DIARIO ECONOMÍA Y NOTAS DE PRENSA

Descifrando el DPO (II)

04 de Abril del 2017 Sociedad, 5368 veces leido
DPO, delegado, RGPD, AEPD, Áudea

A finales del año pasado intentamos descifrar la figura del Delegado de Protección de Datos (DPO), después de conocer la guía interpretativa que el Grupo de Trabajo del Artículo 29 (GT29) publicó con el objetivo de concretar algunas de las cuestiones.

Si bien la citada guía nos aclaró algunos conceptos, nos hubiera gustado que resultara más esclarecedora en determinados puntos. Pero por suerte, estamos ante una temática sobre la que profesionales e instituciones del sector están ofreciendo constantemente su interpretación y experiencia.

Así pues, el pasado 15 de febrero la CEDPO (Confederation of European Data Protection Organisations) redactó, con el apoyo de varias organizaciones europeas de protección de datos, una interesante propuesta en contestación a la guía del GT29 con el objetivo de perfilar las funciones e identidad de la mencionada figura. Unas semanas después, el 16 de marzo, acudimos a la jornada que la Sección TIC del ICAM, junto con la Asociación Profesional Española de Privacidad (APEP), celebró en torno al DPO.

Os contamos las cuestiones más interesantes que hemos podido extraer tanto del documento de la CEDPO como de la citada jornada.

1. ¿Qué es “actividad principal”, “a gran escala” y “observación habitual de interesados”?
A diferencia del RGPD y de la guía del GT29, la CEDPO plantea que para identificar lo que es actividad principal deberá atenderse al objeto social y a los ingresos de la cuenta de pérdidas y ganancias de la empresa.

Por otro lado entiende que el concepto de gran escala que menciona el RGPD debe basarse en el riesgo y no sólo en función del número de empleados, el volumen de datos o la duración del procesamiento de los mismos. Pero, ¿Y qué debemos entender por riesgo?

Asimismo, tanto en el documento como en la jornada, se comentó que actividades de supervisión TI, como las relacionadas con ciberseguridad, protección de activos de la empresa (como la propiedad intelectual, industrial o información confidencial) y cumplimiento, entre otras materias, de blanqueo de capitales, no serían objeto de una observación habitual y sistemática de interesados, por tanto no deberían ser elementos importantes para designar un DPO.

En esta primera parte, parece que la CEDPO introduce nuevas sugerencias para determinar dichos conceptos, pero veremos cómo se aplica en la práctica

2. ¿Perfil de superhéroe?
Como venimos observando, todo apunta a que el perfil del DPO será un puzzle formado por perfiles no solo con distintas cualidades técnicas y jurídicas, sino que deberá responder también a otro tipo de habilidades, tales como dotes comunicativas. Hablamos de un perfil mixto con distintas cualidades, lo que en inglés llaman las “hard skills” y “soft skills”.

Y esto es lo que la CEDPO comparte en su propuesta, no limitando el cargo a quienes tengan exclusivamente conocimientos en Derecho (a pesar de lo que indica el RGPD en su artículo 37.5 RGPD), sino también conocimientos informáticos y de gestión de programas y riesgos, entre otros.

Además, la CEDPO es clara cuando menciona que el DPO velará por el desarrollo de sus funciones, las cuales podrán desenvolverse por el propio DPO o por su equipo.

Con respecto al perfil técnico, a mi juicio, difícilmente un DPO podrá desarrollar su labor sin conocer las técnicas de interpretación de la Ley, las cuales requieren una formación y conocimientos específicos en derecho, aunque no necesariamente deba tener tal formación de base.

Un buen ejemplo de ello, es Carme Sánchez, la responsable corporativa de protección de datos de la Diputación de Barcelona, quien siendo topógrafo ha acabado desarrollando las funciones de un DPO o por ejemplo, la Chief Privacy Officer de Amadeus nos contó cómo la mitad de su plantilla no tenían titulación jurídica.

3. ¿Un ser omnipresente?
¿Dónde debe desarrollar sus funciones, dentro o fuera de la organización? La CEDPO considera que el carácter interno y/o externo de un DPO vendrá determinado por el tamaño, actividades, o condición privada o pública de cada organización, pero que sin embargo habrá casos, como empresas pequeñas o aquellas que tengan similares actividades en el tratamiento de datos, en los que podría resultar coherente compartir a un DPO externo.

Por su parte, la AEPD no descarta la posibilidad de que algunos organismos de carácter público planteen e intenten promover un DPO externo, por lo que podría abrirse una nueva oportunidad laboral de carácter oficial.

4. ¿O tal vez omnipotente?
Mucho se ha hablado del necesario carácter independiente del DPO. La CEPDO entiende que  dicha independencia debe basarse en su integridad y lealtad. Además, opina que  no debemos confundir al DPO con una “mini autoridad de protección de datos”, el CEO de una organización o el representante de los interesados, ya que, como se comentó en la jornada de la Sección TIC, su papel no es el de defensor de las organizaciones.

