Los DPOs piden paso como figura clave en la transformación digital de las empresas La mediación aparece como una de las propuestas desde dentro del propio oficio de Agente de Protección de Datos

Publicado el viernes, 25 enero 2019

De todas las transformaciones que deben afrontar las empresas, la digital se presenta como una de las más decisivas. No solo como cambio de modelo de negocio, si no también como la asunción de una nueva cultura empresarial, empezando por la gestión de millones de datos diarios, muchos de ellos de carácter personal. Los legisladores europeos, y tras ellos los españoles, han puesto sobre la mesa un Reglamento General de Protección de Datos (RGPD) complejo y exigente, que entró en vigor en mayo de 2018. Desde ese momento, la figura que debe dar cumplimiento al nuevo reglamento, el Delegado de Protección de Datos (DPO, en sus siglas en inglés) es vital. Wolters Kluwer organizó ayer en Madrid el primer Congreso Nacional de DPO.

Núria Ribas / @oikit

Una de las mesas redondas del primer Congreso Nacional de DPOs organizado por Wolters Kluwer

“Es un insulto que se vea a los DPOs como un mero coste, porque es realmente una inversión: solo con un profesional bien cualificado y, por tanto, bien remunerado, y al que se le dotan de recursos suficientes, empresas y organizaciones públicas podrán enfrentarse al reto de maximizar el valor de sus datos respetando la dignidad que merecemos los ciudadanos”, asegura Cecilia Álvarez, presidenta de la Asociación Profesional Española de la Privacidad.

Álvarez, una de las grandes expertas en nuestro país sobre protección de datos, cree que demasiado a menudo “muchas organizaciones o prestadores de servicios siguen sin estar debidamente preparados”. Y pone como ejemplo al sector público que, en ocasiones, “ha nombrado DPOs a cargos políticos en vez de a perfiles técnicos”. Eso, para Álvarez, supone “una merma de su independencia y, potencialmente al menos, de su calidad de trabajo”.

Teniendo en cuenta las responsabilidades penales y económicas que se pueden derivar de, por ejemplo, una brecha de seguridad que afecte a los datos personales que maneja una empresa, parece obvio que los DPOs se reivindiquen como esenciales. Y que reivindiquen también un alto grado de profesionalización, tanto si el delegado forma parte de la plantilla de la empresa, como si es un DPO externo.

No eres un buen o una buena DPO con un cursillo de tres meses, ni siquiera con uno de un año. Se necesita mucha experiencia para tener la cualificación adecuada”, señala Álvarez. También si una empresa opta por contratar a un despacho de abogados externo para realizar las funciones de DPO o ayudar al responsable interno. “Pero, atención, al escoger un DPO externo, no puedes ir a lo fácil, al que te hace cuatro formularios y ya”, apunta Agustín Puente, socio de Broseta en el área de Privacidad, IT y Entornos Digitales.

¿Un DPO interno o externo?

Puente cree que es complementario el tener un DPO interno con el hecho de apoyar a esa figura con un equipo de DPO externo. “Creo que un DPO externo puede tener muchas ventajas, empezando por la económica, si la empresa no tiene capacidad para contratar a un departamento de DPO. Además, el equipo externo le aporta a la empresa diferentes perfiles que serían difíciles de tener en la compañía”. Puente añade la ventaja de evitar sobrecargas de trabajo al responsable de protección de datos interno, “porque seguramente a esa persona, antes, se le ha encargado del compliance, del contacto con las entidades de cumplimiento…un largo etcétera al que ahora se suma el cargo de DPO”. La independencia de un DPO externo es otro de los puntos a favor, según Puente, para externalizar esta función.

Interno o externo, lo que queda claro es que la mayoría de las empresas españolas -pymes y micropymes- no tienen muy claro el nuevo Reglamento, a pesar de los años de transición que se dispusieron para irse adaptando. Algunos expertos achacan este desconocimiento a la propia norma.

En realidad, no nos ponemos de acuerdo ni los propios expertos en algunos puntos del Reglamento, hemos legislado una cosa muy complicada”, reflexiona Borja Adsuara, profesor, abogado y Consultor en Estrategia y Comunicación Digital. “La actual norma no está pensada para que la entiendan ni las pymes, ni las personas, que son los auténticos destinatarios de esta norma. La gente no entiende nada”. Adsuara atribuye este problema a que la norma es fruto de intentar consensuar los intereses de los grandes asesores legales en defensa, a su vez, de los intereses de las grandes compañías, no de las pymes y mucho menos de la ciudadanía.

En todo caso, Adsuara, justo cuando se celebra la semana de la Mediación, propone una nueva figura que, en principio, no aparece en el texto del Reglamento pero que tampoco se prohíbe explícitamente: la del mediador de protección de datos. “Está prevista una mediación entre la Agencia de Protección de Datos y el DPO de la empresa que haya, supuestamente, infringido el reglamento. Pero, francamente, la figura parece más un chico de los recados que un mediador”, asegura el profesor Adsuara.

Tenemos que ir más allá, y proponer una auténtica mediación. Las ventajas son múltiples. De entrada, se evitaría que la Agencia Española de Protección de Datos se sobrecargarse de trabajo al tener que atender todas las denuncias por vulneración de protección de datos”, apunta Adsuara.

Además, según este experto, sería una ventaja para los titulares de los datos, porque, “aparte de una respuesta a su reclamación, podrían recibir una indemnización por daños y perjuicios sufridos, mientras que las multas impuestas por la Agencia se ingresan en Hacienda”. Para las empresas infractoras también sería una ventaja la mediación, “porque así tienen satisfechos a sus clientes y seguro que les sale más barato una indemnización que pagar una multa a la Agencia, con el coste añadido del desprestigio mediático”, asegura Adsuara.

 

Sobre el autor
Núria Ribas

Periodista. Más de 20 años de experiencia en medios escritos y en comunicación política y corporativa. Periodismo jurídico, económico, político y cultural. Veraz siempre; parcial, también. @oikit

Comenta el articulo