>esta digamos este timeline que nos ayuda<br>un poco a a a visualizar hemos comentado<br>eh que el origen se centra<br>fundamentalmente en la ley alemana de<br>protección de datos del año 1977 eh se<br>centraliza fundamentalmente empieza ya a<br>aparecer en regulación europea en la<br>directiva<br>95/46 Y a lo largo de todo este tiempo<br>ha ido cobrando valor hasta el punto que<br>evidentemente por ejemplo con la entrada<br>la plena vigencia del reglamento general<br>de proteinato a partir del 25 de mayo de<br>2018 pues ha cobrado digamos un impulso<br>importante sobre todo en el contexto<br>español por ejemplo La La lopd La La Ley<br>Orgánica protección de datos y garantía<br>derechos digitales la 3 mar 2018 de 5 de<br>diciembre además en su contexto interno<br>del contenido normativo eh tasa eh<br>algunas actividades un grupo muy<br>importante de actividades que además<br>tendrían de de marcado de marcado<br>obligación eh contar con oficiales de<br>proteccion dat extendiendo eh mucho más<br>allá de lo que decía el propio<br>reglamento las entidades públicas y<br>privadas que tendrían la obligación de<br>contar eh con este rol institucional no<br>eh si nos colocamos por ejemplo en el<br>contexto eh perón internacional est está<br>está repetida Vale no perdón esta es<br>correcta eh aquí lo que he hecho es un<br>poco reflejar un poco el el el reflejo<br>en las distintas legislaciones No<br>fijaros aquí estoy comentando el caso<br>español año 2018 caso europeo el<br>reglamento en año 2016 cuando se publica<br>eh tenemos la ley 81 de eh 26 de Marzo<br>de Panamá donde ya recoge el rol de los<br>oficiales de protección dato el año 2019<br>la Ley General de protección dato de<br>Brasil año 2020 la ley de Ecuador año<br>2021 eh la eh chile bueno en este caso<br>diciembre el caso vuestro en Chile la la<br>aprobación directamente de la<br>modificación de la ley<br>19628 recoge la figura del oficial de<br>protección de datos la ley reciente<br>también que se ha publicado en el<br>Salvador habla del oficial de protección<br>de datos Y también el reglamento<br>recientemente publicado en en Perú<br>también habla de la posición de este<br>oficial de protección de datos en el<br>contexto mexicano<br>tanto la Ley Federal de protección de<br>datos personales en posesión de de<br>particulares se refiere como la<br>obligación de Designar a una persona o<br>departamento que sería responsable pero<br>por ejemplo la Ley General de protección<br>de datos personales en posesión de<br>sujetos obligados sí que se recoge la<br>designación de un oficial de protección<br>de datos no y en el contexto<br>internacional aún por plasmar por<br>ejemplo el proyecto de reforma de la ley<br>de<br>Argentina del año 2000 en este caso un<br>proyecto bastante interesante muy bien<br>trabajado<br>Eh ya también recoge la figura del<br>oficial de protección de datos es una<br>pena porque este proyecto está parado<br>hace prácticamente un año está ahí como<br>decimos vulgarmente un poco en el cajón<br>de la de la mesa de escritorio y habrá<br>que reactivarlo en algún momento y en la<br>propuesta digamos de proyecto de reforma<br>también de Colombia Las dos últimas que<br>se han presentado Pues también se recoge<br>evidentemente esta figura como eh un un<br>rol eh a ocupar dentro de lo que sería<br>la la la la forma en que se manifiesta<br>la responsabilidad proactiva de las<br>organizaciones no bueno hemos visto un<br>poco el preámbulo eh un poco la<br>distribución un poco la historia de de<br>este rol y sobre todo cómo se está<br>desplegando y está apareciendo en las<br>distintas legislaciones una veces con<br>carácter imperativo otra veces con con<br>carácter voluntario y otra vez un poco<br>con el formato mixto no entre entre<br>obligatorio y también eh digamos lo lo<br>voluntario es es un una eh una una<br>cuestión muy importante eh sobre todo en<br>aquellas normas que tiene un carácter<br>marcado eh con enfoque a riesgos y que<br>está centrada fundamentalmente en esa eh<br>responsabilidad por activa y demostrada<br>donde el oficial de protección de dat<br>ocupa un rol central Precisamente en esa<br>proactividad no eh Y para huir de<br>aquellos escenarios digamos eh<br>imperativos eh existe también la<br>posibilidad y la necesidad diría yo<br>desde el punto de vista del propio<br>enfoque a riesgos de eh Al menos<br>determinar Y documentar si existe o no<br>la obligación de contar con un oficial<br>de protección de datos me explico<br>independientemente del carácter<br>imperativo cuando eh una organización no<br>tuviese la obligación de contar con un<br>oficial de protección de datos<br>eh tendría En todo caso siempre que<br>determinar y documentar en su análisis<br>de riesgo Por qué en su organización<br>independientemente del requisito legal<br>porque en su organización no<br>eh va a desplegar la posición del<br>oficial de protección de datos no<br>olvidemos que los análisis de riesgo nos<br>dan un riesgo inherente que necesita la<br>implementación Y el despliegue de<br>controles técnicos y organizativos y no<br>cabe duda que la asignación de roles y<br>responsabilidades y evidentemente dentro<br>de los roles y responsabilidades el<br>posicionamiento de un oficial de pronato<br>es un control mitigante del riesgo en<br>materia de protección de datos por lo<br>tanto eh No solamente hay que poner el<br>énfasis vo comentar en en en el carácter<br>imperativo sino que también en el<br>carácter digamos del enfoque a riesgo no<br>Qué es un dpo Y qué hace vamos a ver un<br>poco el marco de competencia No si si<br>nos fijáos por ejemplo en el glosario de<br>términos y nos fijáos por ejemplo en el<br>reglamento general de proteinato en su<br>Artículo 4 veremos que este término no<br>aparece tampoco aparece en la normativa<br>española del año 2018 es decir No<br>aparece y definido eh En el caso de<br>Ecuador por ejemplo en su Artículo 4 sí<br>que aparece y dice que es una persona<br>natural encargada de informar al<br>responsable o al encargado del<br>tratamiento sobre sus obligaciones<br>legales en materia de protección de<br>datos así como de velar o supervisar el<br>cumplimiento normativo al respecto y de<br>cooperar con la autoridad de protección<br>de datos sirviendo como punto de<br>contacto vale Así que lo define como<br>persona natural obligación de informar<br>velar o supervisar y punto de contacto<br>en el caso por ejemplo de Perú en su<br>Artículo 3 del reglamento sí que aparece<br>la definición nuevamente dice es la<br>persona designada por el responsable o<br>encargado dice para verificar asesorar e<br>implementar el cumplimiento del régimen<br>jurídico sobre protección de datos<br>personales veréis que he puesto la<br>implementación en rojo y tiene un<br>sentido muy importante porque en el caso<br>de La regulación de Perú eh y hablando<br>de la posición del oficial de protecion<br>que en un módelo de tres líneas de<br>defensa se sitúa en la segunda línea<br>vale eh precisamente para hacer la<br>verificación y el asesoramiento en el<br>caso eh peruano se eh baja también a<br>primera línea porque nos está diciendo<br>que también se va a encargar o se le<br>asigna la tarea de la implementación del<br>cumplimiento con lo cual es segunda<br>primera vale Estos son algunas eh cosas<br>que son muy interesante no por ejemplo<br>en el caso de Argentina eh se dice<br>persona humana o jurídica encargada de<br>informar instruir y asesorar Ah e<br>también encargada de velar y supervisar<br>de cooperar con la autoridad de control<br>y punto de contacto no Esa sí que<br>aparece en la propia definición del<br>texto luego veremos eh haremos otra<br>llamada también en el caso del texto<br>propuesto en Argentina porque dentro de<br>las competencias que se le asigna al<br>oficial de protección de dato eh aparece<br>el de la auditoría con lo cual eh hemos<br>comentado en el caso de Perú esa eh esa<br>situación extraña entre segunda línea<br>primera línea y en el caso de la<br>propuesta de Argentina entre segunda<br>línea tercera línea con lo cual eh voy a<br>comentar son aspectos llamativos para<br>que veamos fundamentalmente en este<br>ámbito de definiciones que no existe una<br>definición común vale Y tampoco lo<br>veremos en el marco de digamos de de<br>competencia por tanto eh dentro de lo<br>que sería el contexto europeo por<br>ejemplo en el artículo 39 el delegado de<br>protección de datos se encargaría de<br>asesorar e informar vale eh supervisar<br>el ciento en este caso de políticas<br>incluida la asignación de norment<br>supervisar el cumplimiento la asignación<br>de responsabilidades la concienciación<br>la formación Vale y las auditorías<br>correspondientes supervisa no realiza<br>auditoría supervisa Vale pero no realiza<br>la asignación de responsabilidades vale<br>ofrece asesoramiento acerca de Las<br>evaluaciones de impacto vale en<br>aplicación del artículo 35 coopera con<br>autoridad de control y actúa como como<br>punto de contacto con la autoridad de<br>protección de datos en el caso eh además<br>español en los artículos 36 y 37 de la<br>Ley Orgánica de protección de datos dice<br>que eh el el dpo actuaría como un<br>interlocutor eh ante la autoridad de<br>control que además puede inspeccionar<br>procedimientos y emitir recomendaciones<br>que tendrá acceso a los datos personales<br>y a los procesos de tratamiento no<br>pudiendo oponerse a ese acceso el<br>responsable o el encargado y si aprecie<br>una vulneración relevante la tiene que<br>documentar y la tiene que comunicar de<br>inmediato a los órganos de<br>administración y dirección con lo cual<br>fijaros que esa labor digamos de<br>supervisión se le eh se le afina eh Y se<br>le hace un poco más precisa la la la<br>actividad y es muy muy interesante lo<br>que lo que afecta fundamentalmente este<br>artículo 36 y he querido comentar por<br>ejemplo la este este aspecto lo de tener<br>acceso no solamente a los datos sino<br>también a los procesos digo esto porque<br>en algunas organizaciones grandes<br>grandes en Latinoamérica lo que no hemos<br>encontrado es que hay departamentos<br>Perdón procesos y dueños de proceso que<br>se niegan a entregar esa información<br>indicando que como es están dentro de su<br>marco de competencias esa información no<br>puede salir de ahí por ejemplo por<br>ejemplo eh los análisis de riesgos eh<br>por parte de la unidad de de de de de<br>riesgo Es evidente que el dpo en este<br>caso según el artículo 36 por lo menos<br>en el contexto español va a tener ese<br>nivel de acceso igual nuevamente habrá<br>que comentar que aunque no aparezca de<br>forma explícita como sí aparece en La<br>regulación española de forma implícita<br>veréis que ese ese acceso es necesario e<br>imperativo y hay formas digamos de<br>salvarlo y de eh canalizarlo luego ya<br>dentro de lo que es la la el el propio<br>levantamiento de políticas dentro de la<br>organización no Y además el artículo 37<br>le Define también una posición muy<br>importante porque es la la la función<br>digamos de de mediador eh con esto eh la<br>agencia española de protección de datos<br>se ahorra Eh Pues un porcentaje altísimo<br>de reclamaciones Entonces cuando una<br>organización tiene un dpo y alguien<br>quiere presentar algún tipo de<br>reclamación un tipo de denuncia y y si y<br>si quisiese saltarse al responsable de<br>damiento y al dpo y quisiese mandarla<br>directamente a la autoridad de control<br>la autoridad de control lo primero que<br>va a mirar es que esa persona o esa<br>entidad que está siendo denunciada o<br>está siendo objeto de una supuesta<br>denuncia cuenta con un oficial de<br>protección de dato y por tanto Se pondrá<br>en contacto con ese oficial de procent<br>para que atienda el caso y darle un<br>plazo en función de su capacidad y sus<br>competencias eh Para resolverlo no eh<br>con lo cual eh De esta manera también<br>digamos lo que es la la carga<br>administrativa eh digamos superflua de<br>de sobre todo eh esas eh comunicaciones<br>pequeñas engorrosas que pueden<br>dificultar mucho la carga administrativa<br>de una autoridad de control en lo que<br>hace el marco de el marco legal español<br>es eh colocarlo sobre las espaldas del<br>oficial de protección de datos con lo<br>cual bueno se ahorr un un trabajo<br>importante y también Es verdad que en<br>esa labor de mediación<br>eh Cuando uno actúa con con ya lo<br>veremos luego con en lo que hablamos<br>cuando hablemos del marco de competencia<br>cuando uno tiene esa mano izquierda<br>eh Y esa habilidad eh para negociar con<br>con el el posible denunciante veréis que<br>en un porcentaje muy grande de los casos<br>se consigue apaciguar el digamos el<br>enfado del del propio titular eh que es<br>lo que al fin al cabo se precisa que es<br>la reconducción la mitigación del error<br>que ha causado esa irritación por<br>parte del usuario no en en la en la<br>Norma Por ejemplo de Ecuador en el<br>artículo 49 donde se definen las<br>funciones veréis que se habl de asesorar<br>al responsable vale evidentemente son<br>las propias disposiciones contenidas en<br>la ley en su reglamento supervisar el<br>cumplimiento de las disposiciones<br>asesorar en el análisis de riesgo<br>evaluación de impacto y evaluación de<br>medidas y supervisar la aplicación vale<br>nuevamente esto siempre hay que<br>entenderlo bien desde una visión de<br>segunda línea asesorar en estos aspectos<br>no implica realizar el análisis de<br>riesgo ni la evaluación de impacto ni<br>evidentemente el desp de los controles<br>no lo que se hace<br>es eso asesorar revisar supervisar En<br>todo caso y estar Digamos como un órgano<br>consultivo en esa matriz rac con<br>respecto a a las unidades no lo que<br>implica claramente que un oficial de<br>proteccion dat tiene que ser un<br>especialista en análisis de riesgo tiene<br>que ser un especialista en evaluación de<br>impacto y tiene que conocerte medidas de<br>seguridad lo suficiente como para poder<br>en este caso asesorar y supervisar no<br>además como dice el punto cuatro Eh Eh<br>Eh funcionará en este caso o cooperará<br>con la autoridad de control y además<br>como dice el punto número cinco eh dice<br>las demás eh digamos encargos que en<br>llegado el momento la autoridad<br>protección de datos de y la<br>superintendencia procesion de Ecuador<br>determin no y de hecho la<br>superintendencia Está avanzando cositas<br>y y en principio eh según el el<br>cronograma que que ha comunicado hace<br>apenas eh una semana atrás Eh pues e no<br>sé si para finales de marzo eh se<br>publicará una especie digamos de<br>estatuto ya del oficial de protección de<br>datos y para el mes de mayo junio Pues<br>también Habrá más o menos definido un<br>poco el perfilamiento de estos oficiales<br>de protección de datos no siguiendo con<br>con el tema Perdón un tema importante es<br>que la sig que el artículo 49 y es el<br>único país e tanto a nivel de Unión<br>Europea con a nivel de de digamos<br>latinoamérica en el que aparece dentro<br>del artículo en la parte final que en el<br>caso de incumplimiento de sus funciones<br>el delegado responderá de forma eh<br>digamos administrativa civil o penal de<br>conformidad con la ley esto es una eh<br>una de esas extrañezas eh que no aparece<br>en el derecho Comparado con otros países<br>y que en este caso Ecuador ha ha puesto<br>ahí eh en por lo menos a mí en un<br>criterio creo que es bastante equívoco<br>sobre todo porque e facilita la<br>distracción por parte de los<br>responsables tambi esto pensando que eh<br>eh si las cosas no se hacen bien Esto es<br>culpa del oficial de proteinato Y esto<br>es falso porque quien tiene eh quien<br>decide las finalidades quien decide los<br>medios quien quien ASUME el riesgo quien<br>Define el apetito del riesgo quien<br>decide mitigar o no mitigar No es el<br>oficial de proteinato es el responsable<br>damiento por tanto eh colocar esto aquí<br>Ah tal y como aparece en ese artículo 49<br>en la parte final pues eh d lar un poco<br>a a a a una lectura que<br>puede impulsar o o hacer pensar a<br>personas que que se pueden escapar de su<br>responsabilidad administrativa civil o<br>penal poniendo ahí un cortafuego que se<br>llama oficial de protección de autos no<br>eh Bueno es una una de las cuestiones<br>que quiero comentar no por ejemplo eh<br>dentro de lo que es la la la publicación<br>reciente el mes de diciembre de la<br>aprobación de la modificación de la ley<br>19628 de chile en el artículo 50 dentro<br>el marco de competencias del del oficial<br>de proteinato cuyo nombramiento es<br>voluntario se dice que es informal y<br>asesor al responsable y a los encargados<br>PR mover y participar en la política que<br>dicte el responsable supervisar el<br>cumplimiento preocuparse por la<br>formación permanente vale de todas las<br>personas que están dentro asistir o<br>apoyar en este caso los miembros de la<br>organización en la identificación de<br>riesgos asociado a la actividad de<br>tratamiento y a las medidas para Eh<br>adoptarlas no eh desarrollar un