DPD: conflicto de interés y pelo entre sus principales problemas
[Lo que sigue es más o menos mi speech en el Congreso DPD de 24 de enero de 2019. Es importante tener en cuenta que estaba sentado a distancia-bofetada de Paloma Llaneza y, para sorpresa de todos, salí indemne de la situación]
El DPD parece una figura con connotaciones divinas: “uno y trino”, como decían en “Amanece que no es poco”.
Quizá porque estuve muchos años en un despacho grande con auténtica obsesión por la detección y depuración de conflictos de intereses, me interese la cuestión de la independencia, objetividad e imparcialidad en el abogado y ahora, en el DPD.
El DPD tiene que tener competencias en tres áreas (jurídica, tecnológica y directiva), pero no puede tener atribución formal ni poder material de decisión en ninguna de ellas.
Indice
El DPD tiene que ser entrenador, y tiene que ser calvo
Me van a permitir un par de analogías futboleras:
- Al DPD le va a tocar repartir leña en el área propia
- Meter algún que otro gol en la portería del rival
- Conseguir que todo el equipo (la organización a que asesore) juegue al tiki taka (este chiste se lo tuve que explicar a la Dra Cavoukian herself).
[En este punto, Llaneza me mira de hito en hito y dice a voz en cuello «encima de bloguero, futbolero»]
Mi tesis es que para no incurrir en conflictos de interés, el DPD no puede ser ni defensa, ni delantero, ni centrocampista.
Para hacer lo que tiene que hacer con independencia, no puede pisar el césped. Así que esa tarea sólo lo puede desempeñar un entrenador.
Avanzando en la metáfora, tendrán que estar de acuerdo conmigo en que la historia reciente de los grandes equipos españoles de futbol aconseja que ese entrenador sea preferiblemente, calvo.
Las privilegiadas (y despejadas) frentes de Pep Guardiola y Zinedine Zidane así lo demuestran.
A contrario sensu, el Cholo Simeone lo certifica: no se ha comido (ni comerá) una ensaimada buena en su vida.
Está todo por decirse sobre este tema, pero tener pelo puede ser un problema para ser DPD.
[¿los asistentes que no me reían la gracia se preguntaban: ¿pero quién demonios ha invitado a este tipo?]
Competencias del DPD
Y ahora más en serio:
A la hora de elegir a tu DPD, interesa que tenga competencias sólidas en al menos una de tres distintas áreas, jurídica, tenológica y directiva.
Competencias Jurídicas
Giovanni Buttarelli lleva insistiendo mucho tiempo, y la práctica también es testaruda: el DPD tiene que saber no sólo de protección de datos, también de derecho de protección del consumidor y de derecho de competencia.
Buttarelli sostiene que sólo cuando estas tres disciplinas dejen de ser silos estancos entre sí, los derechos del ciudadano empezarán a protegerse como es debido.
Pero aquí empiezan las paradojas.
Sucede que los abogados que suelen tener esta transversalidad son los que han tenido que lidiar con todos estos temas a la vez, frecuentemente desde despachos multidisciplinares o, más comúnmente, desde la asesoría legal interna de empresas de cierto tamaño.
Conocimos en diciembre pasado que el “Consejo General de la Abogacía Portugués” ha resuelto que las funciones de DPD y las del abogado inhouse son incompatibles (doc tras molesta suscripción gratuita).
Y lo son, en opinión de dicho órgano, por existencia de un conflicto de interés que pone en riesgo su imparcialidad, su libertad de acción y su independencia.
En consecuencia, no se podrá representar en juicio o asesorar legalmente a las entidades a que se asesore como DPD. Del mismo modo, el DPD que quiera seguir siéndolo deberá suspender su alta en el colegio de abogados (¡¡!!).
Distintas voces apuntan además que el consultor o abogado que ha adaptado la organización a la nueva normativa, no podrá ser DPD de la misma.
Aquí el conflicto de interés es más evidente: si una reclamación o denuncia pone de manifiesto que existen deficiencias en la organización o estructura determinada en la adaptación, el DPD tendrá un indudable incentivo para defender su trabajo previo, perdiendo la imparcialidad y objetividad necesarios para suministrar el más correcto asesoramiento a la organización.
