¿Es compatible el cargo de delegado de privacidad y ‘compliance officer’?

Una persona que realice ambas funciones puede encontrarse con un conflicto de interés

La empresa debe garantizar una especial protección a estos profesionales

compliance officer
De izquierda a derecha: C. Campos Acuña, A. Calvo Medina, A. Dulanto (moderador), J.I Canosa y M. Geijo

A falta de un mes para la plena aplicación del Reglamento General de Protección de Datos (el 25 de mayo), aún hay puntos que plantean dudas a empresas, Administraciones y profesionales de la privacidad. Dos de ellos, la interacción entre el compliance officer (responsable del área de prevención de delitos) y el delegado de protección de datos (DPO, por sus siglas en inglés), y la posibilidad de que una misma persona ostente ambos cargos, fueron los temas centrales de la nueva sesión del foro de debate Diálogos de Compliance, celebrado ayer en la sede de la Comisión Nacional de los Mercados y de la Competencia (CNMC).

Si bien a priori no parece que exista ningún obstáculo para que ambas figuras converjan en un único responsable, los expertos mostraron alguna discrepancia sobre los obstáculos que pueden aparecer en el día a día.

Concepción Campos Acuña, secretaria del gobierno local del Ayuntamiento de Vigo, incidió en los puntos en común de ambos cargos, en especial, su función de supervisión del cumplimiento de la normativa en condiciones de independencia y autonomía.

Más objeciones mostró Andrés Calvo Medina, coordinador de la unidad de evaluación y estudios tecnológicos de la Agencia Española de Protección de Datos, que advirtió del riesgo de que exista un conflicto de intereses. En esta misma línea, Miguel Geijo Castany, de la directiva de la Asociación Profesional Española de Privacidad (APEP), aseveró que la conjunción de funciones sería "inviable" si, por ejemplo, las decisiones del compliance officer tuvieran que ser refrendadas por el DPO para salir adelante. Algo que podría suceder, por ejemplo, con la implantación de un canal de denuncias.

Ambas figuras también coinciden en la necesidad de que la organización para la que trabajan les dote de una especial protección o blindaje, un aspecto en el que enfatizó Juan Ignacio Canosa, secretario de la junta directiva de Ascom.

"Quien lleve a cabo estas funciones no puede estar pendiente de satisfacer al responsable de la compañía, sino que debe encontrar un equilibrio que le permita cumplir la normativa en consonancia con los intereses de la empresa", remató Calvo.

Para garantizar la protección del compliance officer y del DPO en las organizaciones, Campos Acuña subrayó que es preciso que ambas figuras cuenten con un estatuto propio que las defina (una reclamación en la que insisten tanto las organizaciones de profesionales de la privacidad y de la prevención de delitos).

Los ponentes coincidieron en que el mayor cambio que introduce el reglamento es de mentalidad y de manera de trabajar, porque no exige nada que no se contemple ya en la actual Ley de Protección de Datos. "Cumple y acredita que cumples" es, según Geijo Castany, lo que se impone en la nueva normativa.

Para Canosa, la clave está en la anticipación, algo que, aseveró, ya han hecho las grandes empresas, que tienen mayor capacidad de adaptación que las pymes.

Normas