Siete consejos para cumplir con éxito el papel de DPO en la empresa

El delegado debe elegir aliados dentro de la compañía

Siete consejos para cumplir con éxito el papel de DPO en la empresa

El Reglamento General de Protección de Datos (RGPD) impone a determinadas empresas la obligación de contar con un DPO (o delegado de protección de datos), encargado de cumplir y hacer cumplir la normativa de privacidad en su empresa. No obstante, al tratarse de una figura de reciente aparición, existe cierta incertidumbre con respecto a la ubicación y la actividad de esta figura y sobre cómo debe actuar.

En la jornada "Luces y sombras del rol del DPO en la implementación del RGPD", organizada por la Asociación Profesional Española de Privacidad (APEP), se abordó esta cuestión y se expusieron algunas claves para cumplir con éxito el trabajo de delegado de protección de datos en la empresa.

Función diplomática

El papel diplomático del DPO es fundamental. A pesar de que aparentemente la labor del delegado se reduce a cumplir la normativa,esta figura  "tiene un papel evangelizador y de seducción, sobre todo en su relación con la autoridad”, expone Cecilia Álvarez, presidenta de la Asociación Profesional Española de Privacidad y DPO de Pfizer en Europa.

Según ha explicado, el DPO debe hacer ver a la compañía el valor añadido que supone prestar especial atención a los asuntos relacionados con privacidad y protección de datos. La complicación de implementar el RGPD dentro de la empresa a través del delegado "es un proceso complejo, que requiere que toda la organización se involucre para que funcione". En este sentido, el DPO debe actuar como un "embajador" de los beneficios de cumplir con la normativa europea. 

Además, es recomendable establecer lazos con las autoridades estatales en protección de datos para que exista un vínculo previo al eventual problema que pueda surgir. De esta forma la institución percibe el interés personal y se agiliza la ayuda en caso de una posible infracción al tener un conocimiento, aunque superficial, de la empresa. 

Crear cultura de privacidad

Ligado con la función diplomática del delegado, está la necesidad de promover una "cultura sobre privacidad" en la empresa. Esto es, que tanto directivos como empleados estén concienciados en la importancia de prestar atención a estas cuestiones y trabajar conforme a las pautas dictadas por el RGPD. En este sentido, la responsabilidad de promover una mentalidad favorable hacia la protección de datos y el cumplimiento del RGPD recae tanto en el delegado como en la propia empresa. 

En este sentido, alguna de las medidas que pueden incentivarse desde la empresa es la aplicación de protocolos de actuación para que los empleados de la empresa sepan cómo deben actuar, tanto ante procedimientos regulares cotidianos como para cuando surja algún problema. 

No obstante, para Enrique Peloche, DPO en LaLiga, conseguir integrar la privacidad en el conjunto de procesos de la organización es uno de los mayores retos a los que ha de enfrentarse el delegado. 

Buscar aliados

Es importante buscar aliados dentro de la empresa que acompañen y ayuden al DPO en su trabajo. En este sentido, Carlos García-Mauriño, responsable de protección de datos para EMEA en General Electric Healthcare, destaca que "hay departamentos dentro de la empresa que son aliados naturales, como es el caso de seguridad". No obstante, para conseguir el interés sobre materia de privacidad, debe también generarse.

El DPO tiene una imagen generalizada de ser una figura solitaria. No obstante, tanto las empresas como los mismos delegados deben mentalizarse en un punto de vista inclusivo. La figura del DPO no es la de un espía o un policía infiltrado en la empresa, sino que se trata de un empleado más. La gente tiene que ver a un aliado en el DPO y no ser considerado como un "stopper". Dentro de la organización, hay que buscar a los colaboradores naturales de la privacidad, no sólo al responsable de seguridad, sino a todo el personal concienciados

Elegir batallas

Para destacar el valor añadido que la privacidad da a la empresa, el delegado debe elegir a qué asuntos va a prestar especial atención. Esto es, diferenciar las cuestiones que son realmente relevantes de las que no lo son. 

De esta forma, se proyecta una imagen de credibilidad, fomentando que los administradores de la empresa recurran al delegado en caso de tener dudas o sugerencias sobre cuestiones de privacidad.

Independencia

Un buen DPO debe forjar buenas relaciones con todos los departamentos de la empresa y proyectar una imagen de cercanía y colaboración. No obstante, esto no debe confundirse con la labor "externa" que desempeña. El DPO debe actuar con independencia de los intereses de la empresa, ya que su labor es la de asegurarse que se cumple la normativa y actuar en caso de que no se cumpliera. “Corremos el riesgo de ser utilizados por las organizaciones”, destaca Peloche, y subraya que la misión del DPO, por tanto, es cumplir la ley y no buscar los vacíos legales para esquivarla.

Hacer partícipe a la empresa

Como se ha mencionado anteriormente,el trabajo del DPO debe desarrollarse sin inferencias por parte de la empresa. No obstante, esto no debe ser un impedimento para hacer partícipe a la compañía en la labor que desarrolla.

Como explica Álvarez, el delegado debe "bajar de su torre de marfil" para ser una figura cercana en los distintos departamentos de la empresa y conseguir que se involucre. De esta forma, se logra que la compañía forme parte de la solución y se sienta más implicada con la privacidad. 

Además, este es un aspecto relevante en la relación del DPO con la empresa, ya que como apunta Álvarez, "el DPO no es responsable de los incumplimientos, sino que la que será sancionada es la empresa", aunque el delegado de protección de datos haya podido realizar un mal asesoramiento.

Formación

Por último, la función de DPO requiere de una serie de habilidades muy extensas y complicadas. Para poder desarrollar las funciones de forma eficiente y estar actualizado con la normativa, es necesario contar con una continua formación. Y es que los conocimientos del DPO no sólo deben abarcar conocimientos estrictamente jurídicos, sino que también son de interés los ámbitos tecnológicos y de negocio, entre otros. 

Pincha aquí para conocer todas las novedades de la nueva LOPD.

Normas