-
Artículo relacionado: «Descifrando el DPO (I)«
A finales del año pasado intentamos descifrar la figura del Delegado de Protección de Datos (DPO), después de conocer la guía interpretativa que el Grupo de Trabajo del Artículo 29 (GT29) publicó con el objetivo de concretar algunas de las cuestiones.
Si bien la citada guía nos aclaró algunos conceptos, nos hubiera gustado que resultara más esclarecedora en determinados puntos. Pero por suerte, estamos ante una temática sobre la que profesionales e instituciones del sector están ofreciendo constantemente su interpretación y experiencia.
Así pues, el pasado 15 de febrero la CEDPO (Confederation of European Data Protection Organisations) redactó, con el apoyo de varias organizaciones europeas de protección de datos, una interesante propuesta en contestación a la guía del GT29 con el objetivo de perfilar las funciones e identidad de la mencionada figura. Unas semanas después, el 16 de marzo, acudimos a la jornada que la Sección TIC del ICAM, junto con la Asociación Profesional Española de Privacidad (APEP), celebró en torno al DPO.
Os contamos las cuestiones más interesantes que hemos podido extraer tanto del documento de la CEDPO como de la citada jornada.
1. ¿Qué es “actividad principal”, “a gran escala” y “observación habitual de interesados”?
A diferencia del RGPD y de la guía del GT29, la CEDPO plantea que para identificar lo que es actividad principal deberá atenderse al objeto social y a los ingresos de la cuenta de pérdidas y ganancias de la empresa.
Por otro lado entiende que el concepto de gran escala que menciona el RGPD debe basarse en el riesgo y no sólo en función del número de empleados, el volumen de datos o la duración del procesamiento de los mismos. Pero, ¿Y qué debemos entender por riesgo?
Asimismo, tanto en el documento como en la jornada, se comentó que actividades de supervisión TI, como las relacionadas con ciberseguridad, protección de activos de la empresa (como la propiedad intelectual, industrial o información confidencial) y cumplimiento, entre otras materias, de blanqueo de capitales, no serían objeto de una observación habitual y sistemática de interesados, por tanto no deberían ser elementos importantes para designar un DPO.
En esta primera parte, parece que la CEDPO introduce nuevas sugerencias para determinar dichos conceptos, pero veremos cómo se aplica en la práctica
2. ¿Perfil de superhéroe?
Como venimos observando, todo apunta a que el perfil del DPO será un puzle formado por perfiles no solo con distintas cualidades técnicas y jurídicas, sino que deberá responder también a otro tipo de habilidades, tales como dotes comunicativas. Hablamos de un perfil mixto con distintas cualidades, lo que en inglés llaman las “hard skills” y “soft skills”.
Y esto es lo que la CEDPO comparte en su propuesta, no limitando el cargo a quienes tengan exclusivamente conocimientos en Derecho (a pesar de lo que indica el RGPD en su artículo 37.5 RGPD), sino también conocimientos informáticos y de gestión de programas y riesgos, entre otros.
Además, la CEDPO es clara cuando menciona que el DPO velará por el desarrollo de sus funciones, las cuales podrán desenvolverse por el propio DPO o por su equipo.
Con respecto al perfil técnico, a mi juicio, difícilmente un DPO podrá desarrollar su labor sin conocer las técnicas de interpretación de la Ley, las cuales requieren una formación y conocimientos específicos en derecho, aunque no necesariamente deba tener tal formación de base.
Un buen ejemplo de ello, es Carme Sánchez, la responsable corporativa de protección de datos de la Diputación de Barcelona, quien siendo topógrafo ha acabado desarrollando las funciones de un DPO o por ejemplo, la Chief Privacy Officer de Amadeus nos contó cómo la mitad de su plantilla no tenían titulación jurídica.
3. ¿Un ser omnipresente?
¿Dónde debe desarrollar sus funciones, dentro o fuera de la organización? La CEDPO considera que el carácter interno y/o externo de un DPO vendrá determinado por el tamaño, actividades, o condición privada o pública de cada organización, pero que sin embargo habrá casos, como empresas pequeñas o aquellas que tengan similares actividades en el tratamiento de datos, en los que podría resultar coherente compartir a un DPO externo.
Por su parte, la AEPD no descarta la posibilidad de que algunos organismos de carácter público planteen e intenten promover un DPO externo, por lo que podría abrirse una nueva oportunidad laboral de carácter oficial.
4. ¿O tal vez omnipotente?
Mucho se ha hablado del necesario carácter independiente del DPO. La CEPDO entiende que dicha independencia debe basarse en su integridad y lealtad. Además, opina que no debemos confundir al DPO con una “mini autoridad de protección de datos”, el CEO de una organización o el representante de los interesados, ya que, como se comentó en la jornada de la Sección TIC, su papel no es el de defensor de las organizaciones.
Según la citada confederación, los principios de integridad y lealtad se corresponden con las siguientes particularidades:
- Patrocinio y reporte funcional ante los órganos dirección (Ej: Consejo de Administración).
- Garantizar el deber de confidencialidad del DPO ante la empresa que lo designó, siendo leal ante su empleador o cliente (según sea interno o externo).
