Conoce al DPO, el nuevo garante de la protección de datos

Además de ciertas novedades como el incremento de las sanciones económicas en el caso de su incumplimiento y el requerimiento de obtener el consentimiento como clara acción afirmativa por parte de las personas físicas para el tratamiento de sus datos, otra de las principales novedades clave del nuevo Reglamento General de Protección de Datos (RGPD) de la UE gira en torno a la creación de una nueva figura jurídica: el Delegado de Protección de Datos (Data Protection Officer, DPO).

A partir del 25 de mayo de 2018 comenzará a aplicarse en los Estados miembros dicha  normativa, de la que “conviene recordar que ya se encuentra en vigor aunque sus requerimientos no serán exigibles hasta tal fecha”, según indica Ana López, Directora del área Regulatorio, Administrativo y  Competencia de KPMG Abogados. Además, al ser un reglamento será aplicable a todos los Estados miembros sin la necesaria adopción de esta norma por cada país. “En el caso de que alguno de ellos no cuente con esta adaptación, se le aplicaría directamente la nueva norma europea, indica López.

No obstante, en nuestro país se presentó la semana pasada el Anteproyecto de la Ley Orgánica que pretende sustituir a la vigente en la actualidad. Un borrador que no regula íntegramente esta materia a diferencia de la actual ley orgánica (en vigor desde 1999) sino que aborda diferentes aspectos puntuales del nuevo (y extenso) catálogo jurídico europeo. En este sentido, López añade que “a este anteproyecto se le podría solicitar una mayor profundización y clarificación en determinados conceptos jurídicos y la mayor brevedad posible en su aprobación, si bien esto último parece difícil de alcanzar”.

Funciones y perfil del DPO

En nuestro país, hasta la creación de esta nueva normativa, no era obligatoria la existencia de esta nueva figura: el Delegado de Protección de Datos, aunque sí que era necesario contar con un responsable de seguridad que generalmente dependía de los departamentos de IT. “Este nuevo profesional será la punta de lanza de la nueva estructura de responsabilidad activa de la compañía en privacidad, debiendo estar respaldado por los recursos necesarios y contar con una comunicación activa y directa hacia la alta dirección de la compañía”, señala Javier Aznar, senior manager responsable de Privacidad para IT Advisory de KPMG en España.

“Más allá de su función como asesor y punto de contacto con autoridades como la Agencia Española de Protección de Datos o interesados, el DPO será asimismo el responsable de velar por el cumplimiento de la normativa y la política de protección de datos de la compañía”, sostiene Jorge Aguirregomezcorta, socio responsable del área de Regulatorio, Administrativo y Competencia de KPMG Abogados.

¿Será obligatorio contar con un DPO certificado? Lo cierto es que no, la nueva normativa no contempla la certificación obligatoria de dichos profesionales aunque sí que lo sugiere. “De hecho, hoy, 13 de julio de 2017, la AEPD ha publicado el esquema de certificación del DPO, el cual tiene como objetivo ofrecer cierta garantía a las compañías a la hora de poder valorar la idoneidad, cualificación y capacidad profesional de los futuros DPOs. Del mismo modo, para esta figura el esquema de certificación se presenta como una oportunidad, no una obligación, de adquirir conocimientos específicos para desempeñar este rol”, añade Aznar.

Según el perfil descrito por Aznar, “lo ideal sería que este profesional contara con conocimientos de Derecho y Ciberseguridad y fuese conocedor de la compañía por lo que, aunque puede ser una figura interna o externa, se aconseja para compañías de cierta entidad que esté dentro de la organización. En cualquier caso, no podrá ejercer ningún cargo de responsabilidad que entre en conflicto con su rol”.

En definitiva, el nuevo RGPD implica un cambio significativo en la aproximación que realizan las organizaciones en el tratamiento de los datos que manejan en diferentes aspectos. Por lo que, “será determinante la adopción de una actitud proactiva, en la que la compañía ha de ser la primera en dar un paso adelante en la adopción de medidas y en documentar su diligencia para poder demostrarla ante posibles brechas de seguridad o inspecciones”, sostiene Aguirregomezcorta. El Delegado de Protección de Datos será clave, por tanto, en este principio de responsabilidad proactiva así como en la ejecución de otra de las principales novedades del RGPD: la obligación de notificar la brecha de seguridad de privacidad al regulador (en los casos más graves también al cliente o empleado) dentro de las 72 horas posteriores al evento.