El delegado de protección de datos, funciones y capacitación

Jesús Soler Puebla. Abogado

SUMARIO:

Funciones

Capacidades

Incompatibilidades

 Un DPO, DATA PROTECTION OFFICER (DPO) o delegado de protección de datos, según la irregular traducción del GDPR (REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS de la Unión Europea) que nos ha ofrecido la Comisión, ha de ser ante todo, parafraseando al dicho inglés, una persona abierta, dialogante, conocedora en profundidad del negocio, que sepa trabajar en equipo y negociar con los diferentes operadores internos y externos (diferentes departamentos con intereses contrapuestos y diferentes proveedores y clientes con negocios contrapuestos), de mente ágil, proactivo y con los suficientes contactos con las Autoridades de Control, y, si sabe de Protección de Datos, mucho mejor.

Este es el panorama que nos encontramos con el nuevo operador en el mercado de la privacidad en Europa, el DPO (o DPD en España) será un miembro indispensable en el organigrama de un buen número de empresas, pero el panorama no es tan benigno, puesto que el Reglamento (y nuestra futura Ley Orgánica) exige que sea un profesional con acreditados conocimientos y práctica en la materia (pendientes todavía de conocer si, como dice el proyecto de Ley Orgánica, el cargo también lo pueden ejercer las personas jurídicas). Apenas un puñado de profesionales cumplen actualmente con los requisitos: las grandes consultoras de recursos humanos estiman que poco más de un centenar de profesionales entre Barcelona y Madrid y otros tantos en el resto de España. Serán las piezas más cotizadas del mercado legal de este año. A este panorama se ha añadido la publicación de los requisitos para acceder a la certificación oficial como DPO que ha publicado la Agencia de Protección de Datos y que, para poder obtener el título y la marca oficial, han de acreditar experiencia contrastada en la materia, de entre tres y cinco años.

Primero vamos a centrarnos en cuáles han de ser sus funciones reales y si nos encontramos ante un miembro del consejo asesor de la empresa o en realidad nos encontramos ante un fiscalizador al servicio de la Administración, todo ello envuelto en la recurrente idea de que hay que velar por la tutela de los derechos y libertades de los titulares de los datos personales, que no nos olvidemos, es un derecho fundamental de las personas, aunque algunos pensemos que se ha convertido en un bien patrimonial altamente apreciado por el mercado y lo que se pretende proteger no son tanto esos derechos y libertades sino los intereses económicos resultantes del concepto “dato “personal”.

• Funciones

El Articulo 39 del GDPR (Reglamento Europeo de Protección de Datos) nos indica que sus funciones serán:

1. a) Informar y asesorar a la empresa y a sus empleados de las obligaciones impuestas por el Reglamento y de cualquier otra normativa aplicable al tratamiento de datos personales

1. b) Supervisar el cumplimiento de las normas establecidas por el Reglamento y de cualquier otra normativa de aplicación, así como supervisar las políticas de la empresa al respecto. Para tal fin, podrá asignar responsabilidades, realizar formaciones y campañas de concienciación, así como realizar las auditorías correspondientes para verificar el cumplimiento.

1. c) Asesorar a la empresa sobre la redacción de las evaluaciones de impacto y supervisar su aplicación y, por tanto, evaluar sobre el análisis de riesgo efectuado en dicho PIA (Privacy Assests Impact, por sus siglas en inglés, que será el idioma en el que todos nos moveremos en esta materia).

1. d) Cooperar con las autoridades de control (en su más amplio sentido, luego veremos qué sucede si no se coopera… en su más amplio sentido).

1. e) Actuar como punto de contacto con la autoridad de control para cualquier cuestión relacionada con los tratamientos, especialmente en lo que respecta a las consultas previas derivadas del art. 36, que son las que ha de realizar el DPO a la Autoridad de control si cree que un tratamiento y sus medidas de seguridad pueden causar algún daño a los derechos y las libertades de los titulares de los datos. En el proyecto de Ley Orgánica español, el DPO actuará como “interlocutor” del responsable ante la Agencia de Protección de Datos, será la voz autorizada de la empresa, y por ende la cadena de transmisión de las instrucciones de la Agencia en materia de protección de datos.

