El delegado de protección de datos, pieza angular del éxito de la nueva ley
El I Congreso Nacional de DPOs pone de manifiesto la necesidad de una cultura de privacidad en las empresas
El primer Congreso Nacional de DPOs que se celebra en España ha dado voz a las inquietudes de los expertos en pprivacidad que tienen la labor de liderar un cambio de paradigma en la materia que llegó a España con la reciente entrada en vigor de la Ley orgánica de protección de datos.
El evento fue inaugurado por Vicente Sánchez, CEO de Wolters Kluwer en España y Portugal, quien ensalzó el papel de la editorial como referencia en el sector jurídico realizando herramientas tecnológicas en compliance penal y protección de datos. “Los DPOs deben liderar el asentamiento de una cultura sólida de protección de datos en las organizaciones, ahora que se está definiendo el modelo. De esta solidez dependerá la prosperidad de los negocios”, declaró Sánchez.
Uno de los ejes de debate abordados en la primera mesa (‘Funciones y Responsabilidades del DPO’) fue la del papel del abogado en la práctica. Agustín Puente, socio de Broseta y exjefe del gabinete jurídico de la Agencia de Protección de Datos (AEPD), aconseja que si un DPO tiene claro que tu empresa va a hacerlo mal, “debe dejarlo constar y reportarlo al máximo nivel directivo".
Por su parte, Borja Adsuara, profesor, abogado y Consultor en Estrategia y Comunicación digital, añadió que “El DPO no puede ser un autista dentro de la empresa, tiene que estar en contacto con el responsable de los datos”.
En cambio, Cecilia Álvarez, presidenta de la Asociación Española de Profesionales de la Privacidad (APEP) hizo hincapié en la importancia de la experiencia a la hora de ejercer como DPO, así como los recursos que haya puesto la empresa a su disposición.
Papel mediador
A lo largo de la jornada también se plantearon propuestas como la de Adsuara, quien abogó por potenciar la figura del mediador de protección de datos. “Yo quiero ser eso de mayor”, expresó.
Se trata de medidas extrajudiciales de resolución de conflictos que se han puesto sobre la mesa de cara para descongestionar a la AEPD con la entrada en vigor de la Ley Orgánica de Protección de Datos y el Reglamento.
“La mediación puede ser interesante para la empresa, ciudadano y la administración porque les quitará mucho trabajo. Es mucho más ágil que acudir a los tribunales”, explica.
Experiencia digital
En el ámbito formativo, Belén Durán, responsable de cumplimiento regulatorio y secretaria de la junta de la Sección de derecho TIC del ICAB, consideró que hay una amplia oferta normativa, por lo que "no hay solo que controlar el ámbito teórico, sino que es imprescindible la experiencia en protección de datos y añadir el componente tecnológico”.
Por su parte, Jorge García Herrero fue más allá y añadió que el DPO "debe tener conocimientos de privacidad, pero también de derechos fundamentales, derecho de consumidores y de la competencia".
Para completar el perfil, Paloma Llaneza, CEO de Razona LegalTech, es partidaria de fomentar habilidades multidisciplinares. “Da igual cual sea el punto de partida, sino cuál es tu punto de llegada, hay que tener muchas competencias”, subrayó.
Función evangelizadora
Ser DPO dentro del sector legal exige una importante labor de diplomacia, ya que se discute una materia “sobre la que todas las partes tienen cierto conocimiento”, afirmó Javier Álvarez Hernando, abogado y DPO en diversos colegios de abogados españoles, durante la mesa de debate 'El rol del DPO en el sector legal'.
Según explicó Álvarez, esto provoca que en los despachos exista una visión de despreocupación generalizada en materia de protección de datos. "Es un tema que no se toma demasiado en serio", criticó. Por ello, es importante ejercer una actividad de evangelización entre los colegiados. .
Sobre la cuestión de si debe elaborarse un estatuto del DPO, los expertos han discrepado. Por una parte, Álvarez Hernando abogó por la creación uno auspiciado por el CGAE. Por otro lado, José Luis Piñar, DPO en el CGAE y en otras entidades públicas y privadas, defiende que hay que abordarlo con prudencia, por el riesgo de sobrerregulación, y desde asociaciones tan relevantes en esta materia como la APEP. Moisés Barrio, abogado y DPO del Consejo de Estado, comparte esta visión pero se inclina por abordar el desarrollo de este código de conducta desde la Unión Europea.