Competencias Tecnológicas
El DPD desde luego no necesitará saber picar código, no necesita saber implementar las medidas con sus propias manos, pero cuanto mejor sea capaz de comunicarse con los técnicos, mejor fluirá la información.
El modelo de certificación introducido por el Reglamento sirve, además, para para democratizar la figura más allá de titulaciones universitarias.
Llevo tiempo diciendo que me parece más sencillo para el tecnólogo aprender la parte jurídica de la protección de datos que al revés.
Dicho esto, el DPD no puede coincidir con la figura del responsable de IT, ni con el CISO, CIO, CDO.
También por evidentes conflictos de interés: normalmente el profesional de IT vendrá condicionado a dar excesiva importancia a la seguridad de información y sistemas en comparación con los derechos de los titulares de datos.
Quizá un perfil jurídico tenga más facilidad para ver con más claridad puntos intermedios, o mejor dicho soluciones que permitan, como quiere la Cavoukian, el desarrollo más pleno de, en este ejemplo, la seguridad y la protección de datos.
Conocimiento de negocio
Al DPD le vendrá muy bien tener sensibilidad al daño o perjuicio que sus decisiones o consejos pueden acarrear al presente y futuro de la compañía, pero no puede basar tales decisiones o consejos sólo en esas premisas.
Otro conflicto de interés de caballo.
El DPD no puede ser el directivo de negocio, marketing.
Sea quien sea, no debe tener poder de decisión, porque por definición reporta a quien sí la tiene: al órgano con máximo poder de decisión.
Como conclusiones en relación con estas competencias:
El DPD necesita tener auctoritas, pero no potestas.
Debe ser oído y tenido en cuenta, pero en a medida que además tenga competencia para decidir en materias ajenas a la suya, entrará en conflictos de intereses inhabilitantes de inmediato.
Entonces el DPD puede ser …
¿uno?
Yo creo que sí
¿Puede ser uno solo? Hay escasísimos perfiles con semejante mix de conocimientos. Un ejemplo visible sería Paloma Llaneza. Pero le falla lo del pelo. Miren ese pelazo.
[La Llaneza me mira de hito en hito y dice no sé qué. Honestamente no la entendí. Mejor]
Si Vd. no puede contratar a uno de estos perfiles o si tiene demasiado pelo para su gusto, siempre puede pasar a la siguiente opción:
¿Cualquiera?
Vd. puede adjudicar el cargo de DPD a una sola persona con alguna o varias de las competencias comentadas. Aunque no las tenga todas.
Porque, como dice la doctora Cavoukian, no hay por qué elegir.
Si por elegir entendemos apostar sólo por una de las ventajas que cada perfil puede aportar.
El DPD puede tener cualquiera de los tres perfiles: jurídico, tecnólogo o directivo.
Y no hay por qué renunciar a los demás:
¡Todos!
El DPD tiene que ser un buen entrenador, un buen director de orquesta, un coordinador. Tener la habilidad para conjugar y compenetrar a los distintos perfiles que le den soporte o que le reporten.
Tres secuoyers in da house
Esa integración o colaboración de expertos es posible en una empresa que asesore como DPD al cliente.
También es posible dentro de la empresa del DPD, montando un comité, oficina o como se quiera llamar, con los perfiles necesarios para complementar las competencias que no tenga el DPD.
De lo que se trata es de que cada cual haga aportaciones valiosas dentro de su área de expertise.
Del buen funcionamiento e integración de ese comité u oficina, dependerá que la organización asesorada consiga alcanzar el “tiki taka” en términos futbolísticos, o el win-win en términos de privacy by design con plena funcionalidad de negocio y privacidad. Que es lo que quiere el RGPD.
En definitiva, la única línea roja de la figura, creo, es la de la ausencia de conflicto de interés.
Concluyendo con la chorrada inicial, en definitiva, el DPD tiene que ser la “cabeza visible” –lo más calva posible, por tanto- de la oficina de protección de datos.
Jorge García Herrero
Abogado y Delegado de Protección de Datos. Calvo.