Las empresas definen el papel del delegado de protección de datos
22 de diciembre de 2018
Las empresas definen el papel del delegado de protección de datos
La gestión de la seguridad, la implementación de la política de retención de datos o lograr integrar la privacidad en los procesos de las empresas son algunos de los desafíos a los que se enfrentarán los delegados de protección de datos.
La figura del delegado de protección de datos (DPO, por sus siglas en inglés) ha ganado protagonismo con el arranque de la aplicación del Reglamento General de Protección de Datos (RGPD). Tras más de seis meses desde el inicio de su aplicación, los expertos están convencidos de que, a pesar de las dudas que existen sobre el texto legislativo europeo respecto al rol de DPO, existen más aspectos positivos que negativos.
"La normativa de protección de datos ha pasado a formar parte de una realidad dentro de las organizaciones. Eso le confiere un mayor peso al profesional que tiene que guiar a las instituciones y que debe ocupar un espacio clave dentro de las mismas", apunta Cecilia Álvarez, presidenta de la Asociación Profesional Española de Privacidad (APEP) y DPO de Pfizer en Europa. La experta asegura que si existe alguna dificultad en todo este cambio normativo únicamente se podría hablar de la concienciación. "Éste es un proceso complejo, que requiere que toda la organización se involucre para que funcione. El éxito del DPO no es el éxito del profesional, sino de la compañía que decida abrazar esos valores en su modelo de negocio".
En esa misma línea se posiciona Carlos García-Mauriño, responsable de protección de datos para EMEA en General Electric Healthcare, que aseguró durante la jornada Luces y sombras del rol de DPO en la implementación del RGPD, organizado por la APEP, que "la figura del DPO necesita todavía de mucha maduración y se consolidará a lo largo de los años" y que, entre otros asuntos, todavía es necesario definir mejor el sistema de reporte de este trabajador con el consejo de administración. Para García-Mauriño, no sólo es esencial que el DPO encaje dentro de los parámetros fijados por el RGPD, sino que además debe "conocer perfectamente todos los aspectos de la ley, entender el negocio en el que se mueve, realizar estudios técnicos para saber qué necesita la empresa, así como ser diplomático, pragmático y tener sentido común".
¿Abogado o no?
En cuanto a la formación y el perfil necesario para ocupar este puesto, los expertos parecen tener diversas opiniones sobre el asunto. Para Enrique Peloche, DPO en LaLiga, "la persona más adecuada para ser responsable de protección de datos es un abogado, puesto que se dedica a interpretar las directrices y las leyes, y además debe tomar decisiones que no vayan contra la legislación vigente". Sin embargo, Álvarez afirma que este puesto no debe ser ocupado obligatoriamente por un letrado. "Ser abogado aporta un cierto bagaje, pero no es esencial para ser DPO. Lo que sí es fundamental es que la persona tenga amplios conocimientos jurídicos, técnicos y empresariales. Por eso, es básico hacer autocrítica al aceptar el puesto y si no se cuenta con todas las habilidades necesarias, buscar soluciones y aliados en la compañía".
Sobre los mayores retos a los que se va a enfrentar un DPO en un futuro próximo, Peloche explica que quizá el mayor desafío puede ser "conseguir integrar la privacidad en el conjunto de procesos de la organización". Por su lado, García-Mauriño destaca como algo esencial "la gestión de la seguridad", pero es Álvarez la que vislumbra más retos para los próximos meses, como el uso indiscriminado del derecho de acceso, las dudas que puedan surgir sobre el uso del interés legítimo de los datos o las posibles prácticas de competencia desleal por parte de auditoras externas.
Sin embargo, la presidenta de la APEP destaca que, "desde un punto de vista operacional, quizá el desafío más importante tiene que ver con la implementación de la política de retención de datos. Es difícil para un organismo, público o privado, saber cómo determinar cuándo los datos dejan de ser necesarios a los efectos de proceder a su destrucción, puesto que esto está determinado por normas de distintas características que cambian a lo largo del tiempo".
Administraciones
Los expertos están convencidos de que las empresas privadas han hecho los deberes y están demostrando que se toman muy en serio las obligaciones del RGPD. Sin embargo, no piensan lo mismo de lo que está ocurriendo con la Administración Pública.
Para García-Mauriño, la falta de posibles sanciones impuestas por el reglamento podría ser una de las razones a este desinterés. Por su parte, Álvarez va más allá y asegura que las normas de protección de datos han nacido precisamente como un límite al Estado. "Es muy importante que la Administración Pública, con la cantidad ingente de información que tiene, se tome este asunto más en serio. Según la autoridad española de protección de datos, el número de nombramientos de DPO que les comunica la Administración no es equivalente a lo que ellos esperan, dado el tejido administrativo tan importante que tenemos en nuestro país. Es evidente que serán estos DPO los que más ayuda necesiten".
Responsabilidad y reparto
En el apartado de dudas, los expertos quisieron cerrar el debate sobre dos asuntos esenciales: la responsabilidad del DPO y cómo se debe realizar el reparto de delegados en las compañías. Respecto a este último punto, todos destacaron que en las multinacionales lo más lógico es contar con un único responsable para una amplia región. Por la experiencia acumulada, estos profesionales prefieren este sistema, para que no exista descoordinación.
Este DPO multipaís, eso sí, deberá contar con el apoyo de enlaces locales -privacy stewarts- en los diferentes países cubiertos. En cuanto a la responsabilidad del DPO ante un incumplimiento, Cecilia Álvarez destaca que es importante que todo el mundo entienda que el Grupo Artículo 29 ya ha confirmado que "el DPO no es responsable de los incumplimientos, el responsable es la empresa y es ella la que será sancionada", aunque el delegado de protección de datos haya podido realizar un mal asesoramiento.
Esta web usa cookies propias y analíticas. Al seguir navegando, usted acepta el uso que hacemos de estas. Puede cambiar la configuración de las cookies en cualquier momento.