Delegado de Protección de Datos

Delegado de Protección de Datos: ¿Pero eso qué es?

 

1.- El Delegado de Protección de Datos es una nueva figura

 

Se trata de un nuevo perfil, creado por el famoso Reglamento General de Protección de Datos o RGPD, el Delegado de Protección de Datos (“DPD” o “DPO”, en sus siglas en inglés, Data Protection Officer) es una nueva figura con importantes funciones y responsabilidades.

Como veremos, no es obligatorio nombrarlo en todos los casos, y ni siquiera es necesario que sea un jurista, pero, ¡un momento!… no nos adelantemos.

2.- El Delegado de Protección de Datos asesora sobre lo que hay que hacer…

  • Tiene que informar y asesorar al responsable del tratamiento (es decir, a la organización, a la empresa), a sus directivos y a sus trabajadores.
  • Supervisar el cumplimiento de la normativa por parte de su cliente.
  • Concienciar y formar al personal en sus obligaciones y responsabilidades en protección de datos personales.

… pero no tiene que hacerlo él, necesariamente.

 

En realidad, el Delegado de protección de datos, indica lo que tiene que hacerse y cómo tiene que hacerse… Luego la empresa puede hacerlo… o no -y después, claro, que cada palo aguante su vela-.

En este sentido la figura se parece mucho a la del auditor, como veremos en seguida.

3.- El Delegado de Protección de Datos puede ser una figura obligatoria…

Según el RGPD deben nombrarlo:

  • Administraciones públicas, (está por ver el ámbito de nombramiento -¿un DPD por ayuntamiento?, ¿un DPD en la diputación provincial para municipios con menos de x habitantes?, ¿un DPD por Consejería?, Un DPD pata negra que coordine a otros DPDs sectoriales de competencia sectorial?, ¿un DPD para dominarlos a todos, atraerlos a todos y atarlos en las tinieblas?.
  • Entidades que -en resumen- realicen tratamientos de gran magnitud o especialmente intensos, ya sea por la naturaleza de sus tratamientos de datos o por la naturaleza de los datos personales tratados;

 

Y según la nueva LOPD, deben nombrar Delegado de protección de datos, además:

  • Colegios profesionales,
  • Centros docentes,
  • Telecos,
  • Prestadores de servicios de la sociedad de la información,
  • Financieras y aseguradoras, empresas de servicios de inversión,
  • Eléctricas,
  • Gestoras de ficheros de morosos,
  • Empresas de marketing
  • Centros sanitarios,
  • Empresas que emitan informes comerciales sobre personas
  • Sector del juego online,
  • Seguridad privada, detectives privados.
  • Federaciones deportivas, si tratan datos de menores de edad.

… o puede ser nombrado voluntariamente, pero bajo el mismo régimen.

4.- ¿Carne o pescado?

El delegado de protección de datos:

  • Puede ser un empleado de la empresa… o un profesional externo que preste este servicio.
  • Puede ser un jurista o un tecnólogo
  • El Delegado de Protección de Datos puede ser una persona física… o una persona jurídica.
  • El mismo DPD puede atender a múltiples organizaciones.
  • Puede estar certificado tras haber pasado unas pruebas homologadas… o no. Será recomendable, pero no imprescindible.

5.- El Delegado de Protección de Datos se parece a un auditor…

  • Porque es obligatorio para las organizaciones nombrarlo en algunos casos (los citados anteriormente).
  • Porque tiene obligación de secreto sobre el ejercicio de sus funciones.
  • Es independiente y no se le pueden dar instrucciones sobre cómo debe desempeñar su cargo
  • Es nombrado por y reporta al máximo nivel jerárquico de cada organización (Consejo de Administración, Patronato, Asamblea, en el sector privado).

… y también se parece a los delegados sindicales…

Porque la empresa u organización no le puede destituir ni sancionar por motivos relacionados con el desempeño de sus funciones (sólo en caso de dolo o negligencia grave, p.ej.). Es más: le tiene que dotar de los medios materiales y humanos necesarios para el desempeño de su función.

6.- El Delegado de Protección de Datos será el vínculo de conexión con la autoridad, con la AEPD

Será el interlocutor entre la empresa y organización y la AEPD en caso de denuncia, inspección, comunicación de brecha de seguridad, etc.