plan<br>anual y de rendición de cuentas eh<br>atender las consultas y solicitud y<br>cooperar y actuar como punto de de<br>contacto con la con la autoridad no en<br>el caso de Perú en el marco de<br>competencias en el artículo 39 se dice<br>que de reglamento vale que es informar y<br>asesorar al titular de los bancos de<br>datos eh verificar e informar sobre el<br>cumplimiento en la ley cooperar con la<br>autoridad de control y actuar como punto<br>de contacto y si nos vamos al proyecto<br>de de Argentina es muy curioso<br>vale proyecto Argentina artículo<br>45 casi diría con con algunas cosit que<br>que nos va a sunar todo no fijaros el<br>artículo 4 la parte a dice dentro del<br>marco de competencias informar y<br>asesorar evidentemente promover y<br>participar en el diseño y aplicación de<br>la política supervisar el cumplimiento y<br>aquí está el punto que os comentaba<br>antes fijaros asignar<br>responsabilidades concienciar y formar<br>al nacional y realizar las auditorías<br>correspondientes fijaros estos dos<br>aspectos que tienen e buenar es un<br>proyecto está en el cajón del gobierno<br>del ejecutivo vale Pero esto es una<br>decisión eh la asignación de<br>responsabilidades es una responsabilidad<br>valga la redundancia del responsable del<br>tratamiento pero asignar<br>responsabilidades Eh no deja de ser sino<br>eh el despliegue y selección de<br>controles<br>organizativos con lo cual está colocando<br>al oficial de protección de datos en<br>primera línea segunda línea y fijaros<br>aquí tercera línea Porque además dice<br>que tendría que realizar las auditorías<br>correspondientes bueno Y esto es Eh pues<br>una de esas grandes extrañezas rarezas<br>que nos podríamos encontrar un poco en<br>el ecosistema porque estaría estamos<br>ante una posición eh TR línea en en una<br>misma persona mismo comité vale<br>partiendo el hecho de que si yo soy<br>también quién audito eh La pregunta es<br>quién<br>audita aquí a la segunda<br>línea vale eh es un poco pues esa cosa<br>extraña no entonces Ah Y si yo asigno<br>Esto entonces la auditoría Aquí también<br>Es decir me voy a auditar yo aquí y<br>es es tremendamente extraño porque<br>dentro de Los criterios internacionales<br>de auditoría eh Es evidente que la<br>objetividad y la independencia eh Son<br>características comunes de cualquier<br>equipo auditor no Y además hay que<br>demostrarlo con lo cual esa objetividad<br>Y esa Independencia se la se pierde<br>cuando yo tengo que auditar mi propia<br>área y y además auditar mis propias<br>tomas de Decisiones Con lo cual<br>eh difícil difícil de de justificar no<br>eh el apartado e dice ofrecer<br>asesoramiento eh sobre las posibles<br>evaluaciones de impacto y eh Por último<br>evidentemente cooperar Y en vez de decir<br>como actuar como punto de contacto dice<br>como referente con la autoridad de de de<br>protección de datos no yéndonos al al<br>mundo eh de la normalización tanto me<br>caracteriza por ejemplo la ISO 27701 en<br>el apartado<br>6.3.11 asignación de roles y<br>responsabilidades eh se dice que<br>evidentemente hay que asignar a un<br>responsable que este tiene que ser eh<br>independiente pero ya aquí está la clave<br>informar directamente al nivel de<br>gestión apropiado participar en la<br>gestión de las cuestiones relacionadas<br>con el tratamiento de la información<br>identificación personal ser experto en<br>La legislación regulación y práctica y<br>aquí está la otra idea actuar como punto<br>de contacto informar a la alta dirección<br>y a los empleados con respecto a las<br>obligaciones por tanto esto hablamos de<br>formación interna Y por último brindar<br>asesoramiento respecto a Las<br>evaluaciones de impacto de privacidad<br>Bueno qué hemos intentado definir en<br>estos puntos no yendo por los<br>distintos caminos las distintas vías que<br>los legisladores han ido utilizando en<br>Latinoamérica y Europa para definir este<br>marco de competencia pues nuevamente<br>igual que en el campo de la definición<br>No encontramos una definición unánime<br>tampoco encontramos un marco de<br>competencia unánime dentro de lo que es<br>el el modelo Lo que sí es importante que<br>entendamos y y aquí creo que la la<br>infografía por ejemplo de la autoridad<br>de protección de datos de Singapur es<br>tremendamente importante Por qué Porque<br>nos muest muestra la realidad de un<br>oficial de protección de dat muchas<br>veces en algunas entidades o como dice<br>mi querido amigo y compañero ricard<br>Martínez doctor ricard Martínez<br>Eh muchas veces nos encontramos en el<br>mundo los oficiales de proteinato varios<br>tipos de oficiales de proteinato está el<br>del el del sí sí sí sí sí a todo vale Y<br>está aquel del no no no a todo igual que<br>cuando los niños pequeños descubren El<br>poder del no y condicionan con el no a<br>sus papás dentro del hogar no Bueno pues<br>muchas veces el gran problema es que en<br>algunas organizaciones los malos dpo se<br>consideran y se convierten en stopper de<br>la innovación por tanto esta infografía<br>lo que nos muestra es en realidad el<br>marco de competencia digamos de de de un<br>oficial de protección de ap eh digamos<br>que ese marco de competencia se puede<br>dividir en dos grandes bloque por un<br>lado evidentemente todas las tareas<br>relacionadas con la gestión y gobierno<br>también de la protección de datos<br>personales pero también en un segundo<br>punto muy muy muy importante tiene que<br>ver con la innovación en el uso de los<br>datos de tal manera que tengamos la<br>capacidad y la organización para<br>conseguir sus objetivos de negocio tenga<br>la capacidad de aprovechar el valor de<br>los datos para ofrecer nuevos productos<br>y nuevos Servicios al mercado<br>evidentemente ese aprovechamiento de del<br>dato ese aprovechamiento del dato Vale y<br>aquí lo que pongo un un poco con la con<br>la idea es una<br>eh actitud eh Pro Innovación de los<br>oficiales de protección de ato entonces<br>eh nos encontramos muchas veces<br>inclusive a veces hasta en el mundo<br>político mal utilizado eh la normativa<br>de protección de dato como un stopper<br>como una barrera para acceder a<br>determinada información por poner un<br>ejemplo en la época de la pandemia el<br>gobierno español<br>eh Por activa y por pasiva se negó a<br>informar identificar Quién era el comité<br>técnico médico que estaba informando al<br>gobierno repito el comité técnico que<br>estaba asesorando al gobierno en temas<br>de salud pública la razón y el argumento<br>que se utilizó fue que era por<br>protección de datos cuando estamos<br>hablando de que la mayoría de sus<br>compañeros que estaban en ese área Ah<br>pues eh eran funcionarios y en otros ah<br>eh personas de de de de renombre eh<br>profesional no pero eh En ningún momento<br>En este caso la protección de datos era<br>el argumento jurídico eh Porque por<br>protección de datos no había ningún<br>elemento en la normativa protección de<br>datos que impidiese a la ciudadanía<br>española el derecho a conocer Quiénes<br>eran las personas que estaban tomando<br>decisión por su salud esto es una una<br>cuestión importante Por tanto el dpo es<br>pro innovación y no se convierte nunca<br>en un stopper dentro de lo que es la la<br>la función el desempeño No si tuviésemos<br>que resumir digamos la funciones del del<br>oficial de protección de datos podíamos<br>ocuparlas digamos en 10 grandes bloques<br>no eh supervisar el cumplimiento<br>evidentemente documentar y comunicar a<br>la dirección cualquier tipo de<br>vulneración inspeccionar procedimiento y<br>emitir recomendaciones informar y<br>asesorar responsable y responsable<br>encargado o a los empleados que están<br>tratando datos personales realizar<br>acciones internas de concienciación y<br>tareas formativas cooperar con la<br>autoridad de control actuar como un<br>interlocutor entre el responsable y la<br>autoridad de control vale Ah función de<br>interlocución e intermediación que hemos<br>comentado antes también el asesoramiento<br>en la elaboración mantenimiento y<br>actualización del registro de actividad<br>y tratamiento y la supervisión en este<br>caso de Las evaluaciones de impacto y<br>también la valoración de los informes de<br>riesgos en realizados en en la<br>organización sería como los 10 grandes<br>bloques más importantes que podríamos<br>numerar dentro lo que sería el marco de<br>funciones de del oficial de protección<br>de dato No si hacemos zoom y nos<br>acercamos a eso que hemos denominado<br>antes el esquema de certificación de la<br>agencia española protección de datos<br>eh es es muy interesante Porque aquí se<br>numera una serie de elementos no no<br>solamente informar y asesorar al<br>responsable no solamente supervisar el<br>cumplimiento aquí Habla dice supervisar<br>la asignación de responsabilidades veis<br>veis perfectamente no no se ha habla de<br>eh eh asignar responsabilidades sino<br>supervisar la asignación de<br>responsabilidades supervisar la<br>concienciación y la formación no<br>supervisar las auditorías supervisar las<br>auditorías el programa de de auditorías<br>lo supervisa El oficial de protección de<br>datos en en las auditorías que<br>corresponde evidentemente a a su área de<br>de de competencia y evidente que muchas<br>otras auditorías de de de gestión<br>También tienen eh trazas que afectan<br>también a proteccion por tanto también<br>va a tener un nivel digamos de acceso<br>también a esos informes en de auditoría<br>y por tanto cuando se produce esos<br>informes de auditoría el propio auditor<br>perón el propio dpo lo que tiene que<br>hacer es levantar su propio informe y<br>escalarlo también a a dirección no<br>ofrecer asesoramiento eh sobre las<br>posibles eh actividades que podrían eh<br>desencadenar una evaluación de impacto<br>inclusive eh indicar si esa evaluación<br>de impacto se debe hacer con equipo<br>interno o equipo externo eh en función<br>del posible conflicto de interés eh Y<br>por tanto intentando Buscar la Mayor<br>Mayor grado de neutralidad y de<br>objetividad en en el análisis y en el<br>resultado de esa evaluación de impacto Y<br>por último cooperar hemos dicho y actuar<br>como como interlocutor no siguiendo un<br>poco con con ese esquema eh veréis que<br>eh eh También se nos dice que tiene que<br>para eso tenemos que recabar información<br>Ah sobre todas las actividades de<br>tratamiento por eso el el lo que<br>comentaba el artículo 36 la capacidad de<br>acceder bien y por tanto ningún dueño de<br>proceso se puede negar a entregar esa<br>información porque evidentemente es una<br>un elemento digamos mandatorio de la<br>propia junta de gobierno el propio junta<br>de accionistas propio directorio que es<br>el que asigna este rol eh Define ese<br>marco de competencia y evidentemente en<br>el caso español el artículo 36 lo que<br>nos dice es que tenemos esa capacidad de<br>de indagar de acceder y también de de de<br>a la propia documentación no analizar y<br>comprobar la conformidad de las<br>actividades eh informar asesor y emitir<br>recomendaciones sobre esas actividades<br>que hemos ido recabando recabar<br>información para supervisar el registro<br>de operaciones el rat no asesorar en la<br>aplicación del principio prot dato por<br>diseño por defecto artículo 25 del<br>reglamento europeo vale artículo 39 el<br>modelo ecuatoriano artículo 14 ter en el<br>caso de chile apartado F asesorar sobre<br>en este caso si se debe llevar o no a<br>cabo una evaluación de impacto<br>metodología el caso que se una evalución<br>impacto a si esta se hace como he dicho<br>antes con recursos propios o contratando<br>externamente eh salvaguarda para los<br>derechos de las personas eh<br>evidentemente emitir informes sobre si<br>esa evaluación de impacto se hecho<br>correctamente eh No es la primera vez<br>que el dpo emite un informe contrario al<br>propio a la propia evaluación de impacto<br>eh Y si sus conclusiones evidentemente<br>ah eh son eh es es la de apto no apto en<br>este caso si es conforme o no al<br>reglamento y la motivación<br>correspondiente no priorizar en sus<br>actividades y centrarse en su esfuerzo<br>en aquellas cuestiones que presentan<br>mayores riesgos relacionado con la<br>protección de datos decir no nos<br>perdamos con la la menude intentamos ver<br>aquellas actividades que son críticas y<br>aquellos procesos que son críticos para<br>la<br>organización asesorar sobre Qué<br>actividades de formación internas se<br>debe proporcionar al personal y a los<br>directores Es evidente siempre digo que<br>cuando hablamos de de desarrollar un un<br>programa de capacit interno de la<br>organización que lo de lentejas para<br>todos no sirve es imposible está bien<br>las lentejas en un momento determinado<br>Pero hay eh procesos dentro de la<br>organización con un apetito del riesgo<br>voraz en comparación con otras áreas y<br>otros procesos internos de la<br>organización cuyo apetito de riesgo es<br>ínfimo con respecto al tratamiento de<br>datos personales por ejemplo el<br>departamento de logística de una<br>organización tendrá probablemente un<br>apetito riesgo sobre datos personales<br>bastante pequeño con lo cual lo de la<br>lenteja para todo podría caber en un<br>momento determinado Vale pero no así en<br>el área de<br>marketing donde probablemente el apetito<br>del riesgo de los compañeros del área de<br>comunicación digital es infinitamente<br>Superior y donde Probablemente lo que<br>necesiten es una capacitación precisa<br>quirúrgica diría yo de qué pueden hacer<br>cómo lo pueden hacer y sobre todo es muy<br>importante que Qué riesgos son los que<br>tienen que mitigar y sobre todo Qué<br>herramientas no se deberían utilizar<br>para llevar a cabo esas actividades<br>no Y por último intervenir en caso de<br>reclamaciones ante la autoridad de<br>proteccion dat esta intervención cuando<br>hay una reclamación por parte de de la<br>autoridad tiene que ver exclusivamente<br>en el rol de punto de contacto luego<br>veremos que en esa intervención eh En el<br>caso del del esquema de la agencia<br>española sidato impide que el oficial de<br>pronato eh responda a los requerimientos<br>de la autoridad de control como si fuese<br>digamos el área legal de la organización<br>no ahí habría nuevamente un marco<br>digamos de conflictos de interés<br>claramente y yendo un poco saliendo un<br>poco del marco legal y y del marco eh<br>digamos de normativo y y del marco de<br>referencias del propio esquema español<br>de protección de datos eh si nos vamos<br>un poco a la literatura poco jurídica<br>por ejemplo la agencia de protección de<br>datos definió en su momento al dpo como<br>un garante del<br>cumplimiento Carmen Sánchez en una de<br>sus obras dice que el dpo es un<br>solucionador Moisés barrio lo definió<br>como El guardián privado de la<br>protección de datos Rafael Jiménez dijo<br>que es como una especie de obman interno<br>en materia de protección de AT no<br>Cecilia Álvarez dijo que el dpo no es un<br>costo es una<br>inversión es un concepto muy importante<br>vale Noemí Brito compañera eh dice que<br>el depo se elige como un potenciador de<br>los datos personales eso que<br>comentábamos antes con la infografía de<br>la autoría de Singapur no no solamente<br>nos centramos en la gestión y gobierno<br>gobierno y gestión de la protección de<br>datos sino también en ese marcado<br>carácter de Pro Innovación en el uso de<br>las tecnologías no y José Antonio mesía<br>eh viene a definir también la posición<br>del dpo como una posición nuclear entre<br>procedimientos prácticas y y actividades<br>no con esto ya hemos visto un poco eh<br>digamos ese cuadro ese entorno eh<br>digamos a grandes rasgos de lo que sería<br>un poco el marco de de de competencias<br>no y cambiamos de rol ehh una vez<br>definido Cuál es ese marco de<br>competencias o por lo menos visto eh a a<br>grosso modo eh vamos a definir un poco<br>Cómo cómo acreditar el perfil yo creo<br>que es un poco la la la otra gran<br>cuestión eh Porque que<br>muchos están queriendo optar a este<br>puesto y como me gusta a mí definir es<br>importante que todos tengamos formación<br>Clara precisa amplia sobre protección de<br>datos Porque la proteon es un tema<br>transversal a todas las actividades y a<br>todos los procesos de las organizaciones<br>pero probablemente no todos tengamos las<br>las competencias las habilidades para<br>trabajar como oficial de protección de<br>auto por tanto a lo mejor por nuestra<br>forma de desempeñarnos estaría mucho<br>mejor en algún otro tipo de rol no pero<br>no cabe duda de que es un rol<br>eh bonito atractivo<br>e y quienes llevamos años<br>desempeñándose tremendamente feliz por<br>ocupar esa posición una posición que nos<br>permite interrelacionarnos con con todas<br>las áreas dentro de la organización que<br>nos permite estar en digamos en la en la<br>en la Génesis de de de muchos proyectos<br>y y de muchos programas y y también<br>evidentemente en la en la Génesis de<br>muchísimas organizaciones que por<br>ejemplo como startup