Órganos de gobierno
Descripción y objetivo
Los órganos de gobierno cumplen una función primordial en el modelo de servicio, ya que son la base sobre la que asienta el Servicio centralizado, y los máximos responsables de fomentar la cultura de privacidad, tomar las decisiones y alinear el servicio a los objetivos de los clientes (Responsables de Tratamiento) e interesados (ej: ciudadanos).
Buena práctica
Se deberían confeccionar órganos internos que permitan realizar un adecuado gobierno de la privacidad y la seguridad en la organización que presta el Servicio centralizado, de cara a que los objetivos del Servicio se encuentren alineados con las necesidades de los Responsables de Tratamiento (RT), a la vez que permitan garantizar los derechos y libertades de los ciudadanos alcanzados. La definición de estos órganos se debería asentar sobre los siguientes requisitos:
- Formalizar los órganos ejecutivos, compuestos por perfiles de dirección, con capacidad de establecer los objetivos y estrategia del Servicio centralizado, dotar de los recursos necesarios para llevarlos a cabo, tomar decisiones acerca • de cuestiones relevantes que afecten al Servicio o los RT en materia de privacidad
y monitorizar periódicamente su estado. - Formalizar los órganos operativos, compuestos por personal clave de las áreas relacionadas con la privacidad y la seguridad, con las capacidades técnicas necesarias para llevar a cabo las decisiones tomadas por los órganos ejecutivos, y servir de apoyo a los órganos ejecutivos en la resolución o análisis de las cuestiones que, por su especificidad, quedan fuera su alcance.
- Definir y aprobar formalmente las funciones de cada uno de los órganos, así como los mecanismos de interactuación entre ellos y el Servicio centralizado.
- Aprobar formalmente la composición de cada uno de los órganos, junto con los procedimientos de alta, baja o sustitución de miembros en cada órgano.
- Garantizar la independencia entre la organización prestadora y los órganos internos del Servicio centralizado, en el ejercicio de las funciones de DPD centralizado.
- Formalizar la periodicidad de las convocatorias ordinarias de cada uno de los órganos, junto con el procedimiento de convocatorias extraordinarias.
- Llevar a cabo activamente las convocatorias según la planificación estipulada.
Ejemplos de implantación
Los órganos de gobierno pueden diferir en función del tamaño y la naturaleza de la organización, pero como ejemplo de implantación se podrían plantear los siguientes:
- Comité ejecutivo, compuesto por un conjunto de miembros de alta dirección que representen a negocio, sistemas, legal y protección de datos, con las siguientes funciones (entre otras): aprobar el presupuesto y cuota del Servicio centralizado, aprobar el Cuerpo Normativo del Servicio, impulsar el Sistema de Gestión del Servicio, velar por el cumplimiento de los objetivos, tomar decisiones relevantes en el ámbito de notificación de brechas y aceptación de riesgos, revisar indicadores y el estado del Servicio, etc.
- Comité técnico, compuesto por los responsables de áreas técnicas, legal, recursos humanos, calidad, seguridad y protección de datos, con las siguientes funciones (entre otras): revisar los cuerpos normativos antes de su elevación al Comité ejecutivo, apoyar en la implantación y mantenimiento del Sistema de Gestión del Servicio, actuar en segunda instancia frente a desviaciones de los indicadores del servicio, facilitar la prestación del Servicio y el cumplimiento de plazos en el ámbito de sus responsabilidades, etc.