7.- El Delegado de Protección de Datos ejercerá una esencial función mediadora entre los interesados y las organizaciones a las que asesora.

Y ello en dos momentos:

Antes de formular denuncia ante la Autoridad competente, el interesado podrá “dirigirse” al DPD de la organización, para ver qué dice. Se prevén dos meses para que se pronuncie.

Ya interpuesta denuncia, la AEPD podrá remitir la denuncia al DPD de la organización denunciada, para que emita informe antes de admitirla a trámite. También se podrá remitir al responsable de seguridad si la organización no tiene designado un DPD.

Creo que esto ocurrirá siempre o casi siempre. Parece obvio que lo que se pretende es tender puentes entre la organización y el denunciante para que, si las circunstancias lo permiten, puedan resolver privadamente sus diferencias.

Esta función de mediación lo dice todo sobre la necesidad de que el Delegado de Protección de Datos se una figura realmente independiente.

Porque en caso de infracción, el responsable de seguridad no podrá hacer otra cosa que ofrecerle al afectado denunciante un puñado de euros, para tratar de matar el asunto desesperadamente. Y eso en el mejor de los casos. Lo normal será que niegue la mayor y le pase el asunto a sus abogados procesalistas.

Un DPD en cambio, realmente independiente, podrá informar a la organización primero, y al afectado después y tratar de conseguir un buen acuerdo (y no un mal procedimiento sancionador). Que el acuerdo sea realmente bueno marcará el futuro del DPD: si sólo da la razón a la organización o a los afectados, si no es preciso y congruente en sus informes y actuaciones a lo largo del tiempo, su auctoritas y su organización quedará en entredicho.

Nadie mejor que él conoce la situación de la empresa en materia de protección de datos, y puede acercar posiciones entre las partes, y proponer un acuerdo o reparación equitativo.

Si este mecanismo funciona adecuadamente, la AEPD quedará liberada de una muy significativa carga de trabajo. Y bien que le vendrá, porque el medio plazo nos tiene preparados, a la Agencia y a los demás, desafíos muy relevantes.

8.- El Delegado de Protección de Datos puede ser independiente… o puede ser sólo… una patata caliente[1].

Una cosa es que el Delegado de Protección de Datos tenga medios suficientes, estatus independiente, supervise, informe y medie…

Otra cosa es que te emplumen de mala manera el marrón, por no sé, por ser el responsable de IT, por ser el jefe del departamento interno, o porque -por cualquier razón y hay muchas- vienes bien como cabeza de turco, llegado el momento.

En este último caso la organización tendrá a un profesional dependiente, en una situación interesadamente precaria, bajo una presión directamente proporcional al importe de la posible sanción y bloqueado por la responsabilidad.

Y el orfidal es un remedio sintomático, no una solución.

Pero al final, ¿Qué será, será?

A continuación, mi apuesta sobre la realidad del Delegado de Protección de Datos en el futuro, una vez la nueva normativa y la nueva figura se hayan consolidado en la práctica.

  • Muchas, muchas empresas que no están formalmente obligadas a nombrarlo, nombrarán de todos modos un Delegado de Protección de Datos. Porque hacerlo no deja de ser un paso significativo en términos de accountability.
  • Cuando el nombramiento no sea obligatorio, el “agraciado” será normalmente un empleado de la organización.
  • Se contratará, adicionalmente, un servicio externo de apoyo especializado a este DPD interno.
  • Ese servicio será prestado por empresas “mixtas” integradas por profesionales jurídicos y tecnólogos. No hay otra manera de atender todos los desafíos que el Delegado de Protección de Datos debe afrontar.
  • Creo que a medio plazo habrá más DPDs tecnólogos que juristas.
  • El Delegado de Protección de Datos “pura raza”, externo, seguramente quedará restringido a los sectores de nombramiento obligatorio, y a aquellas organizaciones que de verdad tengan voluntad de hacer las cosas bien en el terreno de la privacidad.

Y evidentemente, si buscan un Delegado de Protección de Datos, tienen uno aquí mismito.

 

Muy pero que muy feliz semana.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos

 

[1] Autora del «conceto»: @iurisfriki