que llegan o que<br>quieren llegar al mercado y que del<br>minuto uno dentro de lo que es su<br>estructura se han apoyado en en la<br>incorporación de un oficial de<br>proteinato porque están haciendo del<br>prav en bades prav bf como uno de los<br>elementos cores diferenciales entonces<br>eh hablando de cómo acreditar el<br>perfil Si nos vamos al considerando 97<br>del reglamento para aquellos que no<br>habéis tenido oportunidad de leer el<br>reglamento el reglamento general de Proc<br>europeo tiene 99 artículos Pero antes<br>del artículo número uno hay 173<br>considerando que son como lentes o lupas<br>que nos permiten entender luego los<br>artículos que están dentro entonces este<br>artículo<br>97 o este recital lo viene a decir<br>fundamentalmente que e el el el oficial<br>de prote dat tiene que contar o en este<br>caso la la organización tiene que contar<br>con la ayuda de una persona con<br>conocimientos especializados del derecho<br>y la práctica en materia de protección<br>de dato he querido subrayar esto porque<br>es muy importante el término porque no<br>es lo mismo decir conocimiento<br>especializado en derecho que<br>conocimiento especializado del derecho<br>eh cuidado con con con el tema vale<br>segundo eh es considerando 97 dice el<br>nivel de conocimiento especializado<br>necesario se debe determinar dice en<br>particular en función de las operación<br>tratamiento datos que se lleven a cabo y<br>de la protección exigida con lo cual el<br>nivel de conocimiento No es tantos del<br>derecho o o en derecho como de aquellas<br>cuestiones del derecho que afectan a<br>aquellas operaciones que son Ah digamos<br>las habituales que realiza la<br>organización por tanto es muy importante<br>dice el considerando 97 para eh<br>posicionar como oficial de protonado<br>conocer el negocio esto que es el<br>lenguaje que solemos utilizar es más<br>importante conocer el negocio y por<br>tanto digamos las implicaciones legales<br>de cómo funciona el negocio para poder<br>entender y ser en este caso un oficial<br>de protección de datos no y saliendo del<br>considerando 97 y yéndonos al artículo<br>375 que es al que está apuntando ese<br>considerando 97 dice que el delegado de<br>proteccion dat será designado atendiendo<br>a sus cualidades<br>profesionales dice y en particular a sus<br>conocimientos especializados nuevamente<br>dice del derecho y la práctica en<br>materia de protección de aut Por tanto<br>la manera de acreditar en el modelo<br>europeo hemos dicho es conocimiento<br>especializado del derecho práctica en<br>materia de protección de dato y<br>conocimientos especializados de las<br>operaciones de tratamiento del negocio<br>que realiza la organización que está<br>bajo ese ámbito de aplicación del<br>reglamento de General de protección de<br>dat<br>yendo un poquito más y haciendo zoom<br>sobre estos dos conceptos vale de los<br>conocimientos digamos especializados eh<br>eh Por ejemplo acá hablando de<br>conocimiento jurídico de la normativa de<br>protección de datos lo que se nos pide<br>es que estemos familiarizados con las<br>regulaciones y previsiones que afectan<br>al campo profesional al sector<br>empresarial en el que nosotros o Nuestra<br>Empresa se está desempeñando entonces lo<br>que tenemos que ver es por ejemplo cómo<br>en las actividades ordinarias de nuestra<br>organización pueden estar afectados o no<br>derechos fundamentales o la carta de<br>derechos fundamentales de la Unión<br>Europea no los principios básicos del<br>reglamento osado en el artículo 5 no y<br>aquellas normativas que pueden ser a<br>nivel local a nivel digamos de de país<br>en materia digamos de protección de<br>datos Conocer bien los dentro lo que es<br>el principio licitud la base jurídica en<br>el modelo europeo artículo 6 y artículos<br>9 y 10 y los requisitos relacionados por<br>ejemplo con la protección de datos al<br>utilizar las<br>tecnologías de la información no y des<br>el punto de vista digamos desde el<br>ámbito de la seguridad de la información<br>y del uso de las tecnologías pues es<br>importante que uno conozca el entorno<br>tecnológico conozca la estructura de los<br>sistemas aplicaciones y procesos que<br>seamos conocedores de cómo fluye los<br>datos a través de esas tecnologías<br>propias o de terceros o propias y de<br>terceros vale la gestión de la propia<br>seguridad Cómo afecta esa a a las<br>distintas propiedad y de<br>confidencialidad integridad y<br>disponibilidad y la resiliencia que<br>especifica el artículo 32 identificación<br>de riesgo asociado a los individuos no a<br>las organizaciones no que riesgo que<br>viene por el uso de esas tecnologías No<br>ese elemento que a veces puede chocar<br>entre los compañeros de entorno del<br>Security del entorno infosec con<br>aquellos que nos dedicamos al mundo del<br>privacy no y que necesitamos muchas<br>veces evangelizar necesitamos culturizar<br>para que nuestros compañeros entiendan<br>que aquí fundamentalmente no estamos<br>hablando de riesgo organizacional sino<br>que nos tenemos que centrar en el riesgo<br>a derechos y libertades de las personas<br>que están en el contexto interno y en el<br>contexto externo de las organizaciones Y<br>por último desarrollando los controles y<br>las medidas o sea uno tiene que saber de<br>de controles no tiene que ser un experto<br>digamos en en el tema pero tiene que<br>saber de de qué estamos hablando no por<br>tanto eh fijaros que hablamos también de<br>ese artículo 37 m y 27.5 decía algo así<br>como que tiene que tener unas cualidades<br>profesionales y esas cualidades<br>profesionales ah eh lo cu sequir es una<br>experiencia en las leyes y en las<br>prácticas nacionales europeas no<br>comprensión de las operaciones<br>comprensión de las tecnologías<br>conocimiento del sector y sobre todo un<br>tema muy importante porque esta es una<br>función que es un denominador común a<br>todos los Marcos eh a todos los Marcos<br>que hemos visto anteriormente es la<br>capacidad para promover una cultura de<br>la proteción de dato dentro de las eh<br>organizaciones no bueno Esta es un poco<br>la la la idea general por tanto eh Es<br>evidente que un dpo independientemente<br>de cuál sea su su perfil académico Ah<br>tiene que tener un nivel experto en eh<br>digamos en funciones específicas de<br>tecnologías de la información porque<br>evidentemente eh Hoy que estamos<br>hablando de transformación digital más<br>que nunca que hablamos de sociedad<br>digital de economía digital que hablamos<br>de cliente digital y que hablamos de<br>confianza digital es important que los<br>dpos tengan un conocimiento amplio de<br>las tecnologías de la información y<br>antes que hemos hablado de de de cómo<br>esas tecnologías no solamente están<br>innovando sino apareciendo riesgos<br>asociado por poner un nombre y un<br>apellido pensemos en la Inteligencia<br>artificial y pensemos fundamentalmente<br>ahora hoy por hoy en la ia generativa<br>que teniendo tantos elementos a favor en<br>pro también tiene una serie de elementos<br>del punto de vista aproximado en contra<br>por tanto es importante que nosotros Ah<br>tengamos una comprensión amplia de esto<br>para ver cómo podemos ser Pro Innovación<br>sin sin aumentar el nivel de riesgo<br>sobre las personas que tenemos digamos<br>la la obligación de de de cuidar y y de<br>proteger no Y además eh eh al llevar a<br>cabo en todo este trabajo<br>eh una de las cuestiones más desafiantes<br>es Cómo encontrar digamos el marco de<br>competencia decir cómo acreditar el<br>perfil Cómo desarrollar los<br>conocimientos hemos dicho conocimientos<br>en en el en la normativa de protección<br>de datos que afecta mi negocio en la<br>tecnología que afecta mi negocio<br>entonces Eh bueno en el mercado pues<br>puede haber sesiones de formación de un<br>día eh hoy tenemos una masterclass de un<br>de un día de do horas puede ser que la<br>formación la tengamos en en en línea<br>como estamos teniendo en este minuto<br>puede ser presencial eh otros eh otros<br>otros usos otras formas es a través<br>digamos de de formación acreditada eh<br>académicamente A través digamos de de de<br>entidades que puedan entregar y<br>acreditar que es un poco la razón<br>también de explicar esto en el día de<br>hoy y también existe evidentemente<br>digamos la formación académica mucho más<br>tradicional que puede estar siendo<br>proveída en este caso provista en este<br>caso Perdón por las por por la academia<br>en en sus distintos máster o magister eh<br>Para desarrollar digamos estas estas<br>capacidades no lo que es cierto es que<br>eh en el modelo europeo eh la comisión<br>de de modelo europeo modelo modelo que<br>un poco más más<br>conocido la comisión de protección de<br>datos recomienda que se tengan en cuenta<br>digamos eh esta lista no exhaustiva de<br>factores al seleccionar un programa de<br>formación<br>porque esto Esta es la gran pregunta no<br>A qué curso voy dónde me formo con quién<br>me formo Esta es una de las grandes<br>preguntas entonces a la hora de<br>seleccionar es muy importante tener en<br>cuenta el contenido y los medios digamos<br>de la formación segundo eh si se<br>requiere o no capacitación que conduzca<br>la certifica decir muchas veces<br>necesitamos una formación previa para<br>poder atacar esa certificación eh la<br>propia legitimación del propio organismo<br>acreditador evidentemente que respaldo<br>es el que puede tener Y por último si la<br>formación y la certificación van a ser<br>reconocidas a nivel nacional o<br>internacional también es una una<br>cuestión que puede ser eh<br>Eh puede estar dentro de la de la base<br>de elección de la margarita que tenemos<br>que ir despejando no en en todo sentido<br>en cualquier caso eh eh un dpo debe<br>tener siempre un nivel adecuado de<br>experiencia en la legislación y en las<br>prácticas y esto eh es importante que<br>nosotros podamos demostrarlo pero<br>también hay que ir a buscar yo quero<br>poner ahí a la derecha eh algunas<br>certificaciones de organismos de tercera<br>parte que que se están entregando en en<br>los distintos mercados y que<br>evidentemente tienen como eh denominador<br>común fundamentalmente eh poder eh<br>acreditar el estatus eh del profesional<br>que sale por ahí no tenemos la<br>certificación de la iap la sip tenemos<br>la certificación de isaca la de cipsi<br>como ingeniero de privacidad tenemos la<br>la la la certificación cpp eh senior de<br>Po de de apep en España tenemos la cdpp<br>del 10ms Forum en España y Y por último<br>es el la infografía que tenemos aquí es<br>el sello en este caso de eh eh Como<br>delegado de pronato de la certificación<br>cdpd de la agencia española de<br>protección de datos no siguiendo un poco<br>con con el modelo europeo y si me<br>permitís acercar un montito al al<br>dictamen eh que aparecía en el Wi paper<br>243 del año 2017 eh ahí se hablaba<br>fundamentalmente que evidentemente el<br>nivel de experiencia que le podemos<br>exigir a un oficial de protección de<br>datos eh va a variar y va a variar eh<br>teniendo en cuenta aspectos como la<br>sensibilidad la complejidad y el volumen<br>de la información pensar por ejemplo que<br>no es lo mismo ser un dpo en en un<br>complejo hospitalario que ser un dpo en<br>en una fábrica o yo que sé una minera es<br>decir el el volumen de dato la<br>sensibilidad del dato es muy distinto<br>muy distinto vale la complejidad también<br>es decir y los volúmenes también por<br>tanto Esta es una cuestión importante y<br>en función de eso en nuestra formación<br>nuestra la capacitación nuestras<br>competencias tendrán que ser como mucho<br>más eh más amplias eh Y evidentemente<br>con un nivel digamos de expertise<br>muchísimo mayor no eh además el propio<br>considerando lo 27 dice que esa eh Esa<br>formación tiene que venir en función de<br>las propias operaciones de tratamiento<br>vuelvo a comentar esto esto era obvio<br>cada operación de tratamiento que yo<br>tengo o sea en función de la tipología<br>de de de de cuáles son las finalidades<br>de mi negocio Cuáles son los objetivo de<br>mi negocio y sobre todo porque cada<br>negocio e cada organización tanto<br>pública como privada va definir un nivel<br>distinto de apetito del riesgo por tanto<br>eh No solamente es la propia naturaleza<br>de la operación de tratamiento sino que<br>son otras cuestiones no olvidemos por<br>ejemplo que eh a la hora de configurar<br>el el riesgo eh Por ejemplo en el<br>enunciado del artículo 32 del reglamento<br>europeo se dice claramente que eh el el<br>responsable tiene que tener en cuenta la<br>naturaleza el alcance el contexto y las<br>finalidades todas estas cuatro cuatro<br>elementos que formarían parte de eso que<br>podríamos Llamar a nivel grande e la<br>fase contextual donde yo voy a realizar<br>esa actividad de tratamiento en función<br>de cómo lo hagamos cada uno de nosotros<br>nuestro apetito de riesgo de poad de<br>gravedad se va a manifestar de forma<br>completamente<br>distinta completamente distinta entonces<br>en función de eso Pues necesitaremos a<br>lo mejor pues un especialista o un dpo<br>con mayor grado de especialidad o un dpo<br>probablemente eh con un nivel digamos de<br>cualificación un poco más genérico en en<br>el tema y y luego también evidentemente<br>habría que Añadir cuestiones como<br>experiencia conocimiento y y la práctica<br>No por ejemplo en en el articulado del<br>artículo 35 de la ley española de<br>protección de datos Ah ahí por ejemplo<br>el regulador español cuando<br>e publicó la ley una ley que fue<br>aprobada por cierto lo comento a nivel<br>un poco e<br>histórico es es<br>algo de las cosas creo positivas de de<br>de la ley española del año 2018 es que<br>fue aprobado por unanimidad<br>parlamentaria vale esto yo creo que es<br>un un<br>dato muy interesante que pone manifiesto<br>un poco el nivel de madurez verdad que<br>luego la ley tiene algunos algunos<br>errores por detrás Y además algunos<br>errores políticamente intencionados que<br>por suerte eh dos meses o tres meses<br>después fueron mitigados en una reclama<br>ación eh impulsado por una un colectivo<br>de profesionales entre los que me inclu<br>me inclu ese momento<br>eh Y que activamos el procedimiento a<br>través del defensor del pueblo para<br>invalidar una disposición adicional que<br>habían colocado pero lo cierto es que el<br>la propia normativa en su Artículo 35 ya<br>previó que eh íbamos a necesitar<br>probablemente mecanismos voluntario de<br>certificación eh Para poder digamos<br>acreditar probablemente la función la<br>función del oficial de protección de<br>datos independientemente de de que esto<br>luego se pudiese configurar a través o<br>no de titulaciones universitarias pero<br>ciertamente la la la previsión de la<br>aparición de mecanismo voluntario de<br>certificación ya era como una un<br>elemento digamos muy adelantado a ese<br>momento no eh si nos fijamos por ejemplo<br>en en la modificación recientemente<br>aprobada de la eh reforma de la ley<br>19628 de chile se especifica que dentro<br>de lo que es el perfil del oficial de<br>proteccion dat eh este tiene que reunir<br>digamos las características los<br>requisitos de idoneidad capacidad y<br>conocimientos específicos no en el caso<br>por ejemplo de de Perú lo que se pone el<br>énfasis nuevamente es en las cualidades<br>conocimiento de protección de datos y la<br>práctica de la protección de datos no en<br>el proyecto de de Colombia se habla de<br>conocimientos legales experiencia Y<br>capacidad para desempeñar las funciones<br>y en el caso de Argentina no sé si por<br>eso que está por eso el tema de de los<br>and no sé quién quién se fijó en quién<br>pero es Exactamente igual que el modelo<br>chileno idoneidad capacidad y<br>conocimientos específicos por lo menos<br>en ese artículo 44b de de lo que es el<br>proyecto vale Bueno pues hasta aquí<br>hemos visto un poco<br>el digamos el marco digamos de lo que<br>serían las competencias por otro lado<br>segundo Cómo poder acreditar el perfil<br>eh dentro de lo que es<br>el el la obligación de tomar una<br>decisión de de asignar este rol eh antes<br>de tener en cuenta el marco de<br>competencias y y digamos los<br>requerimientos para poder decir quién sí<br>quién no lo primero que hay que definir<br>fundamentalmente es quién no quién no y<br>y lo que ponemos vamos a expresar a<br>partir de este minuto es el conflicto de<br>interés el conflicto de interés es muy<br>importante porque eh No es un tema que<br>aparezca solo en La regulación europea<br>en el caso europeo aparece en el<br>artículo 386 porque dice que se tiene<br>que garantizar eh Y lo tiene que hacer<br>la empresa el responsable damiento tiene<br>que garantizar que la función y<br>cometidos del delegado pronato no den<br>lugar a conflictos de interés en el caso<br>de chile Ah se dice que el responsable<br>garantizará que dichas funciones y<br>cometidos no den lugar a conflictos de<br>intereses en el caso ecuatoriano en el<br>artículo 50 dice siempre que no exista<br>conflicto vale