La situación del delegado de protección de datos en el quinto aniversario del reglamento
Debería reconsiderarse su rol ya que el modelo de mero acatamiento de la legalidad no contribuye en exceso a la garantía de los derechos fundamentales
Este jueves, 25 de mayo, se cumplen cinco años de la plena aplicación del Reglamento General de Protección de Datos (RGPD) en un contexto de transformación digital llamado a operar cambios sustantivos en nuestro modelo económico. Es un lugar común afirmar que en la Unión Europea (UE) en los próximos años existirá un déficit de dos millones de nuevos puestos. Suelen citarse entre estos perfiles los analistas de datos, los expertos en algoritmos o los profesionales en ética de la inteligencia artificial. Y aunque se subraye la importancia de la privacidad, podemos tener la impresión que el delegado de proteción de datos (DPD) ni está ni se lo espera. Parece razonable que, con motivo de la celebración, debamos interrogarnos sobre cuál es el rol del DPD en el futuro de nuestra economía digital ante un crecimiento cuantitativo y cualitativo del bloque normativo de la UE.
Se trata de un ejercicio aparentemente sencillo. El DPD es un oficial de cumplimiento del que se requiere un alto conocimiento de la normativa propia de la protección de datos y la seguridad, así como capacidades relacionadas con el adecuado despliegue de los tratamientos. Nuestra experiencia demuestra que estos profesionales se integran en las unidades de compliance bajo la dirección de su responsable principal y con una dependencia de directivos de segundo nivel. No esperen encontrar un DPD que dependa directamente del CEO o del consejo de administración o bajo la dependencia de un ministro, sino más bien integrado en una estructura de nivel medio. Por otra parte, y salvo que la organización se enfrente a un altísimo riesgo regulador, se tratará de un profesional de calidad media, del que se espera el seguimiento de un conjunto de procesos altamente formalizados con escasa capacidad de incidencia en la organización. Ello sin contar con aquellos supuestos en los que el modelo de externalización, lejos de integrar al DPD en el ADN de la organización, lo considere como una suerte de satélite.
Cabe plantearse si este modo de entender sus funciones resulta coherente con el modelo económico hacia el que evolucionamos o si plantea riesgos desde el punto de vista organizativo y para la consecución de los objetivos de negocio. Vaya por delante que ningún caso se defiende un modelo de DPD que tome decisiones. La esencia de la figura reside en su independencia, en su capacidad de soporte y supervisión del cumplimiento normativo, ofreciendo soluciones funcionales.
Sin embargo, su marco funcional se encuentra en riesgo cuando el posicionamiento del DPD es residual en lo organizativo y será máximo cuando se le relegue a un papel irrelevante en el diseño de la estrategia empresarial. Este tipo de enfoque es contrario a principios nucleares del RGPD, como el enfoque centrado en el riesgo y la protección de datos desde el diseño. Si el DPD no ocupa una posición que le permita participar activamente en la planificación estratégica del negocio, el resultado será un modelo reactivo de cumplimiento susceptible de generar un altísimo riesgo regulador y de reputación.
Este estado de cosas, se traslada de modo mimético al reconocimiento público de esta figura. Se trata sin duda de un personaje gris al que se vincula con la prohibición y la imposición de barreras artificiales. Poco ayuda que a día de hoy no se hayan ejecutado las previsiones legales y reglamentarias que obligaban a contar con una representación de los profesionales de la privacidad en el Consejo de la Agencia Española de Protección de Datos (AEPD) y la ausencia de un DPD en la dirección de una autoridad de protección de datos en la UE.
Debería reconsiderarse el rol del DPD y el cumplimiento del RGPD. El modelo de mero acatamiento de la legalidad, de posición subordinada y/o decorativa, no contribuye en exceso a la garantía de los derechos fundamentales. Pero a quien más puede perjudicar, sin ninguna duda, es a las organizaciones, que en los próximos cinco años se enfrentan a una transformación digital que requiere de un enorme esfuerzo desde el punto de vista de la adecuación de todos sus procesos a las garantías que impone el RGPD. Tal vez sea momento de repensar la posición del DPD y las condiciones de despliegue de su actividad.
Ricard Martínez Martínez, director de la Cátedra de privacidad y Transformación Digital Microsoft-Universidad de Valencia