Según la citada confederación, los principios de integridad y lealtad se corresponden con las siguientes particularidades:

  • Patrocinio y reporte funcional ante los órganos dirección (Ej: Consejo de Administración).n
  • Garantizar el deber de confidencialidad del DPO ante la empresa que lo designó, siendo leal ante su empleador o cliente (según sea interno o externo).n
  • Actuar como un “asesor de confianza” garantizando una adecuada integración en la empresa.n

Parece obvio que estas cualidades deban existir para ser DPO ¿Pero es que para las demás profesiones no se exige tener integridad y lealtad en nuestro trabajo?

Por último, ante un posible conflicto de interés entre el DPO y otros departamentos, la CEDPO apunta que serán departamentos de toma de decisiones sobre las actividades de tratamiento de datos, tales como TI, RRHH o Marketing, con quienes pueda surgir algún conflicto.

En este sentido, ponentes de la jornada, abogaron por tomar soluciones “ex-ante” a fin de poder prevenir este tipo de conflictos, por ejemplo, estableciendo formación de concienciación y sensibilización en la materia a los distintos departamentos.

5. Posición y ubicación del DPO
La clara vinculación del DPO con el más alto nivel jerárquico, conforme el artículo 38.3 del RGPD, responde según la CEDPO, a determinadas características:

  • Un acceso directo y sin filtros a la alta dirección, esto es, sin intermediarios, lo que da lugar a una adecuada protección en el desarrollo de sus funciones.n
  • Que la alta dirección (Consejo o miembro del mismo) supervise sus funciones y pueda responder ante problemas del personal del DPO por ejemplo.n
  • Que se identifique la línea de reporte, como por ejemplo, dice la CEDPO, en un organigrama.n

En cuanto a su ubicación física, en caso de entidades con varias sedes, la CEDPO entiende que las claves para asegurar una protección efectiva por parte del DPO tiene que ver con su accesibilidad, no dependiendo sólo de sus propias habilidades, sino de una buena “red” local, por ejemplo, profesionales de privacidad locales que garanticen el conocimiento local jurídico y de lengua adecuados.

También se comentó en la jornada que no todas organizaciones necesitarán la figura del DPO pero sí alguien que vele por el cumplimiento de las normas, como pudiera ser un Compliance Officer.

6. ¿Responsable a título individual?
La CEDPO defiende que el DPO no debería responder individualmente ya que es la organización quien debe responder de todo incumplimiento, sin perjuicio de que en algún caso el DPO, como cualquier otro empleado o contratista, pueda resultar negligente y por tanto responsable, de los daños y perjuicios sufridos por la organización.

En cuanto a las tareas que desarrolla el DPO, en concreto, respecto de la función de registro de actividades de tratamiento, que conforme el RGPD podrá llevarse a cabo por el responsable o su representante, la CEDPO indica que el DPO podría ser éste representante, sin entender que de esta manera exista un conflicto de intereses.

En la citada jornada se defendió la necesidad de separar en dos personas distintas al ya conocido Responsable de Seguridad y al DPO, ya que no hay que olvidar que mientras que en el primer caso estamos ante la persona que pone en marcha las medidas de seguridad, en el segundo caso, a juicio de muchos, debería ser quien organice y estructure un programa de cumplimiento. Por tanto responden a figuras distintas y sobre las cuales sería recomendable que exista interlocución separadamente.

7. ¿Deberíamos hablar de Data Protection Officer o de Data Protection Office como órgano colegiado?
El nivel de conocimientos de un DPO debe incrementarse constantemente y estar actualizado, es por eso que la CEDPO recomienda que exista un desarrollo continuo como requisito implícito para el DPO que responda y reúna requisitos técnicos y jurídicos.

Durante la jornada, se propuso como requisito imprescindible para ser un buen DPO, no sólo la formación que contempla el RGPD, sino cursos de habilidades directivas para entender el funcionamiento, operatividad y estrategia empresarial.

Según esto, quizás no estemos hablando tanto de la concentración en una sola persona de todas estas capacidades y habilidades como “Data Protection Officer” sino que, bajando  al mundo real, podría configurarse como una labor conjunta entre distintos responsables como un “Data Protection Office”.

De manera que, podemos observar como el surgimiento de esta figura ha provocado movimiento e interés por parte de las distintas instituciones del sector , involucrándose en su adecuada implementación tras al nuevo reglamento, pero no olvidemos que el DPO aunque de un lado parece ser la figura perfecta a todos nuestros problemas, combinando un perfil profesional mixto de apariencia excelente, de otro lado, todo apunta a convertirse en la práctica en el “chivato” o “poli malo” de la empresa, por cuanto no puede ser destituido ni sancionado y solo debe rendir cuentas ante el alto nivel jerárquico. Si bien, no olvidemos que pasa a ser un elemento crucial de primer nivel dentro de una organización.