Ah también podrá realizar<br>esa función en el caso eh del<br>El perdón del reglamento este reglamento<br>de Ecuador artículo 56 eh hablando de<br>los impedimentos para ser delegado en el<br>numeral número cuatro dice quienes<br>tengan conflictos de intereses con el<br>responsable pero es que eh Ya se enumera<br>algunos eh algunos escenarios que<br>pudiesen dar lugar a esos conflicto por<br>ejemplo quienes formen parte de los<br>órganos de administración y control Los<br>Socios y accionistas eh los los cónyuges<br>de los administradores y directores<br>comisarios de la compañía vale decir ya<br>al final está empezando digamos a<br>generar una especie digamos de estatuto<br>de quienes no podrían ostentar nunca la<br>posición de un oficial de de protección<br>de datos en el proyecto de Colombia<br>también se define efectivamente que a la<br>hora de definir y asignar el rol el<br>responsable el encargado lo primero que<br>va a tener también que dilucidar es que<br>el nombramiento no genere conflictos de<br>inter y en el proyecto de Argentina<br>Exactamente igual qué nos enseña esta<br>tabla que que he enumerado acá pues lo<br>que enseña esta tabla fundamentalmente<br>es que lo primero que hay que hacer<br>antes de pensar en el nombramiento es<br>pensar y definir y tenemos que<br>evidentemente tener nuestras políticas<br>nuestro procedimiento intern<br>correctamente habilitado es quién no<br>puede en función del tipo de<br>organización de cómo yo me me defino<br>como organización en función de a lo que<br>yo me dedique en función de miio petito<br>al riesgo Quién no puede ser oficial de<br>protegerme AT entonces Estas son las<br>primeras grandes cuestiones y en el<br>hipotético caso de que tuviese algún<br>tipo de duda empezar a definir Qué<br>elementos voy a colocar como elementos<br>estancos o cortafuegos para evitar que<br>efectivamente ese conflicto de interés<br>se llegase a materializar dentro de la<br>organización problema es el concepto el<br>concepto el concepto jurídico del<br>conflicto de interés entonces podíamos<br>hablar que en realidad podríamos hablar<br>de tres tipos de confli conflicto no el<br>conflicto de interés real el conflicto<br>de intereses potenciales y el conflicto<br>de intereses aparentes en realidad eh en<br>en en las distintas normas estamos mucho<br>más en el concepto número dos no que es<br>cuando la persona sujeta tiene un<br>interés particular que podría influir en<br>la toma de decisiones por la posición o<br>el cargo que ocupa la diferencia clave<br>es que pese a que no encuentra o no se<br>encuentra en una situación en la cual<br>pueda influenciar podría hacerlo en el<br>futuro Esta es un poco la la la idea a<br>la que se está refiriendo y para esto<br>querido traer aquí una cita del el<br>compañero y profesor y doctor Miguel<br>recio que en una de sus publicaciones un<br>de sus libros dijo hablando la autonomía<br>del dpo dice dicha autonomía del dpo<br>debe entenderse a la vista del<br>reglamento y las directrices del grupo<br>de trabajo 29 como una garantía frente a<br>posibles injerencias en el desarrollo de<br>sus funciones y cita es decir la<br>autonomía está estrechamente relacionada<br>con el requisito de evitar el conflicto<br>de interés dice para así asegurar el<br>derecho fundamental a la protección de<br>datos personales por tanto eh uno de los<br>elementos que voy a tener que acreditar<br>para garantizar efectivamente esa<br>ausencia de conflicto de interés va a<br>ser probablemente la potenciar la<br>autonomía o la independencia del oficial<br>de protección de datos Y para esto<br>evidentemente yo voy a tener que<br>demostrarlo eh A través de los<br>procedimientos y de las medidas que debo<br>en realizar En todo caso evidentemente<br>En todo caso eh Como dice por ejemplo el<br>informe de la de la confederación<br>Europea de delegados de protección de<br>ato eh dice debe existir salvaguardas<br>específicas para detectar y adoptar<br>soluciones alternativas en puestos de<br>conflicto de interés esto tiene que<br>estar antes del nombramiento porque de<br>lo contrario<br>probablemente cometamos el error vale<br>segundo eh dice la independencia del dpo<br>no significa que el dpo se convierta en<br>una especia de Mini eh dpa o Mima una<br>mini autoridad de procesat dentro de la<br>institución no lo es tiene una función y<br>y y y ahí tiene que estar no dice la<br>independencia del dpo debe garantizarse<br>eh eh A través de evidentemente o se<br>debe garantizar que este cuente con Ah<br>digamos Con principios de integridad y y<br>lealtad no eh dice también la relación<br>de el dpo con la organización debe<br>disponer de la potestad apropiada lo que<br>exige que se apoye o esté apoyado por<br>los órganos de de de decisión eh dice el<br>dpo debe tener una línea de reporte<br>directo al consejo de administración eh<br>el dpo debe tener acceso directo al acta<br>dirección sin filtro o mandos<br>intermedios y además dice los eh se<br>habla del deber de confidencial del dpo<br>Y por último dice los riesgos de<br>conflictos de interés pueden sugir si el<br>puesto dpo se sitúa y aquí a prestar<br>atención en los departamentos de<br>seguridad tecnologías de la información<br>recursos humanos u otros departamentos<br>decisorios por traer un poco a la luz<br>Hay un procedimiento sancionador de la<br>autoridad griega del año eh 2020 que<br>dice que incluso el dpo no debería<br>representar a la entidad en los<br>procedimientos que se siga ante la<br>autoridad de control esto ya lo comenté<br>antes y lo fuy adelantando vale Y aquí<br>tenéis un esquema de lo que sería el<br>modelo español el artículo 64 el esquema<br>vale de eh de digamos de iniciación del<br>procedimiento administrativo sancionador<br>y cuando se inicia ese procedimiento<br>administrativo sancionador contra el<br>respons adento en el que el dpo está<br>trabajando vale Y aunque se le comunique<br>por parte de la autoridad ese inicio de<br>ese expediente El dpo lo único va a<br>hacer es dar traslado al responsable<br>atamiento y este es el que tiene la<br>obligación digamos<br>de levantar digamos las documentación<br>que es requerida y a través digamos de<br>las distintas áreas que componen la<br>organización eso no quita que el dpo no<br>asesore pero voy a comentar no debe<br>representar esto Qué significa eh fijar<br>que estamos hablando del conflicto de<br>interés que no debe redactar el pliego<br>de respuesta o el recurso de respuesta<br>ante la autoridad de<br>control es un ejemplo de de ese de ese<br>evitar ese conflicto no Y además eh En<br>este nuevamente siguiendo con el informe<br>de la confederación Europea de delegados<br>de protección de datos dice siguiendo<br>tirando un poco del Wi paper eh Bueno<br>aquí creo que está al revés Esto está es<br>el 243 no el 234 se habla de los puestos<br>de alta dirección director general<br>director de operaciones director<br>financiero director médico jefe de<br>departamento de Mercado tecnia jefe de<br>recursos humanos director departamento<br>ti etcétera etcétera No de hecho todos<br>los que son la la digamos los puestos<br>que se relacionan con un nivel c C Suite<br>no co cdo cmo cto chro coo coo vale siso<br>acá vale todos estos entrarían por su<br>capacidad de toma de<br>decisiones e entrarían en claro<br>conflicto con un oficial de protección<br>de atro vale Este es un poco ya eh<br>siguiendo un poco la línea de lo que nos<br>está comentando ese paper 243 no y y<br>siguiendo ahí eh el grupo de trabajo<br>Dice que evidentemente se debe<br>determinar qué puestos concretos serían<br>incompatibles deben redactarse normas<br>internas que eviten esos conflicto<br>y una vez ya asignado eh Sería bueno que<br>el la persona que ha sido asignada como<br>oficial de prato y si es una declaración<br>expresa respecto a su ausencia de<br>conflicto de interés no es como una<br>finalidad un poco de de concienciación<br>para recordar todo esto no pero es que<br>además<br>de del entorno regulado legal en el<br>mundo de la normalización en el mundo de<br>Los estándares Internacionales<br>nuevamente voy un poco también a ese a<br>ese puntito tengo tanto cariño que es el<br>mundo de los estándares hizo el estndar<br>ISO 29151 del año 2017 que es el código<br>de prácticas para la protección de la<br>información identificación personal es<br>muy interesante porque dice las<br>obligaciones y el área de<br>responsabilidad de la de la información<br>edificación personal fijaros las<br>obligaciones y el área de<br>responsabilidad deben ser independientes<br>de la de seguridad de la<br>información Así que el mundo de la<br>normalización ya no solo el mundo<br>digamos el área legal sino el propio<br>mundo de la normalización nos está<br>indicando que estas áreas deben ser<br>claramente independientes porque de lo<br>contrario habría un problema que que<br>sería estaría en este caso en juego un<br>riesgo muy alto tanto para la<br>organización como para las las personas<br>por no atenderse digamos con este<br>digamos punto de de separación de de<br>roles y y de competencias<br>no siguiendo un poco con el contexto<br>europeo el artículo 38 del reglamento<br>nos dice claramente que el dpo tiene que<br>participar no de forma regular punto la<br>parte ional no fijaros tiene que ser<br>invitado a las reuniones eh A todas las<br>reuniones donde se van a tomar<br>decisiones que afectan a datos<br>personales procedimientos creación de<br>nuevos nuevos productos servicios<br>actividades no recibir información<br>relevante de forma puntual para que<br>muestre su parecer evidentemente dentro<br>de lo que es esa matriz rcii la sede<br>consultar tiene que estar ahí<br>perfectamente indicado Y por último ser<br>consultado nuevamente cuando se produzca<br>una brecha de seguridad o cualquier otro<br>incidente de seguridad nuevamente la<br>sede consultado de la matriz rcii vuelve<br>a aparecer como una cuestión importante<br>y por tanto Aunque la lo que es la<br>gestión y respuesta incidente en<br>cualquier procedimiento evidentemente y<br>en esa asignación de roles y<br>responsabilidades que podemos ver<br>perfectamente en ISO 27035 eh pertenece<br>a al área de seguridad de la información<br>al área al área ti en en en la parte<br>digamos de de respuesta pero voy a<br>comentar Ah el el siso el coo la los los<br>responsables de estas áreas no pueden<br>tomar decisiones si no eh eh está<br>colegiada esa decisión en este caso con<br>la visión el asesoramiento la<br>supervisión del oficial de protección de<br>datos una vez que ese incidente repito<br>una vez que ese incidente en el en la<br>primera cria la primera e digamos<br>revisión forense Se confirma la<br>existencia de datos personales afectados<br>a esa brecha de seguridad por tanto es<br>ya el plano de actuación no solamente el<br>ciso sino también del eh del oficial de<br>proteccion dat no siguiendo con el<br>dictamen 243 por ejemplo lo que se dice<br>claramente Es que la empresa responsable<br>tramiento tiene que apoyar no tiene que<br>apoyar activamente la función del dpo<br>tiene que permitirle al dpo tiempo<br>suficiente de calidad para poder<br>realizar su desempeño tiene que<br>prestarle apoyo suficiente en cuanto a<br>recursos infraestructura<br>personal asistencia a congresos<br>formación vale<br>e el nombramiento y sus funciones se<br>tienen que comunicar las partes<br>interesadas internas y externas se tiene<br>que facilitar la formación continua es<br>interesante por ejemplo porque la hay un<br>informe hao algunos añitos atrás dos o<br>tres años atrás de la nil francesa en en<br>el caso de los dpo nombrados en<br>administraciones públicas y lo que ponía<br>manifiesto es que 4 años después de su<br>nombramiento más del 70 por de los<br>oficiales de protección de datos<br>nombrados eh Y comunicados a a la<br>autoridad no habían recibido ninguna<br>formación de actualización esto es una<br>auténtica locura estamos en un entorno<br>donde el riesgo es como como factor como<br>propiedad como dice la ISO 31000 es<br>Dinámico es cambiante cada vez que nos<br>levantamos por la mañana el riesgo ha<br>cambiado en la forma en que se<br>manifiesta en nuestras operaciones de<br>tratamiento por tanto Los profesionales<br>no solamente tenemos que estar atentos a<br>ese cambio sino que tenemos que estar<br>atento a la formación en este tema no ya<br>de hace algunos años atrás más de 2 años<br>atrás recuerdo el año 2019 perdón el año<br>2023 exactamente en Málaga Leonardo<br>servera<br>eh miembro en este caso delviso europeo<br>de de protección de datos e decía<br>insistía en que eh los oficiales de<br>proteinato tenemos que eh ser la primera<br>gran defensa en el tema de la<br>Inteligencia artificial y este va a ser<br>nuestro mayor en desafío en este minuto<br>y por tanto muchos de nosotros estamos<br>realizando ya formación desde hace ya<br>algunos años atrás en tema de<br>Inteligencia artificial en gestión<br>gobierno tema de transparencia sesgo<br>etcétera Porque necesitamos comprender<br>mucho mejor Cómo opera Cómo funciona la<br>Inteligencia artificial y por tanto Cómo<br>esta puede tener impacto en derechos y<br>libertades a través del uso de esos<br>datos personales no y evidentemente se<br>nos tiene que dar el apoyo suficiente<br>para para los temas no Y por último dice<br>eh Hay que garantizar que el dpo no<br>reciba instrucciones es decir evente<br>ente estamos hablando también de que<br>para mantener esa posición lo hemos<br>dicho antes en esa lectura parcial que<br>hemos hecho del texto de Don Miguel<br>recio donde decía claramente que la<br>autonomía era digamos el el elemento de<br>protección ante el conflicto de interés<br>entonces Cuanto más autonomía Cuanto más<br>Independencia menos instrucciones menos<br>intención digamos de dirigir desde<br>negocio o afectar por eso es importante<br>eh que<br>dónde está ubicada orgánicamente o<br>estructuralmente en la jerarquía de la<br>organización la oficina del oficial de<br>pronato para evitar cualquier tipo<br>digamos de de injerencia Bueno pues<br>hasta aquí un poco la parte más<br>académica más académica de de de lo que<br>era la propuesta que traíamos hoy que es<br>entender el rol del oficial de<br>proteinato para centrarnos si me<br>permitís en la<br>parte menos académica y y más técnica de<br>la clase de hoy que vamos a hablar un<br>poco de la de los esquemas de<br>certificación la ISO<br>17024 es el estándar desde el año en<br>2012 que fue creado a nivel<br>internacional para tener la capacidad de<br>certificar a personas no en en el mundo<br>académico existe una norma ISO que es la<br>ISO 29001 que lo que hace es certificar<br>a las entidades de formación pero la ISO<br>2024 lo que certifica son a Los<br>profesionales<br>que se forman en esos centros académicos<br>y en la cláusula 8 de esa de ese<br>estándar ISO 1824 se establecen por<br>ejemplo los los elementos como serían<br>las categorías del esquema los elementos<br>del sistema de certificación los<br>requisitos de proceso el desarrollo y la<br>revisión de ese esquema la revisión<br>continua y validación del esquema para<br>personas y las obligaciones del<br>propietario del esquema cual una<br>organización diseña eh diseña ese<br>esquema es propietario de ese esquema<br>pero no puede formar a nadie contra ese<br>esquema lo vamos a ver un poco prente<br>para para evitar esta cuestión digamos<br>de<br>subjetividad y de conflictos de de<br>interés no Por tanto la norma lo que<br>hace es o fue creada para medir digamos<br>la competencia y por tanto a a la hora<br>de Definir la competencia de un<br>profesional en cualquier parte del mundo<br>lo que se va poner sobre la mesa son los<br>conocimientos la experiencia y las<br>habilidades requeridas y demostradas por<br>ese profesional repito conocimiento<br>habilidades y experiencias requeridas y<br>demostradas por tanto no solamente se te<br>tienen que pedir que tú las tengas Sino<br>tienes que estar en condición de<br>entregar evidencia de que estos tres<br>elementos que se conjugan según la ISO<br>1724 estás en capacidad de entregarlas<br>por tanto estamos sumando conocimiento y<br>formación con experiencia práctica antes<br>comentábamos que la propia normativa<br>española ya impulsaba la la acreditación<br>per Es que la propia normativa europea<br>en su Artículo 42 decía que el los<br>estados miembros las autoridades de<br>control el comité y la comisión europea<br>tendrían que promover la creación de<br>mecanismos de certificación y bueno Es<br>verdad que muchas veces cuando leemos el<br>artículo 42 estamos pensando en<br>mecanismos de certificación de tercera<br>parte que son capaces de certificar la<br>auditoría de nuestros entornos que<br>también está bien es ahí pero también<br>está artículo 42 cuando se habla de de<br>esta eh obligación que se le envía a los<br>Estados y al comité europeo y a la<br>comisión europea es que también estos<br>promuevan mecanismo de certificación en<br>este caso de personas de de<br>profesionales vale Y esta es la la otra<br>gran