A todas estas obligaciones genéricas el actual esquema del DPO publicado por la Agencia Española de Protección de Datos añade:

1. a) Recabar información para determinar los tratamientos de datos personales
2. b) Analizar y comprobar que estos tratamientos están ajustados a Derecho
3. c) Informar, asesorar y emitir recomendaciones a la empresa
4. d) Supervisar (que no efectuar) el registro de actividades de tratamiento
5. e) Asesorar sobre la aplicación de los principios de Privacy By desing o by default
6. f) Asesorar sobre si debe o no realizarse un PIA (Evaluación de Impacto), la metodología, quién debe realizarlo, qué medidas de seguridad deben aplicarse y si se ha realizado correctamente el análisis de riesgos dentro del PIA y si el resultado de la evaluación de impacto es acorde con el Reglamento Europeo.
7. g) Centrar su actividad en los tratamientos que representen mayor peligro para los derechos y libertades.

El propio esquema publicado por la Agencia española divide sus funciones entre tareas de asesoramiento y tareas de supervisión, a las que hay que añadir, tareas de ejecución.

Asesoramiento sobre el cumplimiento normativo en materia de protección de datos

o          Limitación de las finalidades, minimización y exactitud de los datos

o          Identificación de las bases jurídicas de los tratamientos

o          Valoración de las finalidades distintas de las que originaron la recogida

o          Determinación de la existencia de normativa sectorial

o          Determinación de la necesidad de realizar una evaluación de impacto sobre determinados tratamientos (PIA)

o          Determinar si existe seguridad en la transferencia internacional de datos

Supervisión

o          Contratación de encargados de tratamiento y contenidos de los contratos

o          Análisis de riesgo de los tratamientos realizados

o          Medidas de protección de datos by desing o by default

o          Auditorias

Ejecución

o          Diseño e implantación de medidas de información a los afectados

o          Mecanismos de recepción y gestión de solicitudes de ejercicio de derechos

o          Atender personalmente las solicitudes de tutela de derechos

o          Instrumentos de legalización de la transferencia internacional de datos (Contratos y Binding Corporate Rules)

o          Diseño e implantación de políticas de protección de datos

o          Auditoria

o          Mantenimiento del registro de actividades de tratamiento

o          Protocolo de gestión de las violaciones de seguridad (data breaches),  su evaluación y su comunicación a la Autoridad de Control y a los afectados,

o          Confección de programas de formación y concienciación  en  materia  de protección de datos.

o          Relaciones con la Autoridad de Control

o          Realización de las evaluaciones de impacto (aunque determinadas opiniones de otras autoridades, como la belga indican que la función de realizar el PIA es del responsable de tratamiento y el DPO sólo debe revisarlo, el sentido práctico se impondrá y realizar el PIA será función del DPO, por economías y seguridad de la empresa).

o          Proteger su independencia

Estas funciones representan un mínimo de tareas asignadas obligatoriamente al DPO, pero en uso de su capacidad como asesor de la dirección de la empresa, puede realizar cualquier otra función que sirva para proteger los derechos y las libertades en lo que al tratamiento de los datos personales se refiere, sin ninguna restricción y debe reclamar y dotarse de todos los recursos necesarios para el desarrollo de sus funciones (Art. 38 GDPR).

En este punto nos surge la duda que ya ha suscitado alguna que otra polémica entre los que opinan que el DPO es un fiscal al servicio de la Administración, pero incrustado y pagado por la empresa y que realmente realiza las tareas de inspección que debería realizar la Autoridad de control, o los que opinan que realmente es el defensor del ciudadano y del derecho fundamental a la protección de datos y por tanto ha de estar dotado de todos los medios e independencia necesarios para ejercer sus funciones puesto que una buena praxis en materia de protección de datos en la empresa es una marca importante de calidad y de reputación para el negocio.

