La Superintendencia de Protección de Datos (SPDP), emitió una absolución de consulta en la que analiza el alcance funcional del Delegado de Protección de Datos Personales (DPD) y determina si este puede asumir la custodia de contraseñas de bases de datos o sistemas de información de una organización.
En su análisis, la SPDP examina el rol del DPD y concluye que se trata de una figura técnico-jurídica independiente, cuya intervención se limita estrictamente a funciones de asesoría especializada, supervisión del cumplimiento normativo y cooperación con la autoridad de control, sin formar parte de la ejecución operativa del tratamiento de datos personales.
El criterio de la SPDP enfatiza que la independencia del DPD no es una formalidad, sino un elemento estructural de su función. El DPD debe permanecer fuera de la operación del tratamiento precisamente para poder ejercer un control objetivo sobre ella. En consecuencia, cualquier función que implique intervención directa en los sistemas, en la gestión de accesos o en la administración de medidas de seguridad resulta incompatible con su rol institucional.
En este contexto, la SPDP concluye que la custodia de contraseñas, credenciales de acceso o mecanismos de control de bases de datos constituye una actividad de naturaleza técnica y operativa que corresponde exclusivamente al responsable o al encargado del tratamiento. Atribuir estas funciones al DPD rompe la separación funcional entre quien ejecuta el tratamiento y quien debe supervisarlo, compromete su independencia y genera un conflicto de interés, pues el DPD pasaría a evaluar la legalidad de procesos que él mismo administra.
Adicionalmente, la SPDP advierte que esta confusión de roles puede generar problemas de responsabilidad en caso de incidentes de seguridad, ya que el DPD no puede ser considerado responsable por la ejecución o administración de medidas de seguridad, sino únicamente por el ejercicio diligente de sus funciones de asesoría y supervisión.
Por tanto, la SPDP determina que no resulta conforme al marco normativo vigente que el Delegado de Protección de Datos Personales asuma la custodia de contraseñas institucionales, debiendo estas funciones permanecer en las áreas técnicas o administrativas del responsable o del encargado del tratamiento, mientras que el DPD debe limitar su actuación a verificar que los mecanismos de control de acceso y seguridad sean adecuados y conformes con la normativa de protección de datos personales.
Si tu organización cuenta con un DPD de perfil técnico, es recomendable reforzar su gestión con acompañamiento jurídico especializado para asegurar el correcto cumplimiento normativo. AVL puede brindarte este soporte integral.
Esta información es un resumen de novedades jurídicas de interés, y por tanto no podrá ser considerada como asesoría provista. Cualquier inquietud, comunícate con el equipo de AVL.