DPD conflicto de interés

DPD: conflicto de interés y pelo entre sus principales problemas

 

[Versión redactada de mi intervención en el Congreso DPD de Wolters Kluwer celebrado en Madrid el pasado 24 de enero]

El DPD parece una figura con connotaciones divinas: “uno y trino”, como decían en “Amanece que no es poco”.

Quizá porque estuve muchos años en Garrigues, un despacho muy grande con auténtica obsesión por la detección y depuración de conflictos de intereses, me interese la cuestión de la independencia, objetividad e imparcialidad en el DPD.

El DPD tiene que tener competencias en tres áreas (jurídica, tecnológica y directiva), pero no puede tener atribución formal de decisión en ninguna de ellas.

Me van a permitir un par de analogías :

  • Le va a tocar repartir leña en el área propia
  • Meter algún que otro gol en la portería del rival
  • Conseguir que todo el equipo (la organización a que asesore) juegue haciendo tiki taka.

 

Mi tesis es que para no incurrir en conflictos de interés, el DPD no puede ser defensa, delantero, ni centrocampista.

Para hacer lo que tiene que hacer con independencia, no puede pisar el césped. Sólo lo puede hacer un entrenador.

Avanzando en la metáfora, tendrán que estar de acuerdo conmigo en que la historia reciente de los grandes equipos españoles de futbol aconseja que ese entrenador debe ser preferiblemente, calvo.

Las privilegiadas (y despejadas) frentes de Pep Guardiola, Zinedine Zidane así lo demuestran.

A contrario sensu, el Cholo Simeone lo certifica.

Está todo por decirse sobre este tema, pero tener pelo puede ser un problema para ser DPD.

[los asistentes que no me reían la gracia se preguntaban: ¿pero quién ha invitado a este tipo?]

 

Y ahora más en serio:

A la hora de elegir a tu DPD, interesa que tenga competencias sólidas en al menos una de tres distintas áreas, jurídica, tenológica y directiva.

Competencias Jurídicas

Giovanni Buttarelli lleva insistiendo mucho tiempo, y la práctica también es testaruda: el DPD tiene que saber no sólo de protección de datos, también de derecho de protección del consumidor y de derecho de competencia.

Buttarelli sostiene que sólo cuando estas tres disciplinas dejen de ser silos estancos entre sí, los derechos del ciudadano empezarán a protegerse como es debido.

Pero aquí empiezan las paradojas.

Sucede que los abogados que suelen tener esta transversalidad son los que han tenido que lidiar con todos estos temas a la vez, frecuentemente desde la oficina pequeña de un despacho grande o, más comúnmente, desde la asesoría legal interna de empresas de cierto tamaño.

Conocimos en diciembre pasado que el “Consejo General de la Abogacía Portugués” ha resuelto que las funciones de DPD y las del abogado inhouse son incompatibles (doc tras molesta suscripción gratuita).

Y lo son, en opinión de dicho órgano, por existencia de un conflicto de interés que pone en riesgo su imparcialidad, su libertad de acción y su independencia.

En consecuencia, no se podrá representar en juicio o asesorar legalmente a las entidades a que se asesore como DPD. Del mismo modo, el DPD que quiera seguir siéndolo deberá suspender su alta en el colegio de abogados.

!!

Distintas voces apuntan además que el consultor o abogado que ha adaptado la organización a la nueva normativa, no podrá ser DPD de la misma.

Aquí el conflicto de interés es más evidente: si una reclamación o denuncia pone de manifiesto que existen deficiencias en la organización o estructura determinada en la adaptación, el DPD tendrá un indudable incentivo para defender su trabajo previo, perdiendo la imparcialidad y objetividad necesarios para suministrar el más correcto asesoramiento a la organización.

Competencias Tecnológicas

El DPD desde luego no necesitará saber picar código, no necesita saber implementar las medidas con sus propias manos, pero cuanto mejor sea capaz de comunicarse con los técnicos, mejor fluirá la información.

El modelo de certificación introducido por el Reglamento sirve, además, para para democratizar la figura más allá de titulaciones universitarias.

