El Delegado de Protección de Datos (DPO) es una figura ya esencial en las empresas, surgida al amparo del Reglamento General de Protección de Datos y cuyos límites, funciones y amenazas aún no se han calibrado lo suficiente. Es por eso que los expertos se preguntan cuál es el papel del DPO en una organización y, sobre todo, a qué debe enfrentarse en su ejercicio diario. Una cuestión que, lejos de ser irrelevante, debe marcar la pauta en un cargo de reciente creación, pero de suma importancia para el correcto tratamiento de los datos personales.
El pasado martes 11 de diciembre 2018 en Madrid, Umbra Abogados asistió a la mesa redonda: «Retos y necesidades de los delegados de protección de datos (DPO) tras el Reglamento General de Protección de Datos” (RGDP), organizada por la APEP (Asociación Profesional Española de Privacidad).
Los ponentes de la mesa , compuesta por Marcos Judel (vicepresidente Primero de la APEP- Abogado – Socio en Audens), Carlos García – Mauriño Díaz (Responsable de Protección de Datos EMEA en General Electric Healthcare), Cecilia Álvarez (Presidenta de APEP y European Privacy Officer Lead de la multinacional farmacéutica Pfizer) y Enrique Peloche Gálvez (Delegado de Protección de Datos en La Liga), comentaron, desde su experiencia profesional, los distintos aspectos del desempeño y evolución de la función de DPO en las diferentes empresas en las que trabajan actualmente.
¿Cuál es la misión del Delegado de Protección de Datos?
Una de las cuestiones que se trataron de partida está relacionada con errores conceptuales que, quizás por lo novedoso de los puestos de trabajo referidos a la protección de datos, suelen cometerse al hablar del DPO y del Responsable de Protección de Datos. En este sentido, los ponentes recordaron que el DPO no es igual al Responsable de Protección de Datos, ya que el Responsable lo es la empresa u organización. Esta aclaración tiene relevancia, sobre todo, para determinar las funciones o responsabilidades de uno y otro.
En líneas generales, como se constató en la mesa, la misión del DPO es hacer cumplir la norma de la mejor manera posible, lo que incluye orientar o asesorar al resto de miembros de la empresa, mientras que la ejecución corresponde al Responsable de Protección de Datos. Asimismo, el DPO debe contar con sentido común, ser independiente, pragmático, tener diplomacia, dar pautas de actuación a los distintos departamentos de la empresa, ser mediador, ser puente, ser enlace con la autoridad de control y actuar como evangelizador, tarea que los ponentes subrayaron como una de las más importantes.
La labor principal del delegado de protección de datos es enriquecer la visión de la organización a nivel de interiorizar todos los conceptos y valores que van unidos al de cumplimiento normativo en general de las organizaciones y crear una cultura de cumplimiento relacionada con la preservación de los datos. Además, el DPO debe crear una cultura de privacidad y explicarla al management, lo que le valdrá para recibir el apoyo imprescindible por su parte a la hora de desempeñar su labor, y esto, asimismo debe ayudar al manager a la implementación de lo que sea necesario, desde los cimientos de las empresas, para contribuir a esa cultura de cumplimiento normativo.
Asimismo, los ponentes hicieron un repaso de la evolución, desde un punto de vista práctico, de la normativa sobre protección de datos desde el comienzo de su regulación hasta los recientes cambios que se han producido de la mano tanto, del nuevo Reglamento Europeo (RGPD), como de la reciente aprobación de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGG) de 5 de diciembre de 2018 que ha procedido a derogar la mítica LO 15/1999.
Implantar una cultura de cumplimiento en la empresa
Uno de los aspectos esenciales en los que coincidieron los ponentes es que el Delegado de Protección de Datos debe tener entre sus aliados dentro de la empresa a cargos tales como el Director de Recursos Humanos, el Director de Marketing o el Director de Seguridad de la Información, ejemplos de lo que debe suponer la implicación de la empresa desde sus órganos de mayor responsabilidad.
Por último, cabe resaltar que el DPO debe mostrar, transmitir y formar en el valor añadido de la privacidad en la empresa, y lograr que no se vea todo lo relacionado con él desde la resignación, como un mal que hay que padecer. Se hizo una puntualización importante que echaban en falta los asistentes, y es lo referido a las Pymes, que en definitiva son la mayoría de empresas de España, concluyéndose que la solución para ellas debe pasar por la externalización del servicio del DPO.
En definitiva, los puntos en común se refieren a la necesidad de que el DPO cree, gestione y se integre en una verdadera cultura de cumplimiento, que resalte los valores y la necesidad de proteger los datos personales, desde una perspectiva ética pero también jurídica. Para ello, será necesario implicar a todos los miembros de la organización y, principalmente, aquellos que tengan una labor directiva y que puedan implantar las recomendaciones del DPO en los distintos departamentos.
Susana Sfameli
Abogada