Como apunte final, debemos plantearnos: ¿Podría la inteligencia artificial sustituir las funciones de un DPO? Cuestión que fue debatida en la citada jornada y para la cual hubo un cierto consenso, entendiendo que, sin perjuicio de labores más técnicas como pudiera ser la evaluación de riesgo, la función del DPO debe basarse en la organización, comunicación e interactuación en la empresa cualidades que, por mucha inteligencia artificial que hubiera, difícilmente podrían llegar a sustituir al ser humano por el alto nivel de involucración y valoración que conllevan.

La AEPD está trabajando en una hoja de ruta sobre todas estas cuestiones que publicará a finales de mes. Os iremos informando…

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

Áudea, Seguridad de la InformaciónDescifrando el DPO (II)

Te recomendamos

Alcampo crea 'Cultivamos lo Bueno'
Alcampo crea 'Cultivamos lo Bueno'
0 | Sociedad | Abril 19, 2024
El proyecto europeo ECO-CRUISING FU_TOUR impulsa una ronda de encuentros en el Mediterráneo para fomentar la transición
El proyecto europeo ECO-CRUISING FU_TOUR impulsa una ronda de encuentros en el Mediterráneo para fomentar la transición
0 | Sociedad | Abril 16, 2024
Record go expande su presencia en Grecia con la apertura de una nueva oficina en Rodas
Record go expande su presencia en Grecia con la apertura de una nueva oficina en Rodas
0 | Sociedad | Abril 16, 2024
Royalton Chic Resorts presenta un paquete todo incluido con jet privado para viajeros en grupo
Royalton Chic Resorts presenta un paquete todo incluido con jet privado para viajeros en grupo
0 | Sociedad | Abril 16, 2024
La Rollerie celebra el Día Mundial del Huevo Benedictine con cuatro propuestas distintas que combinan tradición y creati
La Rollerie celebra el Día Mundial del Huevo Benedictine con cuatro propuestas distintas que combinan tradición y creati
0 | Sociedad | Abril 15, 2024
Cómo una buena acústica influye en la productividad y confort
Cómo una buena acústica influye en la productividad y confort
0 | Sociedad | Abril 15, 2024

0 Comentarios sobre Descifrando el DPO (II)

Tu dirección de email no será publicada. Todos los campos sob oblogatorios.

Publicar nueva notícia
Compartir
Twitter Facebook Stumbleupon LinkedIn

LO QUE MÁS GUSTA

Alcampo crea 'Cultivamos lo Bueno'

19/04/2024

Los coches de alquiler un 15% más baratos que en el 2023, según el comparador CHECK24

16/01/2024

Ceará 2021; el roadshow brasileño en España

15/09/2021

Esta Navidad Hofmann corre por ‘Lo que de verdad importa’ con Hofmann Santa Runner

11/11/2021

Pure Niche Lab apuesta por ideas de regalos premium (cosméticos) por menos de 20€

28/12/2022

La ruta ‘Brugal 1888: El Ron Gastronómico’ recorrerá más de 60 locales por todo el país

11/01/2023

Éxito absoluto de José Carlos García en el ciclo ‘chefs con estrella Michelin’ en La Perfumería

01/03/2023

Silbon presenta la colección ecosostenible y solidaria ‘Oriol X Silbon’, inspirada en el modelo Oriol Elcacho

23/03/2023

Todo a punto para la ronda eliminatoria del Concurso Cocinero y Camarero del Año 2024

16/11/2023

El proyecto europeo ECO-CRUISING FU_TOUR impulsa una ronda de encuentros en el Mediterráneo para fomentar la transición

16/04/2024

Elegidos los participantes para los Concursos Cocinero y Camarero del Año 2024

03/11/2023

Blue Diamond Resorts anuncia emocionantes mejoras en las categorías Diamond Club™ y Star Class™

02/08/2023

El sector del vacuno de leche europeo visita Euskadi buscando las mejores técnicas

11/04/2024

‘Into the Aurora II’: la expedición española para capturar el funcionamiento interno de una aurora boreal comienza el pr

07/03/2024

Lourdes Montes presenta, en primera persona, la colección cápsula ‘Lourdes X Silbon’

13/04/2023


Ultimos comentarios

SERVÍCIOS

LEGAL

Diario Economía www.diario-economia.com
Diario digital de libre participación, formado por agencias, empresas y periodistas que desean publicar notas de prensa y dar así a conocer sus servícios o productos.
Este portal de notas de prensa pertenece al grupo Cerotec Estudios www.cerotec.net, formado por más de 40 portales en internet.
© Diario Economía 2024