cuestión que no que nos trao aquí<br>no eh Por ejemplo en el artículo 35 eh<br>de la normativa española se dice que<br>efectivamente la posición del dpo se<br>puede mostrar a través de otros medios<br>como mecanismo voluntario de<br>certificación tanto es así que cuatro<br>artículos después o dos artículos<br>después del 37 en este caso el 39 se<br>cita con nombre y<br>apellido precisamente se está hablando<br>Ya de la ISO 1724 y se está colocando<br>ahí a enac que es la entidad Nacional de<br>acreditación en España Como quien podría<br>estar por encima en este caso para<br>vigilar que efectivamente esos esquemas<br>o esos mecanismos voluntarios de<br>certificación se supervisen con<br>criterios técnicos y por tanto conid<br>internacional no<br>e Qué elementos por ejemplo traería el<br>el esquema por ejemplo el esquema que<br>fue preparado por la agencia española de<br>protección de datos Bueno<br>pues en función de la experiencia que<br>podría traer el el usuario vale la<br>experiencia eh tendría que acreditar eh<br>más o menos horas de formación entonces<br>son paquetes de 60 100 180 horas mínimo<br>e trabaja se trabaja sobre tres dominios<br>de conocimiento y se tienen que eh esos<br>tres dominios de conocimiento están<br>repartidos porcentualmente entre un 50<br>primer dominio 30 segundo dominio 20<br>tercer dominio también se valida la<br>formación mediante un examen es decir al<br>final toda esta toda esta parte acaba en<br>un examen que va a definir si eres apto<br>o no apto y evidentemente<br>todo lo que es el modelo<br>eh el modelo de formativo que haga un<br>match contra ese esquema de<br>certificación tiene que ser eh tiene que<br>tener la capacidad de impar los<br>conocimientos técnicos prácticos y<br>también la realización de ejercicios en<br>grupo repito no es algo que alguien se<br>saque de la manga Esto está directamente<br>en el propio esquema dicho esto Es<br>evidente que en la la agencia española<br>aproximo lo que hizo fue en su momento<br>desarrollar en base a los requerimientos<br>sobre todo la cláusula 8 de la ISO<br>17024 desarrolló el esquema de<br>certificación de delegados de protección<br>de cómo funciona esto para que lo<br>entendamos Así que voy a intentar<br>dibujarlo la agencia es el<br>propietario del esquema y lo que ha<br>hecho la agencia evidentemente es<br>validarlo validarlo contra enac con lo<br>cual enac ha revisado que efectivamente<br>el esquema propuesto incluyendo las<br>revisiones ahora vamos por la versión<br>1.4 vale<br>eh todas estas eh están acorde con lo<br>que dice el modelo de de de de<br>certificación de personas de la 17 24 y<br>eso da lugar a la criatura que es la<br>certificación cdpd o certificación como<br>delegado de protección de datos conforme<br>al esquema de certificación de la<br>agencia española de protección de datos<br>objetivo eh justificar experiencia<br>profesional en este caso si alguien<br>justificaba una experiencia superior a 5<br>años eh podría<br>eh presentarse al examen si no tiene los<br>C año y tiene 3 años necesitaría al<br>menos acreditar 60 horas de formación<br>recientes vale eh si no tiene tres y<br>tiene 2 años de formación necesitaría eh<br>en pasar o superar un programa de<br>formación de 100 horas eh Para poder<br>presentarse digamos a al examen y en el<br>caso de que no tenga esa experiencia<br>práctica ni de cinco ni de tres ni de 2<br>años pues entonces tendrá que cubrir un<br>ciclo mucho más largo de 180 eh horas de<br>formación que equivaldría digamos a<br>poder dar tocó ese marco de de<br>competencia Y eso les permitiría a esas<br>personas entrar a presentarse en el<br>examen de hecho en el modelo que<br>nosotros ya propusimos el año pasado en<br>capacitación usat de la Universidad de<br>Santiago de Chile nuestro programa está<br>relacionado con este modelo porque<br>nuestro público Eh no cuenta en la<br>práctica real con con sí que hay algún<br>caso pero no la no es el denominador<br>común Eh no cuenta con la práctica e o<br>la experiencia acreditada en temas de<br>proteccion dat y nuestro programa no es<br>de 180 sino de 280 horas para poder<br>cubrir todo el programa completo del<br>tema eh dentro de esa de esa de esa<br>acreditación eh hay algunas entidades<br>que se han validado contra en para poder<br>ofrecer el esquema de certificación de<br>la agencia española profesion aquí<br>tenéis las distintas entidades que<br>tienen a día de hoy acreditado y en<br>vigor la capacidad para acreditar la<br>certificación de persona nosotros eh<br>estamos trabajando en este caso con el<br>isms Forum con la són de fomento de la<br>seguridad de la información el isms<br>Forum que es fue la segunda entidad<br>digamos en validar el este esquema y y<br>que lo mantiene a día de hoy por tanto<br>cómo funciona bueno hemos dicho enac es<br>quien supervisa en este caso una vez que<br>la agencia que es la propietaria de del<br>esquema y para que una entidad pueda eh<br>trabajar y eh certificar la la la forma<br>eh va a tener que contar con el visto<br>bueno de enac en este caso eh enac<br>acredita al isms Forum y lo que hemos<br>tenido que hacer nosotros en este<br>recorrido es que isms Forum ha<br>acreditado a capacitación usach ya del<br>año pasado estamos en el último trámite<br>de hecho si todo va bien en 15 días ya<br>recibimos oficialmente nuestro sello<br>como como entidad ninguna entidad cuando<br>se arranca en el momento cero tiene la<br>acreditación tiene que tener un un un un<br>ejercicio completo una una formación<br>completa terminada auditada y valorada<br>por las entidades que están aquí<br>afectadas veréis que agencia en Y en<br>este caso el isms vale Y por tanto eh eh<br>nosotros podemos ofrecer formación que<br>puede eh capacitar En este caso una<br>persona para que pueda optar<br>directamente a la certificación de la<br>agencia de protección de datos vale eh<br>ahí tenéis un poco el la documentación<br>del esquema el PDF se puede bajar<br>directamente ahí qué cualidades Y qué<br>aspectos importantes trae esta este<br>esquema bueno digamos que enumera una<br>16 16 puntos importante Por ejemplo<br>dentro de lo que es la programación nos<br>centramos en el cumplimiento de los<br>principios la identificación de base<br>jurídica valoración de compatibilidad de<br>finalidades tanto las primarias como las<br>secundarias determinación de la<br>existencia normativa sectorial diseño e<br>implementación de medidas de información<br>a Los afectados todo lo que es el<br>principio de transparencia<br>establecimiento de mecanismos de<br>recepción y gestión de solicitud de<br>ejero derecho valoración de esos de esas<br>solicitudes de ejero derecho<br>contratación de encargado incluyendo<br>todos los actos jurídicos que regulen<br>identificar los instrumentos de<br>transferencia internacional las<br>características y su funcionamiento<br>diseño e implementación de políticas de<br>protección de dato auditoría en<br>profesion dat esto es el marco que<br>tenemos que revisar vale Y que tenemos<br>que tener los conocimientos y las las<br>competencias suficiente establecimiento<br>y gestión del rad análisis de riesgo<br>vale implantación de medidas de<br>protección del diseño por defecto<br>implantación de medidas de seguridad<br>adecuad a los riesgos y la naturaleza de<br>las actividades y establecimiento de<br>procedimiento de gestión de brechas<br>incluida evaluación de riesgo para los<br>derechos y libertades este es el modelo<br>el modelo que propone la la la agencia<br>Por qué es un modelo Bueno yo voy voy<br>atito atrás Esto es lo que hace bueno el<br>tem es decir lo el programa que nosotros<br>impartimos señores el programa que<br>nosotros hemos impartido en la edición<br>del año pasado y que vamos a partir del<br>24 de marzo impartir en la segunda<br>edición tiene la validación de una de<br>las entidades que está acreditada en el<br>modelo español que a su vez tiene la<br>acreditación De nada que a su vez tiene<br>el visto bueno de la agencia española<br>deonato como propietaria del esquema<br>esto qué implica o qué significa esto es<br>un elemento digamos de validación de<br>reforzamiento de la<br>certificación se no es en una<br>certificación o un curso que digamos con<br>toda la voluntad del mundo desde la<br>institución desde la universidad desde<br>la academia hemos redactado más o menos<br>acertado con una propuesta programática<br>para entregar a los alumnos no no es así<br>es una propuesta madura revisada y<br>sesuda eh que además es ente revisada y<br>auditada en cada ciclo académico que<br>nosotros estamos revisando<br>incluyendo incluyendo que luego lo<br>veremos un poco la cualificación de los<br>profesores que participan en el programa<br>porque evidentemente si el requisito<br>para presentarte el examen sin formación<br>es acreditar 5 años de experiencia los<br>profesores tienen que acreditar como<br>mínimo 5 años de experiencia en la<br>práctica y esto se tiene que entregar<br>con documentación evidente ente para<br>poder pasar el el el control dicho esto<br>dejamos el punto cuatro metemos el punto<br>C Que es nuestro programa ejecutivo como<br>delegado de procesion según el esquema<br>de certificación que que prestamos en<br>primera edición en el año 2024 con una<br>tasa de éxito del 100% de todos los<br>alumnos que llegaron al al al empezaron<br>40 alumnos hubieron cuatro que tuvieron<br>que Cesar por temas personales de salud<br>algunos y otros por tema eh laborales eh<br>pero los 36 que llegaron a la parte<br>final los 36 aprobaron y aprobaron con<br>con nota muy muy alta esto creo que es<br>una satisfacción importante por el grado<br>de implicación del equipo docente que no<br>solamente se limitó a entregar los<br>conocimientos sino que hacemos un<br>seguimiento muy personalizado de los<br>alumnos y una un tutelaje bastante<br>importante si quieres participar en este<br>curso quizá La pregunta es qué<br>competencias vas a desarrollar por un<br>lado evidentemente<br>adquirir competencias como dpo aplicando<br>la legislación fundamentalmente la que<br>mana del reglamento general de procesion<br>y y la<br>normativa española en este caso la<br>lopd vamos a adquirir competencia en<br>temas de seguridad y tecnología porque<br>vamos a trabajar mucho en temas de<br>seguridad segú información<br>ciberseguridad y y gestión de<br>riesgos veremos efectivamente Cómo Este<br>es un rol que es requerido en distintas<br>legislaciones y y cuáles son digamos la<br>las habilidades que vamos a tener que<br>que trabajar y vamos a a estar en<br>condición evidentemente de de cumplir<br>con la función principal que es asesorar<br>supervisar y actuar como como punto de<br>contacto y cuando termine el programa<br>digamos que qué podría ser no Pues no no<br>solamente tener la capacidad digamos de<br>comprensión de la de la normativa<br>Europea y española eh Sino que además<br>evidentemente las propias medidas de<br>seguridad eh profundizando en el marco<br>jurídico comprendiendo las funciones y<br>responsabilidades eh teniendo capacidad<br>para verificar la correcta eh ejecución<br>y respuesta de ejercicio derecho eh<br>entender Cuáles son los elementos que<br>que entran que se procesan y que salen<br>en una evaluación de impacto garantizar<br>efectivamente la la cualificación de<br>estos de Los profesionales y y<br>garantizar efectivamente que e las<br>medidas de confidencial integridad y<br>disponibilidad de los sistemas de<br>información eh eh funcionan de manera<br>coherente igual que la res para poder<br>garantizar la seguridad de de todo los<br>datos personales dentro de los sistemas<br>de información no A quién está dirigido<br>el programa que es una de las grandes<br>preguntas Pues evidentemente<br>estamos está dirigida a a todos los<br>roles profesionales no no solamente<br>aquellos que vengan del mundo del<br>derecho o que vengan del mundo de la de<br>la ingeniería aquí nos encontramos con<br>muchos compañeros del mundo de gobierno<br>de datos el mundo de la auditoría con<br>compañeros que vienen de áreas<br>económicas con contadores públicos eh o<br>compañeros que vienen del mundo de de<br>otros entornos eh Por ejemplo en la<br>edición anterior eh una de nuestras<br>salud algunas eh destacadas de nuestro<br>programa eh era venía del mundo de la<br>psicología Industrial evidentemente<br>fijaros qué especialidad Tan lejos tan<br>lejos de las tecnologías tan lejos de<br>los procesos de negocio tan lejos del<br>derecho eh y sin embargo eh eh No<br>solamente eh curió completamente sino<br>fue comentado una de las alumnas<br>destacadas de del del programa por la<br>calidad académica y y y su alto grado de<br>compromiso a para sacar el el proyecto<br>no por tanto el curso está dirigido a a<br>profesionales del mundo de las<br>tecnología de la información<br>evidentemente a consultores y asesores a<br>responsables de seguridad a<br>profesionales que desean orientar su su<br>carrera laboral y encontrar un nuevo<br>rumbo y también auditores internos y<br>externos que quieran especializarse en<br>el mundo de de del cumplimiento Eh<br>normativo no eh dijimos antes que el<br>programa está dividido en tres dominios<br>Entonces estos son los tres dominios<br>dominio uno es normativa general El<br>dominio dos se llama responsa activa y<br>El dominio tres eh técnicas para<br>garantizar el cumplimiento y y un poco<br>en el timeline que utilizamos nosotros<br>aquí en capacitación usa en programas de<br>cinco semanas eh o ciclos como lo<br>llamamos nosotros acá pues decimos que<br>eh El dominio uno que es el más largo lo<br>dictamos en dos ciclos académicos vale<br>eh acá Vale entonces el primer ciclo lo<br>llamamos nosotros normativa general de<br>proteccion dat y el segundo ciclo<br>llamamos nosotros responsabilidad<br>proactiva pero en realidad es El dominio<br>uno normativa general no luego El<br>dominio eh dos lo daremos a partir del<br>mes de julio esto es marzo esto sería<br>mayo Y esto es Julio vale dominio dos<br>responsabilidad activa nos centramos ya<br>en la parte técnica y El dominio 3 ya en<br>el mes de septiembre con técnicas para<br>garantizar el cumplimiento por por<br>perfil un poco para para explicar un<br>poco el tema quienes vengan del mundo<br>jurídico en estos dos primeros ciclos eh<br>se lo van a pasar como como niño chico<br>es decir van a disfrutarlo muy bien e<br>los compañeros que mundo vengan del<br>mundo de las tecnologías de la<br>información Probablemente lo vayan a<br>pasar un un poquito mal eh pero los<br>términos se invierten porque a partir<br>del mes de julio quienes van a disfrutar<br>como niños chicos son los compañeros de<br>tecnologías de la información vale igual<br>que en El dominio 3 y quienes lo van a<br>pasar peor son los que vienen de de la<br>formación Ah jurídica Por qué Porque nos<br>meteremos fundamentalmente dentro de lo<br>que es la responsabilidad activa en en<br>los ámbitos de la seguridad en la<br>gestión de riesgo la metodología de<br>gestión de riesgo Las evaluaciones de<br>impacto la auditoría por ejemplo y nos<br>meteremos también dentro de lo que es la<br>la propia regulación de lo que sería<br>dentro de lo que son medidas de<br>seguridad el esquema nacional de<br>seguridad español o el la normativa nis2<br>que por ejemplo es muy cercana en el<br>modelo con la ley marco de<br>ciberseguridad de Chile muy muy muy<br>parecida no exactamente es mucho más<br>amplia el nce 2 pero Eh bueno Ahí está<br>Ah está ahí en un tema no cada uno de<br>estos ciclos eh Una vez que se concluyen<br>y se saca una nota superior en a 55 en<br>este caso la nota Es sobre 70 vale<br>eh supone eh certificar el El dominio y<br>se le va entregando evidentemente una<br>una insignia por cada uno de eh los cic<br>Una vez que se superan los cuatro<br>ciclos hay que optar a un examen final<br>que lo haremos en el ciclo número c es<br>un examen que lo lo comento brevemente<br>después es de 4 horas es un<br>examen supervisado y hay que aprobar con<br>un número de de respuestas que luego lo<br>voy a comentar no y quienes aprueben<br>evidentemente los cuatro ciclo más el<br>examen final evidentemente obtien<br>nuestro certificado final del programa<br>como oficiales de protección de datos<br>Una vez que se obtiene Este<br>certificado automáticamente y sin hacer<br>absolutamente nada dentro del convenio<br>internacional que tenemos firmado la<br>institución con el isms Forum los<br>alumnos van a optar de manera eh directa<br>sin eh sin validar ningún otro elemento<br>y sin presentarse el examen con la<br>certificación cdpp lo único que habrán<br>que hacer es enviar repito enviar creo<br>que es cédula de identidad Vale y el<br>certificado de la de capacitación usad<br>como como Data protection officier de<br>este programa que está bajo la tutela<br>del isms Y elms eso sí nos vaar una tasa<br>de<br>emisión de evaluación del tema y nos<br>emitirá la certificación<br>y también evidentemente una vez que<br>nosotros hemos aprobado todo el programa<br>estaremos en condición de presentarnos<br>al