Seguramente ni es una cosa ni la otra, pero sí que es cierto que, del contenido del Reglamento y del contenido del Esquema publicado de la Agencia de Protección de Datos, se desprende un cierto aroma a que es más fiscal que asesor, y por eso le otorgan el privilegio de no poder ser destituido ni sancionado por el desempeño de sus funciones y que debe reportar al más alto nivel jerárquico de la empresa. A esto le unimos como que una causa importante para retirarle la acreditación como DPO Certificado es la falta de colaboración don la Autoridad de Control.

En realidad, como profesional en estas materias desde hace muchos años, queda claro que realmente el contenido de las funciones de un Delegado de Protección de Datos (DPO) sigue los nuevos principios de accountability o responsabilidad corporativa, dejando libertad a la empresa para que adopte las mejores decisiones sobre protección de datos, pero que, al tratarse de la gestión de un derecho fundamental y, por qué no, de uno de los elementos patrimoniales más importantes del siglo XXI, se le ha dotado de un órgano protector a la altura de su importancia. El DPO no sólo ha de contribuir a ahorrar trabajo a la Administración, por su capacidad de supervisión delegada, sino que ha de contribuir a ahorrar dinero a la empresa, controlando un importante activo, el dato personal, la materia con la que van a trabajar todas las empresas obligadas por ley a contar con este profesional y contribuyendo a la mejora de su reputación, a la gestión eficaz del activo y tutelando los derechos y libertades de los reales propietarios de los datos personales, los ciudadanos.

El que un DPO goce de una cierta libertad en su actuación, se ha de entender que esta libertad actúa en un doble sentido: frente a la empresa que le contrata y también frente a la Administración y la Autoridad de Control, puesto que, si es un profesional acreditado, también es una voz autorizada a la hora de encontrar soluciones a las diversas situaciones que se van a producir en la aplicación de la norma, que no nos olvidemos, siempre va a ir por detrás de la realidad en esta materia. El DPO ha de tenerse más como un aliado que como un fiscal, y esta idea ha de ser compartida por empresa, que le ha de dotar de medios y equipo necesario y por la Autoridad de Control, que le ha de prestar toda su colaboración, puesto que en último término gozará de su acreditación, para poder aplicar el derecho con imaginación en la búsqueda de la mejor solución.

• Capacidades

Como indica el Reglamento Europeo de Protección de Datos (GDPR, por sus siglas en inglés), el Delegado de Protección de datos será designado atendiendo a sus cualidades profesionales, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.

Por tanto, a parte del debate si puede o no ser realizado por una persona jurídica, que no está prohibido por el Reglamento y que no podremos resolver hasta la publicación de la Ley Orgánica, un DPO ha de tener cualidades profesionales, conocimientos profundos de Derecho y capacidad personal.

El primer debate es sencillo, no es necesario ser licenciado o con un grado en Derecho ni tan siquiera ser abogado colegiado, tan sólo conocimientos especializados en Derecho. Tampoco para redactar los contratos de fusión de una sociedad o su salida a bolsa es necesaria la carrera de Derecho o la colegiación, pero por una pura razón de coherencia y de aptitudes, se recurre a abogados, que proporcionará a la empresa más garantías de conocimientos profesionales en la materia que los que puede tener un economista o un ingeniero informático.

Por esta misma razón, la interpretación y ejecución de los contenidos de un Reglamento Europeo, como norma supranacional y de una Ley Orgánica, tan especializada que regula el uso de un derecho fundamental de los ciudadanos, no puede ser dejada en otras manos distintas de los profesionales del Derecho. Lo contrario sería un riesgo inútil para la empresa que pretende basarse en criterios de economía, eficacia y rentabilidad. En este punto la similitud con la nueva Compliance Penal es total, puesto que sería impensable que la compliance o la gestión de los riesgos de cumplimiento normativo se deje en manos de cualquier otro profesional que no sea con titulación en Derecho. En este mismo sentido, el cumplimiento normativo en materia de Protección de Datos ha de ser dejado en manos de profesionales del Derecho y por tanto una de las capacitaciones del Delegado de Protección de Datos, ha de ser un título, grado o licenciatura en materias jurídicas.