Figura incomprendida
Hacerse con las exigencias de las nuevas exigencias del RGPD es un reto mucho más grande para las Administraciones Públicas y los pequeños municipios. La imposibilidad de crear equipos numerosos, los conflictos de roles, además de no contar con los recursos adecuados hacen que la figura del delegado en los ayuntamientos y diputaciones tenga un difícil encaje y en la mayoría de casos sea una figura incomprendida. “La corporación tiene que conocer su trascendencia”, reivindica Camino García, DPO del Ayuntamiento de Frigiliana, durante la mesa en la que se abordó el papel del delegado en las Administraciones Públicas.
Además, los profesionales de este sector denuncian que este es un puesto que prácticamente les ha tocado por defecto cuando el tiempo apremiaba. Miguel Ángel del Barrio, DPO de la Diputación de Segovia, explicaba en este sentido que "la norma habla de autonomía, y lo ideal para cumplir todas las premisas es contar con un delegado externo". No obstante, el ámbito local se enfrenta también al reto de la tecnología como la inteligencia artificial o las 'smart cities', donde la figura del DPO no será trascendente. “Las administraciones van por detrás de lo privado”, reconoce Del Barrio.
Por otro lado, la publicidad tampoco se libra de la Protección de Datos. Paula Ortiz, directora jurídica y de relaciones institucionales en IAB Spain, avisaba de que el entramado legal en el marketing digital "no es sencillo". Por tanto, un DPO “tiene que saber de algoritmos, de proyect management, y de interpretación normativa”, concluyó Ortiz.
Adaptarse a lo desconocido
Otra de las temáticas abordadas durante la jornada fue el factor tecnológico, que lleva a los sectores a un constante cambio y movimiento. Por ello, y tal y como apuntó Elena Gil González, abogada e investigadora en el Instituto de Derecho a la Información en la Universidad de Ámsterdam, el DPO “debe estar desarrollándose y adaptándose a los nuevos escenarios que se van formando”. En ocasiones, esto puede significar que se trabaje en un escenario del que no se conoce nada ni se tiene ningún tipo de experiencia específica.
En esta línea, Eva Pané, DPO de Lleida.net, señaló la categoría de especialmente sensible que ostentan muchas veces los datos relacionados con la tecnología. Por ello, es recomendable “minimizar riesgos y elaborar una buena planificación de inicio”. Además, es necesario revisarlo periódicamente y actualizarlo si fuera necesario.
Por último, Ricard Martinez, director de la cátedra de privacidad y transformación digital Microsoft-Universitat de Valencia, señaló que el cumplimiento normativo requiere de una cultura corporativa capaz de entender la norma “como una inversión y no como un coste”. En esta línea, insistió en no enfocar la protección de datos como un requerimiento de ley, sino como “un marco de cumplimiento normativo funcional a la transformación digital”.
'Compliance officer'
Las diferencias entre las funciones del DPO y el Compliance Officer también fueron objeto de aclaración en la jornada. Laura Duque, directora de cumplimiento normativo y control interno de la Mutualidad de la Abogacía, explicaba que estas figuras son distintas y que además “tienen que serlo por el papel de desapego del negocio y todas las demás áreas del compliance”.
Pese a que sus áreas de actuación en algún caso tengan relación, Javier Aparicio, Abogado del Estado en la Agencia de Protección de Datos lo tiene claro: “El DPO es un defensor de derechos fundamentales y el compliance officer tiene un perfil más técnico”.
Por último, José Amérigo, Secretario general técnico del Ministerio de Justicia clausuró el Congreso ensalzando el papel del RGPD como un marco regulatorio que “ha establecido un modelo aplicable a nivel mundial”, y que ha despertado el interés más allá de nuestras fronteras. Tras hacer un recorrido por el arduo trabajo de elaboración de la Ley orgánica de Protección de Datos, concluyó poniendo al alza la función del DPO como “una de las más relevantes que pueden usar las empresas”.
Pincha aquí para conocer todas las novedades de la nueva LOPD.