examen de certific ación de la<br>autoridad de proteccion española previo<br>pago del canón de las tasas de examen<br>que que que se emite evidentemente ese<br>examen por ahora es presencial en Nada<br>más estamos pendientes en ver si hay<br>alguna opción de que esa presencialidad<br>no se no no no esté Sencillamente<br>ubicado en territorio español sino que<br>hay una propuesta sobre la mesa de<br>apoyarnos la red iber americana de<br>protección de datos por tanto en los<br>países que cuenten con autoridad de<br>proteinato pero estamos en un momento de<br>impaz en la agencia española protección<br>de datos eh eh en cambio cambio de de de<br>dirección eh donde se han jubilado tanto<br>Director como directora perón la<br>directora como el director adjunto y eh<br>estamos pendiente digamos de reemplazo<br>de de estos roles y y bueno una vez que<br>esto est un poco caminando yo creo que<br>va a ser más fácil eh amarrar todo esto<br>el problema de la internidad interna en<br>la organización en la la agencia ha<br>impedido que podamos cerrar digamos de<br>manera documental firmado la posibilidad<br>de que esto se pueda materializar estos<br>exámenes presenciales en en territorio<br>latinoamericano vale eh aquí está un<br>poco la referencia vale eh dentro de lo<br>que sería el examen El dominio uno se<br>centra fundamentalmente en cumplimiento<br>normativo europeo normativa nacional<br>directiva Europea de privacy directrices<br>y guía del comit europeo Vale y pesa un<br>50% en la nota vale eh o dentro de lo<br>que es el volumen de de conocimiento el<br>El dominio dos eh nos centramos en<br>evaluación y gestión de riesgos<br>evaluación de impacto protección de dato<br>por diseño protección de dato por<br>defecto y tiene un peso del 30% en<br>conocimiento y El dominio número tres<br>nos centramos en auditorías auditoría de<br>protección de datos auditoría de<br>seguridad y protección de datos<br>fundamentalmente Y tiene un peso de de<br>de un 20% y aquí veis un poco lo que es<br>un poco la la ponderación de del peso en<br>el examen no hemos dicho eh cuatro horas<br>150 preguntas tipo test cuatro preguntas<br>posibles una sola en válida vale no se<br>penaliza la respuesta negativa el error<br>la respuesta no y eh En este caso eh<br>para probar hace falta eh superar el 75<br>por decir a menos 113 puntos pero eh No<br>vale que todos los puntos lo lo<br>alcancemos por ejemplo en El dominio uno<br>eh aquí tendríamos bueno en este caso<br>150 75 preguntas aquí eh Si nosotros acá<br>fallamos por debajo de la media que se<br>nos está indicando no vale Entonces<br>tenemos que superar siempre la el mínimo<br>que tenemos por dominio y como como aquí<br>se nos está indicando Vale no voy a<br>entrar mucho más no fijaros El dominio<br>número uno tiene 14 apartados contexto<br>fundamento principio legitimación<br>derechos de los individuos medidas de<br>cumplimiento responsa proactiva<br>delegados de protección dato<br>transferencia internacionales<br>autoridades de control directrices de<br>interpretación del reglamento normativas<br>sectoriales normativa española con<br>implicaciones en protección de datos<br>normativa europea con implicaciones<br>también en protección de datos El<br>dominio dos análisis gestión de riesgo<br>metodología<br>a meter con mager vale programa de<br>cumplimiento seguridad de la información<br>y evaluaciones de impacto y en El<br>dominio número tres pues auditoría eh<br>auditoría sistemas gestión de seguridad<br>de los tratamientos y y y luego tenemos<br>una parte de otros conocimientos que nos<br>centraremos sobre todo en tecnologías no<br>Cloud Smartphone iot Big Data redes<br>sociales tecnologías de seguimiento Vale<br>blockchain y Inteligencia artificial y y<br>todo esto sería un poco digamos los<br>contenidos académicos vale<br>eh equipo docente Quiénes se van a hacer<br>frente a todo esto no pues eh presento a<br>nuestra primera profesora en este caso<br>Viviana García que es abogada eh<br>compañera de Perú también se ha formado<br>en esta institución y es también<br>graduada de la primera edición de de<br>este programa vale es consultora legal<br>en la corporación in americana de<br>inversiones y ha trabajado en distintos<br>eh entornos internacionales eh Y con<br>amplia experiencia en protección de<br>datos de hecho su firma su consultora se<br>dedica monográfico a temas de profesion<br>desde hace bastantes años e aquí tenemos<br>a a auget letelier IL algo que es<br>chilena residente en España bueno<br>española tiene doble nacionalidad es<br>abogada tiene tres magister y también<br>cuenta con distintas certificaciones<br>nuevamente también formada en la parte<br>técnica en la parte de de de privacidad<br>y cumplimiento También en esta escuela<br>que es capacitación Ur no<br>eh Como tercera profesora Tenemos aquí a<br>Alejandra Bustamante también es alumna<br>de esta primera edición del programa de<br>delegados de protección de datos es<br>abogada especializada en ciberseguridad<br>y protección de datos seado en derecho<br>eh con licenciatura en ciencias<br>jurídicas y sociales y actualmente es<br>muy muy importante este tema se<br>desempeña como gestora de privacidad en<br>el banco bci responsable de instalación<br>del diseño y ejecución del programa de<br>privacidad de datos acelerar el cambio<br>cultural y la captura de de los<br>beneficios en toda la la corporación eh<br>nuestra cuarta profesora del equipo es<br>Jessica matus probablemente muy conocida<br>para muchos de vosotros abogada de la<br>Universidad de chile especializada en<br>derecho y tecnología<br>con especialidad en temas de protección<br>de datos más de 20 años de experiencia<br>diplomada en derecho eh informático con<br>estudio de magister también en derecho<br>informático y telecomunicaciones y<br>además siempre trabajando también en en<br>la administración pública y que nos va a<br>dar también eh Como docente director<br>también de diplomados en en distintas<br>academias universidades de de chile<br>también su su visión del tema Ah Mi Alma<br>Mater acá que es mi compañero Perdón<br>Aquí hay una error arriba no es Jessica<br>matus es marilia Moreno la rata es<br>abogada cuenta también con tres magister<br>cuenta con certificaciones muy<br>importantes también en el mundo de la<br>normalización y además es auditora de<br>tercera parte esto lo comento también y<br>también es académica en Ecuador por<br>ejemplo en la uide dentro lo que es el<br>el máster de de derecho digital e<br>innovación tecnológica eh desde España<br>en la parte técnica nos acompaña Adrián<br>murc Go Lobato especialista en cudad de<br>la información es director de de<br>seguridad privada es auditor de de<br>distintos normas de hecho auditores de<br>tercera parte tanto en 27001 como en<br>esquema nacional de seguridad eh cuenta<br>con con bastantes certificaciones como<br>podéis ver de distintos distinto también<br>tiene la certificación española de de<br>proteinato es miembro de de isaca y act<br>actualmente comp página su labor Como<br>auditor ya tiene una experiencia de más<br>de 15 años atrás también o 10 años creo<br>que son 10 años atrás en temas<br>de privacidad y auditoría de privacidad<br>no<br>eh con más de 20 años de experiencia<br>tenemos al amigo Daniel Fernández viaga<br>eh es un destacado delegado de protes<br>dato muy conocido en en redes sociales<br>cuenta con distintas certificaciones y<br>recientemente eh De hecho todavía no se<br>lo han entregado eh ha sido por la<br>agencia española Proc por su divulgación<br>en la red social tiktok en su digamos<br>dentro de su línea de de concienciación<br>en temas de seguridad de información y<br>protección de dato nos acompaña también<br>Alberto casaseca que es licenciado en<br>derecho por la universidad<br>complutense colegiado del colegio de<br>abogado de Madrid más de 15 años de<br>experiencia es el dpo actual se formó<br>inicialmente en naor estuve trabajando<br>muchos años en el mundo el mundo de de<br>la normalización como como abogado<br>tecnológico y actualmente es el dpo de<br>la multinacional clese que cotiza en<br>bolsa y cuenta con más de 35000<br>trabajadores eh veréis que hace una<br>semana bueno exactamente el jueves<br>pasado en el evento Internacional del de<br>la<br>17ava congreso del dpi del Data<br>protection institute junto con el icms<br>se presentó eh la segunda edición del<br>libro blanco del dpo del cual nuestro<br>compañero Alberto casaseca es coautor<br>del mismo y además fue entrevistado en<br>el congreso como parte digamos de la<br>autoría bueno y al frente de todo este<br>caos o todo esta este proyecto pues<br>estoy yo en este caso leocadio marrero<br>para los que no me conozcáis a seo en<br>este caso de grs por3 fundador de grs<br>sin frontera y delegado de protes de<br>distintas instituciones como podéis ver<br>miembro de distintos colectivos como<br>isaca y SMS<br>la iap la de delegados de profesion la<br>española de calidad el jefe eh foro de<br>la gobernanza la latinoamericana<br>privacidad y también de parte de la<br>internet society Eh y además instructor<br>de distintas certificaciones como es la<br>cedipi estos últimos sábados he estado<br>dando formación de la certificación<br>cedipi de de isaca para el capítulo de<br>de San Salvador vale eh Bueno ahí hay<br>otro otro Plus digamos de de<br>certificaciones eh a nivel nacional e<br>internacional eh a lo largo digamos de<br>de estos años que hemos ido acumulando y<br>quero volver a repetir las imágenes<br>Porque la idea es hemos dicho más de 5<br>años de experiencia individual fijaros<br>15 años Viviana más de 15 años marilia<br>más de 15 años Adrián más de 5 años en<br>este caso uget más de 15 años Alberto<br>Alberto más de 20 años Daniel más de 20<br>años Jessica más de 15 años Alejandra<br>Bustamante y en mi caso pues son casi 30<br>años de de experiencia práctica con más<br>de 430 proyectos ejecutados bueno para<br>concluir eh tengo algunas preguntas<br>Supongo que habrá preguntas eh No he<br>podido ver el chat eh pero sí que he<br>traído preparado una serie de preguntas<br>porque Supongo que vosotros también<br>queréis eh alguna de estas respuestas<br>Así que con mucho gusto voy a preparar<br>un par de preguntas que probablemente<br>estén saliendo no primera Cuál es el<br>valor del curso vale en en en peso<br>chilenos es Ahí está 1750,000 a<br>peso segunda cuestión hay<br>becas respuesta no hay becas y tampoco<br>hay descuento por ser alumno ni por<br>volumen de de matrícula vale Así que<br>verdad que se puede fraccionar la<br>matrícula se puede fraccionar En dos<br>pagos vale o eh se puede fraccionar creo<br>que en en cuatro creo que también est<br>por aquí incluido un primer pago de<br>600,000 y tres pagos de de 450,000 al<br>final el fraccionamiento tiene una un<br>unos pequeños gastos eh adicionales Por<br>tanto se suma se sube un poquitito por<br>encima de lo que es la la la matrícula<br>Segundo si apruebo este diplomado<br>obtengo inmediatamente la certificación<br>de la agencia hemos dicho no no<br>aprobar Este programa lo que hace es<br>capacitar a la persona para presentarse<br>al examen vale que es el el desafío<br>tercero si apruebo este diplomado<br>obtengo inmediatamente la certificación<br>del isms lo hemos dicho no hay que<br>entregar la documentación para homologar<br>pero en realidad no hay que hacer ningún<br>tipo de examen ahí sí que no hay que<br>hacer examen de ningún tipo entregamos<br>el título más la cédula de identidad nos<br>emiten<br>el la el lineal de pago para que<br>paguemos la tasa y con eso en dos<br>semanas obtenemos la la certificación de<br>la cdpp<br>Ah cuarto elemento cuarta pregunta la<br>certificación del diplomado como<br>delegado de profesado tiene alguna<br>vigencia para optar a rendir exámenes eh<br>No Ah pero es conveniente es conveniente<br>que una vez que nosotros hemos aprobado<br>el examen cuanto antes mejor porque por<br>un tema sencillamente de no de generar<br>los conocimientos adquiridos ni la<br>práctica adquirida cuanto antes pues era<br>mucho más fácil que lo podamos superar<br>prácticamente a la primera no puedo<br>convalidar curso realizado anteriormente<br>si he participado en algún otro<br>diplomado aquí dentro de diplomado en<br>ciberseguridad o alguna otra institución<br>formativa no no lo permite el el esquema<br>y el esquema es muy claro Hay que seguir<br>el itinerario que que ha sido marcado<br>por el dueño del esquema en este caso es<br>la agencia proteción de datos puedo<br>convalidar mi experiencia en el área o<br>materia no este no es el minuto para<br>hacer esta convalidación Este es el<br>momento de<br>e hacer acopio de los conocimientos y<br>las competencias suficientes para poder<br>rendir el examen eh pero no se puede<br>validar en este minuto eh experiencia<br>Qué pasa si<br>repruebo pues si repruebo el ciclo 1 eh<br>puedo seguir al ciclo dos sí puede<br>seguir haciendo el el ciclo completo eh<br>Lo que pasa es que no vas a poder optar<br>a al al programa ejecutivo a la<br>certificación final y evidentemente no<br>puedes optar ni a la homologación con el<br>isms y tampoco Al la al al la<br>presentación al examen de la de la<br>agencia española de protección dato<br>hasta ahora eso no ha pasado vale eh<br>puedo realizar el siguiente curso si<br>reprobé el un curso anterior no lo acabo<br>de responder sí podemos seguir vale<br>podemos seguir ya veremos exactamente<br>cuándo porque probablemente en una<br>tercera edición vamos a dar opciones de<br>que si alguien ha suspendido por ejemplo<br>el ciclo un eh pueda recuperarlo en el<br>siguiente eh la siguiente edición<br>probablemente buscaremos una una fórmula<br>eh intermedia para eh ayudar No pero<br>bueno como no se ha dado tampoco tenido<br>obligación o necesidad de diseñar la<br>respuesta vale los cursos tienen<br>asistencia obligatoria por eso de<br>trabajar síncrono asíncrono pues la<br>realidad es que sí vale eh salvo que el<br>alumno eh acredite una causa de fuerza<br>mayor con lo cual el equipo académico lo<br>valorará y le exonerará de eh eh la<br>necesidad de acreditar ese 70 por de<br>asistencia a clase vale eh voy a<br>comentar es el alumno que lo tiene que<br>pedir y y es el alumno el que tiene que<br>entregar digamos los elementos de prueba<br>para que el equipo académico le exonere<br>de este tema vale pregunta 10 cuál es la<br>duración acreditable del diplomado pues<br>Empezamos el 24 de marzo y estaremos<br>acabando pues sobre segunda semana del<br>mes de noviembre el examen se realiza en<br>el norment coincide con día 10 12 14 15<br>de noviembre más o menos el examen se<br>hace todo juntos y a la vez<br>vale todos juntos y a la vez con cámara<br>abierta vale Y es un examen<br>supervisado pregunta número 11 vamos<br>terminando vale Si no tengo experiencia<br>en la materia puedo participar en el<br>diplomado Sí pero pero es<br>preferible no<br>hacerlo salvo que lo hablemos<br>vale Cómo se puede adquirir experiencia<br>información pues optando por ejemplo por<br>el diplomado nosotros de privacidad y<br>cumplimiento que te puede dar digamos la<br>experiencia el acercamiento al mundo de<br>la privacidad y al mundo de de la<br>protección de datos para luego tener las<br>competencias adecuadas eh Y no sufrir<br>mucho en el arranque del programa de<br>prato es un programa muy exigente eh eh<br>voy a comentar los alumnos que cuando<br>han terminado lo que han dicho es un<br>programa que va a exigir mucho tiempo<br>por parte de los estudiantes eh uno de<br>los compañeros decía he estudiado más yo<br>creo que en los 4 años que estuve como<br>gresado en la universidad Bueno no sé si<br>si era una una verdad o una hipérbole no<br>pero sí que es verdad que es un programa<br>exigente exigente en en en el área de<br>conocimiento y en la parte de<br>experiencia hay muchos talleres vamos a<br>cubrir casi 14 talleres Durante los<br>cuatro ciclos académicos y los talleres<br>van a consumir tiempo nosotros eh Como<br>institución y además como parte del<br>esquema se nos exige en realizar<br>talleres prácticos y se nos exige eh que<br>además que esos talleres prácticos sean<br>grupales con lo cual es importante<br>también<br>e colaborar no e corriendo el riesgo en<br>un taller grupal de que algú algún<br>alumno intente esconderse y y y no hacer<br>su parte del trabajo pero aquí siempre<br>terminamos por descubrir quién se<br>esconde vale paramente son los propios<br>compañeros los que ponen en evidencia a<br>al que se esconde yo creo que esto es<br>importante que entendamos el grado de<br>compromiso y ya que hacemos una<br>inversión entender lo que significa el<br>retorno de de esa inversión no eh per<br>última pregunta e los cursos del<br>diplomado ejecutivo como delegado de<br>proteccion datos serán convalidables<br>para el diplomado de privacidad de<br>cumplimiento no son programas<br>completamente distintos con<br>orientaciones distintas Y por último<br>tengo que aprobar una con calificación<br>mayor o igual a 40 los cuatro cursos<br>Ah mira los quienes