El resto de las capacidades son las realmente complicadas, ya que no suelen obtenerse mediante el estudio, sino que o se tienen o no se tienen. De las numerosas ofertas para el cargo que ya se han publicado en el resto de países de la Unión, podemos extraer una serie de capacidades como profesional:

• Experiencia de tres a cinco años en la gestión, desarrollo e implantación de políticas de protección de datos en diferentes tipos de empresas.
• Experiencia y conocimiento de los diferentes sistemas informáticos
• Habilidades de comunicación: de forma vertical ha de poder comunicarse con todo el organigrama de la empresa, desde el consejo de administración y la gerencia hasta los directores generales, llegando a los empleados y a los titulares de derechos, pasando por los encargados de IT y de informática.
• Liderazgo y gestión de equipos con profesionales de distintas áreas: marketing, informática, asesoría jurídica, comercial, y de forma dinámica y posiblemente de diferentes nacionalidades y empresas.
• Continua actualización y capacidad de aprendizaje de nuevas tecnologías (blockchain) y procedimientos y métodos.
• Empatía con todas las ramas del negocio para trabajar en conjunto para la consecución de objetivos.
• Grandes habilidades personales para establecer contactos con otros profesionales del sector y especialmente con las Autoridades de Control
• Capacidad para poder comunicarse en dos o más idiomas de la Unión (y uno ha de ser casi obligatoriamente el inglés).

Y parafraseando el inicio de este artículo: y si sabe de derecho de protección de datos, mejor, porque si hasta ahora no era tarea sencilla, hay una serie de incompatibilidades entre los cargos, y si bien, nada impide que el DPO lo sea a tiempo parcial, ejerza el cargo para varias empresas o lo compatibilice con otras funciones de la empresa hay que contemplar diferentes incompatibilidades.

• Incompatibilidades

Para mantener la independencia y evitar los conflictos con el resto de áreas de la empresa en las que sus decisiones o recomendación pueden tener un alto impacto, el cargo de DPO no puede ser ejercido por los directores de departamento que debe supervisar, como el jefe de seguridad informática o e jefe de personal.

Los conflictos pueden surgir con otros cargos de dirección (dirección general, jefe de explotación o financiero, director de recursos humanos, jefe de seguridad informática o responsable de márketing).

Por tanto, no podrá compartir la función de DPO cualquier jefe de departamento con el que pueda llegar a tener un conflicto de interesas dentro de la empresa.

Para el caso de que una persona jurídica fuera quien ostentase el cargo, el conflicto de intereses puede alcanzar a la incompatibilidad entre organizaciones y no podría ostentar el cargo a la vez para el responsable del tratamiento y para su encargado de tratamiento, ya que recordemos que un encargado de tratamiento ha de adoptar las mismas medidas de seguridad que el responsable del tratamiento y por tanto si el responsable es una empresa obligada a nombrar un DPO, el proveedor que realice las funciones de encargado de tratamiento también deberá contar con un DPO en su propia organización (siempre que esté involucrado en el tratamiento de datos personales concretamente, no a nivel de simple cesión de datos o que tenga posibilidad de ver datos personales, como podría ser una empresa de limpieza de las instalaciones de un proveedor de servicios de hosting).

CONCLUSIONES

El panorama no parece sencillo para la acreditación de los profesionales que han de ostentar el cargo de Delegados de Protección de Datos (DPO), ya que no sólo es necesario un conocimiento profundo del derecho que afecta a la materia, sino que hay que acreditar práctica en materia de protección de datos, contactos en el sector y estar dotado de una serie de habilidades personales y profesionales bastante sobresalientes, a la par de un conocimiento de idiomas y de la tecnología. El reto parece interesante puesto que se abre un panel de nuevas posibilidades para los profesionales del sector jurídico que, por razones ya expresadas, han de ser los que ostenten este cargo para garantizar la correcta aplicación de la ley y la protección de los derechos y libertades.