El Plan de Sistemas de Información de una organización tiene como propósito establecer un marco de referencia para los sistemas, para que su desarrollo y evolución sea coherente, y a la vez esté alineado con los objetivos estratégicos de la organización. Su forma y contenido puede ser muy variada, pero básicamente hay:
- Un análisis. El análisis es la ‘fotografía aérea’ de la situación actual tanto desde el punto de vista técnico de los sistemas que existen, como desde el punto de vista de los servicios que la organización presta. Este apartado respondería a la pregunta de ¿A qué se dedica nuestra organización y con qué sistemas de información cuenta?, seguida de ¿Cuáles son en esta situación los principales puntos fuertes, débiles, amenazas y oportunidades?
- Una arquitectura. A partir de este análisis de la actualidad el plan pretende avanzar en cómo deben ser los sistemas informáticos del futuro, y cómo van a relacionarse entre sí y con el resto del mundo. En este sentido es muy importante que el Plan de Sistemas defina, cuál va a ser la arquitectura de la información en la organización, donde deben encajar los sistemas nuevos que se desarrollen.
- Unos proyectos. El siguiente o siguientes capítulos del Plan describirán desde un punto de vista funcional los proyectos que van a acometerse dentro de este plan para desarrollar y modificar sistemas de información en la organización, definiendo unas prioridades. Los proyectos a acometer en el próximo año requerirán un mayor nivel de detalle, puesto que será preciso pensar en personas concretas y en el presupuesto económico para ponerlos en marcha.
El Plan, por ser un documento estratégico de la organización, precisa de una implicación activa de sus máximos responsables, que aportan ideas, prioridades, le dan visibilidad y le muestran su apoyo. Es común que este apoyo se escenifique como una presentación interna a los mandos intermedios o a toda la organización cuando se redacta por primera vez y cuando se revisa cada año.
El DPD debe participar en la elaboración de este Plan de Sistemas, asesorando e informando de las obligaciones que impone el RGPD en el tratamiento de datos personales. La propia organización debe promover esta participación para que el DPD se involucre desde las fases más tempranas en todas las cuestiones relativas a la protección de datos, ayudando a crear también una cultura de la protección de datos en la organización.
Por un lado, la participación del DPD en la fase de análisis del Plan va a servir al DPD para conocer los procesos de la organización y cómo están cubiertos desde el punto de vista de los sistemas de información. De este análisis de alto nivel se puede saber en qué actividades y en qué sistemas de la organización se están tratando datos personales, y de esa forma concretar el alcance de la labor del DPD. Imaginemos una organización que cuenta con cinco sistemas de información principales, pero sólo dos trabajan con datos personales de clientes, proveedores o empleados. Esta limitación del alcance de la función del DPD es importante, puesto que permitirá a la organización establecer incluso directrices o programas de protección de datos sobre cuándo debe consultarse al DPD.
La fase de definición de una arquitectura de sistemas puede ser una buena ocasión para establecer requisitos globales para todos los sistemasque tratan datos personales, como son los relativos a la protección de datos desde el diseño y la protección de datos por defecto (art. 25 del RGPD). En esta arquitectura global, el DPD podrá asesorar a la organización sobre temas delicados como la transferencia internacional de datos, y comprobar que en este encaje global de los sistemas presentes y futuros se han tenido en cuenta labores que tendrán que realizarse en el día a día, como la auditoría de datos personales o el ejercicio de derechos por parte de sus usuarios.
Es importante que la parte del Plan dedicada a la lista de proyectos a acometer identifique desde el principio en cuáles de ellos se van a tratar datos personales. El DPD tendrá que estar presente en ellos y avisar de que puede ser preciso realizar evaluaciones de impacto en algunos de los tratamientos. Hará falta que participe directamente en muchas de las reuniones especialmente en las primeras fases del desarrollo, y además precisará de recursos económicos, infraestructura e incluso personal durante todo el ciclo de vida de los nuevos sistemas que es el momento de presupuestar.