aprueben con una<br>nota e igual o mayor a 40 reciben un<br>certificado pero no tienen el curso eh<br>No no tienen la certificación no están<br>en condiciones la nota para eh presentar<br>eh obtener la certificación y<br>presentarte el examen tiene que ser<br>igual o superior a 55 en cada uno de los<br>ciclos vale Eh Esto con un con con Bueno<br>un poco lo que hemos comentado aquí<br>tengo un poco la parte de conclusión y<br>eh si queréis eh abrimos un poco esto a<br>a debate eh estaba ahí pendiente no sé<br>si está<br>e en el auditorio está<br>Lorena no sé si<br>estás un<br>segundito No no ha llegado bu no está No<br>no ha podido incorporarse Bueno si<br>queréis eh podéis abrir micrófono si<br>queréis hacer una pregunta levantar la<br>mano y podemos hablar de de de del<br>programa hablar de la de la presentación<br>de los objetivos Yo sé que en principio<br>de los más de casi 670 eh personas que<br>se han inscrito<br>eh más de<br>450 habían confirmado que tenían interés<br>en participar esto no significa que se<br>pueda participar todos no eh Supongo que<br>que es un poco la la cuestión no<br>actualmente tenemos casi 20 alumnos<br>matriculados son 40 40 plazas y<br>solamente quedan 20 eh Y probablemente<br>eh esta semana las plazas se se vayan a<br>cerrar pero es importante que podamos<br>hablar y y ver efectivamente qué es lo<br>que hay por detrás no que qué<br>intenciones Y qué dudas tenéis<br>Alejandro Sí leocadio buenas tardes<br>buenas tardes a todos eh No puedo abrir<br>la cámara porque no estoy un lugar que<br>que la me lo permita sin embargo quiero<br>felicitarte<br>Eh Yo estoy en México en Puebla y igual<br>como tú me apasiona la protección de<br>datos soy consultor en protección de<br>datos tengo 14 años dedicándome a esto<br>como bien dijiste son proyectos nuevos y<br>too apasiona y más que el programa se me<br>hace muy bueno y pues más que nada<br>quería felicitarte porque tocaste muchas<br>cosas que en México a pesar de que la<br>ley tiene 14 años<br>todavía hay mucho por hacer hay muy<br>pocos profesionales en la materia muy<br>muy pocos y tocaste un tema bien<br>importante que es el rol pero aquí<br>también juega un papel el departamento<br>de recursos humanos porque ni siquiera<br>lo tiene mapeado no no no tienen mapeado<br>ni siquiera la descripción de puesto y<br>mucho menos los roles y<br>responsabilidades que los empleados<br>tienen que asumir en el manejo de la<br>custodia de la conservación y de la<br>protección de la información Incluyendo<br>los datos personales Me encantó tu<br>ponencia Ahí te mandé un mensajito el<br>ledin aquí en mi caso particular eh<br>estamos acreditados por Secretaría de<br>Educación Pública del Sistema Nacional<br>de competencias y certificamos<br>protección de datos consultoría<br>ciberseguridad cap y Cómo ser instructor<br>porque hasta el hasta Debes de saber dar<br>dar capacitación como oficial de<br>protección de datos control interno y<br>voy a cerrar con un tema que que lo<br>tocaste a lo mejor no con la palabra que<br>yo les menciono que hasta aparte El<br>oficial de protección de datos yo le<br>Domino coordinador de Protección de<br>datos también debe tener conocimientos<br>en procesos administrativos en calidad<br>en control interno si es una<br>especialidad muy concreta pero tocaste<br>todo todo lo importante entonces más que<br>voy a ver la manada porque se empata con<br>otra otro diplomado que traigo voy a ver<br>si me encantaría ver si puedo coordinar<br>pero felicidades el programa está<br>buenísimo y y y gustoso de conocer<br>colegas que que les encanta este tema Sí<br>pues muchas gracias por permitirme<br>hablar Muchísimas gracias Alejandro Un<br>saludo para<br>México tenéis un desafío muy grande con<br>la desaparición del del inai y v a tener<br>que ser muy resiliente desde adentro y<br>muy imaginativo para ver cómo Cómo<br>resolver el el desafío de que las<br>competencias quede en una secretaría de<br>estado con lo cual la independencia de<br>la que se goza eh gozaba el inai en<br>desaparece entonces va a quedar un poco<br>ahí eh bastante expuesta vale eh Es<br>correcto es correcto y y nada más<br>ahorita diciendo no s conozcas a Claudia<br>Ávalos también es un referente como tú<br>Aquí ella fundó la asociación<br>iberoamericana de protección de datos y<br>ciberseguridad y y bueno también somos<br>miembros de la misma asociación Y sí<br>vemos lo que tocaba decir va a haber un<br>reto grande en México<br>Muchas gracias muchas gracias bueno el<br>programa es<br>tiene un marco amplio de competencias<br>vale el año pasado participaron personas<br>que en teoría tenían algún tipo de de<br>experiencia<br>eh Y después de de abordar el programa<br>yo creo que en la vida un poco les<br>cambió les cambió el concepto el<br>entendimiento La<br>percepción Bueno uno de ellos está ahí<br>levantando ahora la mano que es Freddy<br>eh Freddy eh Te<br>escuchamos Hola leocadio cómo estás<br>saludo a todos los participantes este yo<br>me había comprometido a comentar un poco<br>de la experiencia del diplomado el<br>diplomado pues a muchos les dará<br>eh motivos para pensar en si hacen la<br>inversión O<br>no la inversión al final del recorrido<br>está super justificada<br>es una<br>experiencia<br>realmente este<br>motivante Abre una cantidad<br>de amplía la visión del profesional que<br>que realiza el diplomado porque como<br>acaba mencionar locadio y el señor de<br>México<br>eh la protección de datos Abarca desde<br>la estrategia<br>organizacional hasta la parte operativa<br>de la persona que trabaja en algún<br>escritorio con alguna base de datos Y<br>desde la persona que recoge los datos en<br>algún formato o en<br>algún en alguna experiencia persona a<br>persona con el titular de los datos<br>entonces esa amplitud que la hace super<br>compleja este a lo que es la protección<br>de esos datos Y al como solicitar<br>es lo que también permite que el<br>profesional amplíe su visión Entonces yo<br>les<br>invito a que participen realmente del<br>diplomado<br>este y es una una carrera una profesión<br>que en algunos países tiene 20 años pero<br>todavía hay mucho por hacer todavía hay<br>mucho por hacer án a leocadio<br>suit arena porque hay mucho por hacer es<br>tan amplio el el el espectro de la<br>producción de los datos personales que<br>inclusive dentro de la misma<br>este profesión por darle algún nombre<br>este van a aparecer<br>sub áreas donde pueden especializarse<br>cómo recoger datos que puede ser una<br>operación muy sencilla resulta que puede<br>ser un área de especialidad el com<br>identificar las maneras correctas de<br>solicitar los datos personales es una de<br>las fallas más comunes en en los<br>esquemas de protección este Cómo hacer<br>programas de<br>concienciación para personal de<br>distintos sectores económicos puede ser<br>un área de especialidad Entonces yo les<br>invito a que sigan con el programa y<br>bueno locadio un saludo desde acá desde<br>Ecuador Muchísimas gracias Fredy bueno<br>el caso de Fredy como el caso de otros<br>muchos compañeros de de Ecuador o Perú<br>que participar en en la edición pasada o<br>de chile eh pone manifiesto una cosa que<br>creo que es interesante Eh Esto es una<br>pregunta que<br>algunos el momento que se inscribieron<br>lanzaron como esto Esta certificación<br>tiene algún tipo de valor para mi país<br>por ejemplo tendría algún tipo de valor<br>para<br>Perú estas son preguntas interesantes no<br>para para hacernos no que est<br>certificación española que está pensado<br>para el modelo español eh y de hecho la<br>la agencia española sinid dato se vio<br>sorprendido cuando nosotros decidimos<br>iniciar este proyecto de dar el Salto eh<br>cruzar el Atlántico y llevarlo a usas<br>porque nunca pensó que que su esquema<br>tuviese el atractivo<br>e y y de hecho Alguna algún compañero<br>compañera de de la primera edición tenía<br>dudas<br>existenciales sobre si de verdad le iba<br>a servir para su mercado local en este<br>caso Ecuador o Perú la respuesta eh le<br>dije de un minuto un es confía porque<br>los conocimientos y las competencias que<br>vas a recibir aunque estén ubicado en el<br>modelo español modelo europeo eh Son en<br>un 90 95 98 depende del país muy<br>cercanas a las tuyas y te va a dar la la<br>apreciación y el entendimiento de un<br>punto de vista de un enfoque digamos de<br>de de de más experimentado con mayor<br>grado digamos de jurisprudencia con<br>mayor luminosidad por parte digamos de<br>las propias guías de la de las distintas<br>autoridades de control por la abundancia<br>de procedimientos asignadores y que son<br>como como faros que te están ilustrando<br>Hacia dónde sobre todo no debes<br>acercarte y Y dónde puedes encontrar la<br>bocana para entrar digamos y encontrar<br>el<br>refugio en tu Puerto cuando estás en en<br>aguas turbias y y aguas turbulentas y en<br>medio de una de de un temporal no Esto<br>sí que es una pregunta que creo que es<br>importante que la que que la explique no<br>porque eh Por qué tendría validez no<br>porque ahora miso voy a comentar es es<br>la única formación eh que está planteado<br>con un esquema de ISO<br>17024 es decir esto no es un tema que la<br>agencia dicta se crea el esquema e<br>imparte la formación ellos a su buen<br>entender me explico porque uno puede ser<br>juez y parte uno puede ser yo creo el<br>esquema yo lo dicto como lo hacen muchas<br>universidades que crean Su contenido y<br>lo dictan se arriesgan a al éxito o al<br>fracaso bueno en este caso pues a al<br>a al logro o la ausencia de ese logro no<br>en este caso no vo comentar se crea el<br>esquema lo certifica una una una tercera<br>entidad y las entidades que se quieran<br>postular a impartir o a canalizar esto<br>se tienen que certificar con el tema y<br>tienen que ser objeto de auditoría sus<br>programas Se revisan todas las ediciones<br>Se revisan todas las ediciones tienen<br>que pasar auditoría todas las las eh las<br>ediciones y todos los profesores pasan<br>en un proceso arduo de evaluación eh<br>esto yo creo que es un poco el el<br>elemento diferenciador es decir y y por<br>eso también tenemos ese punto de de<br>confianza en que el modelo eh es válido<br>y esto también es una lección<br>o Quiz no quizá la palabra elección no<br>es la palabra más más acertada Pero<br>puede ser digamos un buen consejo eh<br>Para eh eh los países hermanos de<br>latinoamérica que están pensando en<br>desarrollar modelos también en materia<br>de proteon yo lo digo porque yo soy un<br>fiel defensor de los del mundo de la<br>estandarización del mundo de la<br>normalización y de hecho cuando estoy e<br>cuando estamos hablando eh de de<br>protección de dato me veréis muchas<br>veces hablar de normalización como hemos<br>dicho el día de hoy hablaremos de<br>estándares ISO hablaremos del nis<br>norteamericano hablemos de de de<br>framework bastante potente Por qué<br>Porque el gran problema de las leyes es<br>que te dicen el qué pero no dicen el<br>Cómo esto hay que resolverlo en el día a<br>día<br>entonces la la los aspectos importantes<br>Es que esto esté normalizado esté guiado<br>Entonces los propios máster que ofrecen<br>algunas universidades españolas eh que<br>pueden capacitar para presentarte a este<br>examen de certificación de la agencia<br>española aox tiene que pasar por esta<br>misma vía es decir se tienen que<br>certificar cada Universidad de esa con<br>cada una de esas ocho entidades que<br>nosotros hemos numerado que a su vez<br>están acreditadas contra na y para ese<br>esquema en concreto y esto da esto da eh<br>digamos cto de confianza igual cuando<br>nosotros realizamos en en cualquier<br>proceso de gestión realizamos una<br>auditoría de tercera parte lo hacemos<br>Sencillamente para dar validez o para<br>generar evidencia documental<br>suficiente a nivel interno pero también<br>a nivel externo para generar confianza<br>en los mercados vale en las buenas<br>prácticas que nosotros llamos en tema de<br>calidad en tema medioambiental en tema<br>de segad de información en tema de<br>continu continuad de negocio vale o en<br>tema de por ejemplo de gestión de de<br>riesgos legales no Esta es una son<br>cuestiones I que son importantes que<br>nosotros la la pongamos por eso el<br>modelo creo que es un modelo bastante<br>acertado No digo que sea el mejor digo<br>que es un modelo bastante acertado Y que<br>además como está en revisión continua<br>vuelvo comentar esos años que tenemos<br>2025 que se creó el esquema que fue casi<br>en el 2019 para acá pues vamos por la<br>versión 4 vale de del esquema por tanto<br>el esquema está en mejora continua esto<br>y esto es importante también<br>evidentemente esa ese ensayo y error<br>pues lo vamos dominando entonces alguien<br>preguntó Cuántas ediciones llevamos de<br>este programa una una y y esta semana<br>pasamos hemos pasado todas las<br>auditorías con nota muy alta muy alta<br>muy alta y esta semana ya no dan el<br>sello oficial entonces a partir de<br>semana lo pondremos en redes sociales<br>probablemente no sé si jueves o viernes<br>o lunes de la semana próxima pero ya<br>anunciaremos perfectamente que<br>capacitación Us aparece en el listado<br>oficial de instituciones acreditadas<br>para ofrecer Este programa V la primera<br>edición nunca porque Mostrar andando el<br>tema hemos pasado todas las auditorías<br>comentar y estamos ahí entonces ya para<br>la segunda edición para cuando empecemos<br>el 24 de marzo pues ya tendremos el<br>sellito perfectamente puesto a la<br>espalda yo creo que eso es un trabajo<br>grande que hemos hecho y y también parte<br>de este punto de locura que es cruzar el<br>el Atlántico con una certificación que<br>Aparentemente está hecho para el mercado<br>español pero que tiene también mucho<br>atractivo en el mercado latinoamericano<br>Y esto es un poco ya tenemos compañeros<br>vamos a tener compañeros desde México en<br>el programa vamos a tener compañeros de<br>Costa Rica vamos a tener compañeros de<br>del Salvador vamos a tener compañeros de<br>Panamá vamos a tener compañeros de<br>Colombia vamos a tener compañeros de<br>Ecuador de Perú de Argentina de España<br>Vale y de chile Eh bueno vamos a serer<br>eh un un pequeño mapa mundi Ian<br>americano de de de de compañeros vale<br>eh existe en plazo dice Lidia sí eh En<br>realidad el curso empieza el 24 de marzo<br>el problema liia eh Es que solo hay 40<br>plazas vale eh Hay una discusión con con<br>la institución para ver si podemos<br>llegar a 50 e y y va a ser bastante<br>complicado que podamos hacer esa<br>ampliación de 10 plazas más eh a día de<br>hoy voy a comentar Solo queda la mitad<br>de las plazas y hemos empezado muy tarde<br>las matrículas el año pasado las<br>matrículas empezamos en el mes de<br>noviembre este año por por unos<br>problemas internos que hemos tenido en<br>la institución las matrículas la hemos<br>empezado en enero con lo cual tenemos<br>dos meses y medio casi de retraso eh<br>pero estamos en los mismos números que<br>el año pasado es decir a esta semana más<br>o menos tenemos el mismo número de<br>alumnos y el año pasado tuvimos los 40<br>alumnos faltando 15 dantes ya estaban<br>las plazas completamente agotadas sin<br>hacer digamos esta esta actividad masiva<br>que estamos haciendo vo a comentar 670<br>personas se han inscrito a este webinar<br>vale esta masterclass de las cuales más<br>de 450 han dicho que querían participar<br>decir que quieres participar en el<br>programa no significa que lo vayas a<br>hacer pero voy a comentar con que un 10%<br>de esos 450 digan que sí ya tendríamos<br>45 más 20 son 65 plazas entonces cuanto<br>antes toméis una decisión eh Mejor eh<br>antes preguntaba cu Cuántas diones vamos<br>a tener por año una es imposible<br>nosotros estamos dirigiendo diplomados<br>en otros países eh estamos ahora mismo<br>terminando un diplomado en Ecuador<br>grandísimo eh vamos a iniciar diplomados<br>en El Salvador eh vamos a iniciar<br>programa de de capacitación<br>e en Costa Rica y también a partir de<br>junio en Panamá con lo cual<br>eh No no no no podemos Porque estos<br>programas son muy exigentes y en el caso<br>vuestro el horario que tenemos es un<br>horario de creo que va a ser las 18:00<br>eh teniendo en cuenta que más de la<br>mitad de los profesores se conectan<br>desde España<br>eh hacen un esfuerzo grande vale por el<br>diferencial horario con lo cual estamos<br>hablando de que a partir del mes de<br>marzo cuando se produzca el cambio de<br>uso horario eh el caso mío por ejemplo<br>que Ah ahora mismo tengo TR horas de<br>diferencia con con chile paso a cinco y<br>los compañeros desde desde la España<br>peninsul pasan a 6 horas de diferente<br>con lo cual eh No podemos hacer esto<br>mucho muchas veces es es muy muy<br>agotador eh Y de verdad es que la el<br>biorritmo y la salud se se ve afectado<br>ya son llevo ya casi 5 años eh dando<br>clases nocturnas ahí en la nocturna Para<br>mí muy nocturna de hecho empezando<br>clases a las 12 de la noche con con<br>chile y y desde luego no es