- Actuar como un “asesor de confianza” garantizando una adecuada integración en la empresa.
Parece obvio que estas cualidades deban existir para ser DPO ¿Pero es que para las demás profesiones no se exige tener integridad y lealtad en nuestro trabajo?
Por último, ante un posible conflicto de interés entre el DPO y otros departamentos, la CEDPO apunta que serán departamentos de toma de decisiones sobre las actividades de tratamiento de datos, tales como TI, RRHH o Marketing, con quienes pueda surgir algún conflicto.
En este sentido, ponentes de la jornada, abogaron por tomar soluciones “ex-ante” a fin de poder prevenir este tipo de conflictos, por ejemplo, estableciendo formación de concienciación y sensibilización en la materia a los distintos departamentos.
5. Posición y ubicación del DPO
La clara vinculación del DPO con el más alto nivel jerárquico, conforme el artículo 38.3 del RGPD, responde según la CEDPO, a determinadas características:
- Un acceso directo y sin filtros a la alta dirección, esto es, sin intermediarios, lo que da lugar a una adecuada protección en el desarrollo de sus funciones.
- Que la alta dirección (Consejo o miembro del mismo) supervise sus funciones y pueda responder ante problemas del personal del DPO por ejemplo.
- Que se identifique la línea de reporte, como por ejemplo, dice la CEDPO, en un organigrama.
En cuanto a su ubicación física, en caso de entidades con varias sedes, la CEDPO entiende que las claves para asegurar una protección efectiva por parte del DPO tiene que ver con su accesibilidad, no dependiendo sólo de sus propias habilidades, sino de una buena “red” local, por ejemplo, profesionales de privacidad locales que garanticen el conocimiento local jurídico y de lengua adecuados.
También se comentó en la jornada que no todas organizaciones necesitarán la figura del DPO pero sí alguien que vele por el cumplimiento de las normas, como pudiera ser un Compliance Officer.
6. ¿Responsable a título individual?
La CEDPO defiende que el DPO no debería responder individualmente ya que es la organización quien debe responder de todo incumplimiento, sin perjuicio de que en algún caso el DPO, como cualquier otro empleado o contratista, pueda resultar negligente y por tanto responsable, de los daños y perjuicios sufridos por la organización.
En cuanto a las tareas que desarrolla el DPO, en concreto, respecto de la función de registro de actividades de tratamiento, que conforme el RGPD podrá llevarse a cabo por el responsable o su representante, la CEDPO indica que el DPO podría ser éste representante, sin entender que de esta manera exista un conflicto de intereses.
En la citada jornada se defendió la necesidad de separar en dos personas distintas al ya conocido Responsable de Seguridad y al DPO, ya que no hay que olvidar que mientras que en el primer caso estamos ante la persona que pone en marcha las medidas de seguridad, en el segundo caso, a juicio de muchos, debería ser quien organice y estructure un programa de cumplimiento. Por tanto responden a figuras distintas y sobre las cuales sería recomendable que exista interlocución separadamente.
7. ¿Deberíamos hablar de Data Protection Officer o de Data Protection Office como órgano colegiado?
El nivel de conocimientos de un DPO debe incrementarse constantemente y estar actualizado, es por eso que la CEDPO recomienda que exista un desarrollo continuo como requisito implícito para el DPO que responda y reúna requisitos técnicos y jurídicos.
Durante la jornada, se propuso como requisito imprescindible para ser un buen DPO, no sólo la formación que contempla el RGPD, sino cursos de habilidades directivas para entender el funcionamiento, operatividad y estrategia empresarial.
Según esto, quizás no estemos hablando tanto de la concentración en una sola persona de todas estas capacidades y habilidades como “Data Protection Officer” sino que, bajando al mundo real, podría configurarse como una labor conjunta entre distintos responsables como un “Data Protection Office”.
De manera que, podemos observar como el surgimiento de esta figura ha provocado movimiento e interés por parte de las distintas instituciones del sector , involucrándose en su adecuada implementación tras al nuevo reglamento, pero no olvidemos que el DPO aunque de un lado parece ser la figura perfecta a todos nuestros problemas, combinando un perfil profesional mixto de apariencia excelente, de otro lado, todo apunta a convertirse en la práctica en el “chivato” o “poli malo” de la empresa, por cuanto no puede ser destituido ni sancionado y solo debe rendir cuentas ante el alto nivel jerárquico. Si bien, no olvidemos que pasa a ser un elemento crucial de primer nivel dentro de una organización.
Como apunte final, debemos plantearnos: ¿Podría la inteligencia artificial sustituir las funciones de un DPO? Cuestión que fue debatida en la citada jornada y para la cual hubo un cierto consenso, entendiendo que, sin perjuicio de labores más técnicas como pudiera ser la evaluación de riesgo, la función del DPO debe basarse en la organización, comunicación e interactuación en la empresa cualidades que, por mucha inteligencia artificial que hubiera, difícilmente podrían llegar a sustituir al ser humano por el alto nivel de involucración y valoración que conllevan.
La AEPD está trabajando en una hoja de ruta sobre todas estas cuestiones que publicará a finales de mes. Os iremos informando…
Puede accederse al documento original de la CEDPO aquí.
Lara Puyol
Departamento Legal