RGPD Q&A: el Delegado de Protección de Datos – Parte II

En el anterior artículo Q&A sobre el Delegado de Protección de Datos (DPD o DPO, por sus siglas en inglés) respondíamos a algunas de las preguntas surgidas en nuestros seminarios web sobre esta nueva figura del RGPD. Una vez resueltas cuestiones relativas a quién es exactamente el DPO, cuáles son sus funciones principales o cómo debe actuar frente a datos sensibles, seguimos profundizando en los detalles de esta nueva incorporación del Reglamento.

P: ¿Cómo afecta el RGPD a organizaciones no pertenecientes a la UE tratando datos personales de residentes en Europa? ¿Necesitan estas empresas nombrar un DPD?

R: Siempre y cuando dichas organizaciones reúnan las condiciones establecidas por el RGPD, y la LOPD en su caso, la respuesta es sí.

El ámbito territorial del RGPD es muy amplio, haciendo posible su aplicación a empresas que no estén domiciliadas en la UE, pero que traten datos de carácter personal de residentes en la Unión, aunque bien es cierto que actualmente hay un debate acerca de dónde está el límite en la consideración de residentes: ¿se aplicaría de forma diferente a alguien que está de paso durante unos días en la UE?

P: En Alemania, la función del DPD ya existía, y normalmente son figuras externas a la compañía y no empleados propios.

R: Cierto. La función del DPD ha estado presente en Alemania durante años. Las leyes de protección de datos alemanas son consideradas más estrictas y específicas en comparación con las leyes de otros Estados Miembros de UE. En este sentido, España es comparada con Alemania en relación a la privacidad y protección datos en el ámbito regulatorio y sancionador ya que la implementación de la Directiva de Protección de Datos se llevó a cabo de manera fiel en forma de la LOPD. Precisamente, el proyecto de Ley para la futura LOPD adaptada al RGDP, es mucho más específico que el Reglamento europeo en cuanto a qué tipos de empresas deben de contar con los servicios de un DPD.

En cuanto a la externalización de la función del DPD, ciertamente es algo que se contempla en el RGPD ya que las pymes normalmente no tienen los recursos necesarios o el conocimiento y experiencia que se requiere en materia de privacidad y protección de datos para el desarrollo de dicha función. Por lo tanto, será normal que empresas que necesiten cumplir con este requisito acudan a profesionales externos a la organización para el desempeño de la función del Delegado de Protección de Datos. Es más, no sólo es posible la externalización del DPD, sino que tiene que funcionar de forma efectiva. Esto se debe a que no hay profesionales suficientes con el conocimiento y experiencia adecuados para cubrir todas las posiciones que se prevén necesarias.

Desde mi experiencia en el rol de compliance en materia de privacidad y protección de datos, debo añadir que un DPD que forme parte de la misma organización, ya sea un antiguo empleado (aunque esto puede llegar a ser arriesgado si dicha persona no está preparada) o alguien contratado para ese puesto, normalmente va a ser capaz de aportar más, ya que conocerá la organización de forma precisa y estará en mejor posición de supervisar, asesorar y asegurar el cumplimiento normativo que alguien externo a la compañía.

P: En cuanto al régimen sancionador por parte de la AEPD, ¿qué papel cree que desempeñara el DPD una vez que el responsable y el encargado estén en el punto de mira?

En primer lugar, una de las circunstancias que la creación de la figura del DPD intenta evitar es precisamente la sanción administrativa. En este sentido, la prevención jugará un papel fundamental.

Dicho esto, hay que mencionar que el proyecto de ley de la futura LOPD incluye en el artículo 65.4 la posibilidad de que una reclamación pueda ser gestionada internamente por el DPD, lo cual podría evitar una supuesta sanción si el resultado es satisfactorio.

P: ¿Crees que la figura del DPD necesitará el apoyo de un equipo? En caso afirmativo, ¿qué número de personas prevés que serán necesarias?

R: El apoyo que el DPD recibirá será diferente según la organización en cuestión. Es razonable pensar que la carga de trabajo en grandes organizaciones requerirá la función del DPO. La realidad es que muchas de esas multinacionales ahora mismo cuentan con pocos recursos dentro de la plantilla de empleados para abordar adecuadamente la privacidad y protección de datos, y en especial la adaptación al Reglamento. Esto hace pensar que dichas empresas continuarán en la misma línea de priorización de presupuestos para otros departamentos, lo cual tendrá efectos negativos a medio-largo plazo.

También debemos tener en cuenta que las directrices finales del Grupo de Trabajo del Articulo 29 (GT 29) deja claro que una organización sólo debería nombrar un DPO dentro de la misma, si bien es verdad que puede estar apoyado por un equipo. Esto evitaría una virtualización del rol del DPO.

P: ¿Es ISO 27001 una certificación beneficiosa para el DPD?

R: Teniendo en cuenta que la norma ISO 27001 es un referente internacional para implementar un Sistema de Gestión de Seguridad de la Información, podemos decir que es una certificación muy beneficiosa para cualquier persona que tenga que realizar tratamientos de datos de carácter personal en su trabajo asiduamente.

Además, la gobernanza de la privacidad y protección de datos tiene un carácter multidisciplinar, no hay que olvidarlo. En este sentido, un DPD necesitará de la estrecha colaboración de todos aquellos departamentos en los que se produzcan actividades de tratamiento de datos (que hoy en día son prácticamente todos), tal y como viene exigiendo ya desde hace tiempo cualquier puesto de compliance en materia de privacidad y que, por mi experiencia, es muchas veces difícil por la complejidad que puede tener entender el tema para alguien nuevo. Es por esto que, cuantos más conocimientos complementarios sean adquiridos por parte del DPD, mejor desarrollará su función.

P: ITG forma y da cursos sobre el RGPD, ¿habéis contado con la presencia de DPDs o personas que quieran formase para ello?

R: Disponemos de cursos y formación sobre el Reglamento General de Protección de Datos. La participación varía bastante, sobre todo en cuanto al tipo de responsabilidad que los puestos de dichos participantes entraña.

Muchos de los profesionales que acuden a nosotros para formase han sido recientemente nombrados DPDs en sus respectivas empresas y necesitan actualizarse y conocer los entresijos del RGDP, aunque hay muchas otras profesiones (sobre todo relacionadas con una función de cumplimiento normativo) que pasan por nuestras aulas físicas o virtuales. También vemos muchos profesionales con otros perfiles (jurídico, IT, analítica de datos, gobernanza de la información o seguridad) que quieren especializarse en privacidad y protección de datos y esta es una muy buena manera de iniciarse.

No solo eso, sino que muchas personas que son responsables de sus departamentos o tienen cierto grado de responsabilidad requieren un buen conocimiento del Reglamento ya que, gran parte de su su día a día, se basa en el tratamiento de datos de carácter personal.

Es importante tener en cuenta que estos cursos también contribuyen a la sensibilización del empleado que está expuesto a una interacción clave con actividades de tratamiento de datos, o que toma decisiones relativas a dichas actividades de tratamiento.

Haz clic aquí y descubre nuestro próximo curso presencial de introducción al RGPD >> 

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.