Llevo tiempo diciendo que me parece más sencillo para el tecnólogo aprender la parte jurídica de la protección de datos que al revés.

Dicho esto, el DPD no puede coincidir con la figura del responsable de IT, ni con el CISO, CIO, CDO.

También por evidentes conflictos de interés: normalmente el profesional de IT vendrá condicionado a dar excesiva importancia a la seguridad de información y sistemas en comparación con los derechos de los titulares de datos.

Quizá un perfil jurídico tenga más facilidad para ver con más claridad puntos intermedios, o mejor dicho soluciones que permitan, como quiere la Cavoukian, el desarrollo más pleno de, en este ejemplo, la seguridad y la protección de datos.

Conocimiento de negocio

Al DPD le vendrá muy bien tener sensibilidad al daño o perjuicio que sus decisiones o consejos pueden acarrear al presente y futuro de la compañía, pero no puede basar tales decisiones o consejos sólo en esas premisas.

Otro conflicto de interés de caballo.

El DPD no puede ser el directivo de negocio, marketing.

Sea quien sea, no debe tener poder de decisión, porque por definición reporta a quien sí la tiene: al órgano con máximo poder de decisión.

Como conclusiones en relación con estas competencias:

El DPD necesita tener auctoritas, pero no potestas.

Debe ser oído y tenido en cuenta, pero en a medida que además tenga competencia para decidir en materias ajenas a la suya, entrará en conflictos de intereses inhabilitantes de inmediato.

Lo que sí le vendrá bien será haber sido “cocinero antes que fraile”.

Así que añadan a unas buenas competencias, un “ex” al abogado interno, CIO, CISO CDO, directivo de un área de negocio, y tendrán un buen candidato. Quizá no perfecto, pero bueno.

Entonces el DPD puede ser …

¿uno?

Yo creo que sí

¿Puede ser uno solo? Hay escasísimos perfiles con semejante mix de conocimientos. Un ejemplo visible sería Paloma Llaneza. Pero le falla lo del pelo. Miren ese pelazo.

Si Vd. no puede contratar a uno de estos perfiles o si tiene demasiado pelo para su gusto, siempre puede pasar a la siguiente opción:

¿Cualquiera?                                 

Vd. puede adjudicar el cargo de DPD a una sola persona con alguna o varias de las competencias comentadas. Aunque no las tenga todas.

Porque, como dice la doctora Cavoukian, no hay por qué elegir.

Si por elegir entendemos apostar sólo por una de las ventajas que cada perfil puede aportar.

El DPD puede tener cualquiera de los tres perfiles: jurídico, tecnólogo o directivo.

Y no hay por qué renunciar a los demás:

¡Todos!

El DPD tiene que ser un buen entrenador, un buen director de orquesta, un coordinador. Tener la habilidad para conjugar y compenetrar a los distintos perfiles que le den soporte o que le reporten.

DPD conflicto de interés

Tres secuoyers in da house

Esa integración o colaboración de expertos es posible en una empresa que asesore como DPD al cliente.

También es posible dentro de la empresa del DPD, montando un comité, oficina o como se quiera llamar, con los perfiles necesarios para complementar las competencias que no tenga el DPD.

De lo que se trata es de que cada cual haga aportaciones valiosas dentro de su área de expertise.

Del buen funcionamiento e integración de ese comité u oficina, dependerá que la organización asesorada consiga alcanzar el “tiki taka” en términos futbolísticos, o el win-win en términos de privacy by design con plena funcionalidad de negocio y privacidad. Que es lo que quiere el RGPD.

En definitiva, la única línea roja de la figura, creo, es la de la ausencia de conflicto de interés.

Cecilia Álvarez lleva años interpretando lo de data protection “officer” en el sentido apuntado de coordinador de una “oficina” con distintos talentos.

Concluyendo con la chorrada inicial, en definitiva, el DPD tiene que ser la “cabeza visible” –lo más calva posible, por tanto- de la oficina de protección de datos.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos. Calvo.