el dinero lo<br>que me impulsa eh por dinero no lo haría<br>lo hago prente porque este es un<br>proyecto y una oportunidad enorme de de<br>poder ayudar al otro lado del Atlántico<br>Entonces si fuese por dinero me quedo en<br>Europa pero la La idea es importante es<br>que estamos liderando eh unos proyectos<br>que me en los que me siento<br>completamente identificado<br>lo he comentado pero muchos lo sabéis Yo<br>dentro de lo que es el territorio<br>español Yo vivo en las Islas Canarias y<br>como canario siempre digo que los<br>canarios somos los latinoamericanos<br>españoles entonces he estado mucho más<br>cerca de vuestra forma de hablar de<br>entender de de de vuestra cultura muchas<br>veces que más que que en el caso del<br>territorio español peninsul de hecho<br>estamos 1000 km de la Costa Sur de de de<br>de España a 100 km de la costa africana<br>por tanto geográficamente siempre digo<br>que soy africano no soy español pero<br>bueno Esas son algunas cuestiones que<br>que comento alguna preguntita más que<br>queráis<br>e Hay que aprovechar que est tu par<br>libre porque si no levantamos eh todavía<br>estamos 100 personas conectadas es<br>impresionante eh yasna<br>saludo el programa es fenomenal valor<br>del mismo se integra en principio por su<br>docent cualificado y con gran<br>experiencia nada invida los programas de<br>porg grado de España gracias Ya piropo<br>eh viniendo de de de ti y con el<br>expertiz que ya tú asumes y y los<br>doctorados que tienes en en en tu<br>mochila no Muchísimas gracias des luego<br>eh por encima del del nivel académico eh<br>Eh sí comento de que si hay algo que<br>caracteriza ya la primera edición y va a<br>caracterizar también todos los programas<br>que eh llevo impartiendo en la en la<br>usach es el compromiso de los profesores<br>con los alumnos vale aquí no se viene a<br>dar clase aquí se viene a<br>enseñar no sé si no nos entendemos pero<br>lo que quiero comentar es esto vale aquí<br>venimos a enseñar no a dar<br>clase y la enseñanza y la pedagogía<br>empieza con con no solamente con los<br>contenidos que compartimos sino con el<br>apoyo constante durante la semana<br>Durante los meses con el alumno<br>atendiendo al alumno en lo personal y en<br>lo académico lo que podamos nosotros<br>ayudar cada uno tiene sus problemas<br>personales laborales de salud y nos<br>hemos encontrado con compañeros con<br>situaciones muy desagradables des el<br>punto de vista de salud<br>y con<br>apoyo y compromiso<br>[Música]<br>eh con la altura de mira que como seres<br>humanos nos tenemos que caracterizar eh<br>hemos ayudado a sus alumnos también a a<br>concluir su ciclo académico de forma<br>exitosa entonces nuestro compromiso va<br>mucho más allá que llegar dar la clase y<br>marcharnos vale nuestro compromiso será<br>con todos y cada uno de los que decidan<br>acompañarnos durante och meses y<br>medio Dayana Gracias la certificación se<br>ve sensacional gracias Sí voy a comentar<br>ahora mismo no hay una certificación de<br>este tipo en todo lam vale hay propuesta<br>hay iniciativas eh tú lo sabes ahora<br>mismo en el caso de de de Ecuador se<br>está un poco atienda a tientas eh<br>buscando propuestas pero evidentemente<br>falta también mucha experiencia práctica<br>y y nosotros no solamente vamos a dar la<br>teoría sino que los alumnos van a<br>aprender<br>trabajando gracias Lidia por tu palabra<br>me alegro que que haya sido inspiradora<br>la la la la masterc o la pequeña eh<br>clase que hemos dado en el día de hoy<br>fundamentalmente Yo creo que es<br>importante también que que entendamos el<br>el rol del dpo creo que está mal mal mal<br>explicado en muchos en muchos sentidos<br>eh en muchos sitios yo no sé si mal<br>explicado es la palabra pero sí mal<br>aplicado es mal aplicado<br>eh Hay eh Auténticos pulpos eh en la<br>parte organizacional acumulando votas de<br>poder y y y están Bueno pues pues con<br>dos tres posiciones importantes que<br>además generan conflictos de interés<br>claramente y que no van a tener<br>capacidad de mostrar nunca ante una<br>autoridad de control la ausencia de ese<br>conflicto de interés por eso quería<br>reforzar eh como como elemento<br>tangencial que todas las normativas eh<br>insisten insisten en el eh en la<br>ausencia de conflicto de interés y el<br>conflicto de interés señores no se<br>enuncia se<br>demuestra vale<br>[Música]<br>eh josep dice no estoy seguro si me<br>estoy alejando de la ponencia de hoy<br>pero tengo una pregunta sobre la<br>confidencialidad de los contratos de<br>trabajo para colaboradores de clínica u<br>hospitales Bueno ya entramos en<br>preguntas concretas josep normalmente<br>ese tipo de preguntas requerirían un<br>elemento contextual pero eh<br>hay que hay que aterrizar lasas hay que<br>aterrizar lasas en en el tema si tienes<br>duda tienes mi perfil el linkedin me lo<br>mandas por el perfil de linkedin por el<br>chat privado y con la capa informativa<br>meo con el elemento contextual<br>desarrollado y yo con gusto te la te la<br>te la respondo hoy no porque aquí ya son<br>las 2:30 de la noche pero si mañana o o<br>pasado mañana con con con mil amores eh<br>evidentemente yo creo que una de las<br>cosas que me ha caracterizado de que<br>llego aquí en la eh en Chile<br>fundamentalmente en esta casa de<br>estudios es que del minuto uno eh he<br>llamado a todos eh los que están al otro<br>lado lo he llamado mis compañeros No lo<br>he llamado lugos vale<br>eh mir Por ahí está Germán Hola Germán<br>vale Ah para mí sois mis compañeros de<br>armas eh porque esta es una lucha de<br>todos eh Cuanto más eh tengamos las<br>competenci Cuanto más tengamos<br>conocimiento y habilidades más y mejor<br>no V no vaí a todo eh más y mejor le va<br>a ir la ciudadanía la sociedad digital<br>en la que nosotros nos desenvolvemos<br>donde comentaba Antes nos enfrentamos a<br>un riesgo muy importante donde no<br>solamente el capitalismo de vigilancia<br>eh está erosionando eh<br>nuestros nuestros derechos y libertades<br>sino que también eh aprovechando ese<br>caballo eh que pasa por ahí también los<br>países y los Estados están aprovechando<br>esa situación he comentado el caso antes<br>de de de Honduras pero es que no hace<br>mucho Repito no hace mucho eso mismo<br>también lo intentaron en México en<br>México que las las telcos Y en este caso<br>algunos políticos tían tomar la<br>iniciativa de que para mejorar la<br>seguridad y y evitar el fraude en las<br>telecomunicaciones pues no se le ocurría<br>en ninguna otra forma fórmula magistral<br>que intentar recabar los datos<br>biométricos Y nosotros hay que partir el<br>hecho de que estamos matando moscas a<br>cañamas cuando<br>se produce una brecha de seguridad<br>eh en la Dark web en nuestros datos<br>tienen un valor un valor que va<br>degenerando que va perdiendo valor a<br>medida que va pasando el tiempo es decir<br>una tarjeta de crédito un pin de una<br>tarjeta de crédito una contraseña que<br>nos hayan podido captar e el día que se<br>produce la brecha tiene un valor x y<br>pasados 100 días Pues tiene un valor x<br>menos no sé cuánto pero si el día que se<br>hay una brecha de un dato<br>biométrico el valor en el mercado web a<br>día de hoy seguirá siendo mismo valor<br>dentro de 5 y Dentro de 10 años señores<br>esto tenemos que<br>entenderlo tenemos que entenderlo porque<br>es un elemento Perpetuo que permite<br>perfectamente la suplantación de<br>identidad tenemos un problema y hay una<br>cultura del uso del dato biométrico por<br>todos lados sin eh en realizar eh un<br>juicio de idad necesidad y<br>proporcionalidad sino Sencillamente como<br>las tecnologías lo lo facilitan como las<br>tecnologías lo habilitan pues pensamos<br>que Sencillamente es por qué no ya que<br>las tecnologías están porque no la<br>usamos eh la tecnología utilizamos con<br>cabeza y con sentido común porque las<br>tecnologías eh pueden hacer o las<br>personas que trabajan con esas<br>tecnologías pueden tomar decisiones<br>equivocadas que pueden provocar mucho<br>daño sobre nosotros<br>[Música]<br>excelente información una consulta Qué<br>diferencia tiene este diplomado cono que<br>imparte la Us en relación a<br>ciberseguridad y protesis de<br>dat enfoque distinto estructura distinto<br>y objetivo<br>distinto<br>Vale cualquier máster tiene una<br>orientación tiene un objetivo esta<br>formación tiene un objetivo muy concreto<br>que es atacar una certificación y tener<br>unas competencias con el tema por tanto<br>hay un mix muy<br>importante en la parte jurídica con la<br>parte técnica muy importante con la<br>parte de gestión de riesgo y Y<br>evidentemente con todo lo que es el Core<br>de negocio que tiene que manejar eh un<br>oficial de protección de dat Entonces<br>está orientado a a dar las competencias<br>y las habilidades a esta a esta figura<br>en segunda línea un máster de y portees<br>indid datos es un tema mucho más abierto<br>que puede estar perfectamente orientado<br>primera segunda o tercera línea<br>complementa muy bien tu tu desarrollo<br>profesional en la parte que está<br>buscando pero no no está buscando este<br>marco de competencia entonces eh es<br>digamos es el tema y luego lo otro que<br>he comentaba eh sin querer faltar en<br>ningún momento porque quiero ser muy<br>respetuoso porque estamos en una casa de<br>estudio no es decir cuando se desarrolla<br>una casa de estudio ofrece un magister<br>eh sobre un marco determinado digamos de<br>de de de conocimiento lo hace<br>evidentemente bajo su experiencia<br>evidentemente lo lo registra en en el<br>correspondiente Ministerio de Educación<br>el el tema los objetivos que se quieren<br>buscar y eso pero vuelvo comentar no no<br>nos encontramos ante un órgano rector<br>que regule revise eh Y audite de forma<br>regular ese programa para saber si los<br>objetivos primero se cumplen y segundo<br>en el tiempo se mantienen eh Este es el<br>elemento también diferencial y esto creo<br>que también ese tema por eso también los<br>magister de protes en España que que<br>quieren habilitar para esto también son<br>auditados Este creo que es un elemento<br>que que marca perfectamente la la la<br>diferencia<br>Vale gracias Me alegro que que haya<br>quedado bien claro Bueno pues eh Ah una<br>mano ahí José Luis eh Sí buenas noches<br>locadio<br>e inicio felicitando por la masterclass<br>estaba super buena<br>e se se liberaron digamos algunas<br>preguntas que tenía pero me aparecen<br>otras que son este también complicadas<br>estoy interesado la verdad en el<br>diplomado eh No sé si es que esta<br>pregunta que voy a hacer entra ya en<br>materia del diplomado pero me doy cuenta<br>que la la ley de protección de datos es<br>distinta digamos en en los países sobre<br>todo de de latinoamérica en lo referente<br>a las competencias del<br>tpo por algún por un lado vi que en en<br>el caso de Ecuador por ejemplo es el<br>encargado de supervisar este los<br>controles digamos que se pongan o de<br>asesorar también digamos el tema del<br>cumplimiento sobre sobre la protección<br>de datos en el caso de Argentina vi que<br>vi que es es el responsable en cambio de<br>implementar esos controles que que que<br>básicamente hay una diferencia terrible<br>ahí eh mi pregunta básicamente es este<br>si es que estamos hablando de un dpo que<br>está asesorando y que al mismo tiempo es<br>es el encargado de supervisar digamos<br>esa implementación de controles Cómo<br>hacer Digamos como para que no solape<br>un poco las acciones que de pronto este<br>las tiene como competencias el<br>ciso primero tiene que ha mucha<br>comunicación Yo siempre digo Aquí la<br>regla paleto no dec paleto 80 20 vale<br>hay que escuchar 80 y hablar 20 hay que<br>escuchar mucho hay que comprender mucho<br>a las distintas área proceso y a los<br>compañeros que están al otro lado para<br>partir digamos de ese modo escucha e<br>poder<br>e hablar cuando nos toque y Y ser como<br>un<br>neurocirujano vale muy preciso en el<br>corte hay que tener mucha pausa<br>e y esto se consigue con los años se<br>consigue con con con mucha experiencia<br>con mucho experti porque es importante<br>que que las áreas entiendan que que no<br>pueden tomar decisiones que sus<br>decisiones y esto lo explicado también<br>mucho o sea el concepto del ciber<br>compliance eh es un tema eh que pega en<br>el waiting los Equipo blanco de<br>ciberseguridad pero es un tema muy poco<br>entendido muchas veces en muchos<br>entornos no es decir y yo insisto por<br>ejemplo en en alguno de los programas<br>que bueno casi todos los programas que<br>dirijo sobre todo el programa el<br>diplomado de dicia de<br>cumplimiento<br>que hay materias que deberían venir los<br>ISO los io las unidades de<br>riesgos el área legal los compliant<br>officers los desarrolladores los wbm<br>los programadores la gente de ox y no<br>viene no<br>viene no vienen porque siempre quieren<br>crecer en vertical y y<br>quieren mejorar sus competencias<br>técnicas sin entender que las<br>competencias técnicas no operan por sí<br>sola en un mundo que está completamente<br>entrelazado y que nosotros trabajamos en<br>mercados nacionales e internacionales<br>regulados y que por tanto cuando yo<br>tengo un análisis de riesgo y digo que<br>hay un determinado control que es que lo<br>mitiga no soy libre para elegir el<br>control porque el control me puede venir<br>impuesto en por mi contexto externo por<br>la propia regulación que si no la<br>conozco voy a tener un error gravísimo<br>me puede V impuesto por los contratos<br>con clientes o con<br>proveedores no soy no soy libre para<br>para Ela tengo que conocer efectivamente<br>el marco legal y tengo que saber mucho<br>de riesgo legal y esto evidentemente los<br>compañeros del área legal nos pueden<br>aportar muchísimo Conan Office también<br>pero voy a comentar esto es una<br>competencia del<br>ciso la primera edición que se hizo en<br>España del del primer curso de Cyber<br>compliant por el isms el Forum en España<br>que soy alumno de la primera edición y<br>ahora soy miembro del equipo de<br>conocimiento del<br>isms una de las cosas que que me<br>sorprendió agradablemente<br>es encontrar como alumno a la mayor<br>parte de los isos de las empresas que<br>cotizan el iex<br>35 vale o sea eh pensamos en inditex por<br>ejemplo inditex que es la dueña de de<br>Zara de todas las cadenas de retail que<br>podamos conocer por ahí la más<br>importante Eh pues está preciso Por qué<br>está aliso in curso Cyber comp es que no<br>tiene inditex área jurídica Claro que<br>tiene área jurídica pero es que un siso<br>tiene que entender un siso moderno tiene<br>que entender de derecho de derecho<br>tecnológico de hecho eh en la<br>transposición eh la transposición de la<br>directiva nis la primera en el modelo<br>español eh vino a crear el estatuto del<br>ciso<br>eh que es muy interesante y dice que<br>para postular para hacer un ciso en una<br>infraestructura crítica del país tiene<br>que tener un marco de competencias muy<br>muy muy muy maduro y además tienes que<br>saber mucho mucho mucho de<br>legislación Entonces ya no solo se te<br>mide dentro de los dominios de<br>conocimiento la parte técnica tanto en<br>ti como en tecnologías<br>operativas lo que se te mide es tu grado<br>de comprensión de cómo controlas esas<br>tecnologías de la información y esa<br>tecnología operativa en el marco<br>regulado en el que tú te mueves el marco<br>regulado nacional y en el marco lado<br>europeo tienes que saber mucho de ellos<br>o tienes que venir Pero qué pasa con los<br>desarrolladores de<br>software tenemos ese mismo problema o<br>sea yo imparto acá un curso levo 2 años<br>impartiendo que es el curso de<br>privacidad por diseño pasado en ISO<br>31700 Y la verdad es que las áreas de<br>calidad o las áreas de desarrollo de<br>servicio sobre todo las áreas de<br>desarrollo de software debería estar ahí<br>es que deberían estar porque es que les<br>pega desde el minuto uno hasta el<br>final y no solamente aprender a<br>codificar sino aprender que son la<br>primera línea de defensa porque son los<br>conocedores de cómo esa línea de código<br>puede pegar duro en las personas y por<br>tanto son los primeros que a poder<br>levantar defensas en el tema pero si no<br>hay formación yo me aplico el ciclo de<br>desarrollo seguro mi mi mi mi mi<br>codificación va a ser buena des el punto<br>de vista del security punto de vista<br>funcional y operacional Pero el punto de<br>la privacidad va a pegar puñetazos a los<br>derechos y a las libertades Esta es la<br>realidad Por qué Porque no tenemos una<br>comprensión del tema entonces voy a<br>comentar esto es un tema que es<br>totalmente<br>transversal tienen que venir compañeros<br>de distintas líneas es es un poco la la<br>la la idea no y bueno no sé si me me ha<br>alejado la respuesta porque como me<br>pongo a hablar<br>me voy mucho por la por fuera eh No sé<br>si queda alguna pregunta más eh si no<br>retiramos vale eh Creo que todavía se<br>está grabando esto voy a poner esto ya<br>en detener la grabación