Ya hemos tratado antes aquí algunas cuestiones de la normativa de protección de datos que entra en vigor el próximo 25 de Mayo y es probable que, por su importancia, volvamos sobre ella antes de esa fecha y durante su vigencia. Con todo, a pesar de que el RGPD he tenido una importante divulgación aún puede haber quien no tenga claro que el anunciado cambio que se avecina requiere una serie de adaptaciones y, sobre todo, cambios en el modo de hacer las cosas en esta materia que es obligatorio implementar. Hoy incidiré en la figura del delegado de protección de datos.

La figura del Delegado de Protección de Datos es una novedad significativa del Reglamento europeo que se ha traspuesto a nuestra normativa nacional con la modificación de la Ley de Protección de Datos. Su función genérica es garantizar el cumplimiento de la normativa de protección de datos en cualquier empresa u organización. Las nuevas conductas que exige la ley en esta materia tienen un denominador común: incrementar la responsabilidad en la gestión que se hace de los datos que se facilitan.

Por eso, las autoridades europeas y nacionales, especialmente, la Agencia Española de Protección de Datos han diseñado esquemas y guías que pormenorizan las nuevas responsabilidades exigibles. Como sabemos de otras ocasiones, cobra especial importancia con la nueva normativa analizar los riesgos, registrar las actividades de tratamiento de datos, proteger el mecanismo de uso de los mismos, notificar cualquier violación de las medidas de seguridad que se desarrollen, evaluarlas y, al mismo nivel, como un instrumento más de ese ejercicio de responsabilidad, contar con un delegado de protección de datos.

Este elemento humano del engranaje es nuevo en nuestro sistema pero no tan desconocido en derecho comparado. La norma europea convierte al Data Protection Officer (DPO) en una herramienta clave del RGPD. El DPO es un puesto bastante común en el derecho anglosajón, normalmente vinculado e integrado en los departamentos de compliance, sistemas de cumplimiento normativo, cuya dimensión y aplicabilidad no solo debería incumbir al ámbito penal sino, como sucede en los países del common law, extenderse al más amplio rango legal posible, para convertir el funcionamiento correcto en un elemento de valor de la propia empresa, además de una condición de partida sine qua non, por supuesto.

El Delegado debe tener conocimientos jurídicos especializados en Derecho de Protección de Datos y actuará de manera independiente. Su sujeción no viene determinada por su pertenencia a la empresa, en su caso, y por tanto sometido a sus criterios, sino que sus funciones contemplan que, desde esa posición independiente, informe, asesore y – particularmente – controle y supervise el cumplimiento del RGPD por parte de la empresa u organización y, más concretamente, del encargado del responsable de protección de datos de la misma.

Llegados a este punto, conviene precisar dos cuestiones. Hemos señalado que debe tener conocimientos jurídicos especializados y ser independiente. Bien, a pesar de ello, en aparente contradicción, no es preciso que sea un jurista y puede ser personal interno de la empresa. En mi opinión, aunque la ley permita estas dos circunstancias, parece que los conocimientos especializados se garantizan más desde la práctica profesional del Derecho con la debida acreditación y que la independencia se verifica mejor si se trata de personal externo a la empresa, con completa ajenidad.

Desde el pasado año, con mayor o menor fortuna, la AEPD desarrolló un modelo de certificación de los Delegados de Protección de Datos, tanto a través de entidades que puedan certificar como de los requisitos que se deben tener para certificarse como Delegado de Protección. ¿Es necesaria esta certificación para actuar como Delegado de Protección? No, es una certificación de carácter voluntario, cuya falta no impide ejercer esas funciones.

La obtención de la certificación no es un requisito para el ejercicio de la responsabilidad de Delegado de Protección de Datos pero está planteada como una garantía más. El esquema establecido por la AEPD para la certificación es razonable, con unos requisitos de acceso a la posibilidad de certificación razonablemente vinculados a trabajos previos en el sector y formación adecuada y la superación de una prueba objetiva, distribuida en tres campos (normativa, responsabilidad activa y técnica).

Es interesante el establecimiento de un plazo de vigencia de la certificación, tres años, que exige para su renovación trabajos efectivos en el campo RGPD y más formación durante el período del certificado para acreditar la actualización permanente. Considero que un sistema jurídico eficaz de protección debe contar con especialistas acreditados que puedan presentar esta garantía. Así que el conjunto final que propongo, de acuerdo con las posibilidades que otorga la ley, es que esta función sea desempeñada por un jurista, externo, certificado y, aunque su cometido sea específico, integrado en un sistema más amplio de cumplimiento normativo integral para la empresa.

No estamos muy acostumbrados en nuestros dominios a prevenir antes que curar y mucho menos a tener en la casa a quien nos señale cómo hacerlo bien y, sobre todo, qué hacemos mal. Que eso además sea a nuestra costa nos duele mucho, por lo general. Creo que debemos apostar por un cambio de mentalidad.

Es más competitivo, y tremendamente más eficiente, cumplir, cumplir bien y cumplir antes: ahora mismo nos añade valor y, dentro de poco, muy poco, no hacerlo así simplemente nos lo restará o incluso nos sacará del juego. Hoy todavía es una buena estrategia jurídica contar con los servicios profesionales adecuados que garanticen el cumplimiento normativo con una perspectiva integral, donde los datos y su protección ocupan un destacadísimo papel; mañana ya no será estrategia, será una condición de partida.

info@veralex.eu

 

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.