Carlos B Fernández. El Delegado de Protección de Datos, DPO o DPD como es denominado indistintamente, es un cargo introducido por el Reglamento general de protección de datos (RGPD) en 2016. Carece de tradición regulatoria en nuestro ordenamiento y casi de experiencia práctica en la que apoyarse. Por ello, los profesionales que lo desempeñan no tienen muchos referentes previos en los que apoyarse y puede considerarse en muchos sentidos una figura en fase de construcción.
Se trata de un nuevo rol de designación obligatoria, con carácter general, por las entidades que basen su actividad en el tratamiento a gran escala de datos personales, así como en las administraciones públicas.
Sus funciones básicas aparecen recogidas en el artículo 39 del RGPD y, muy simplificadamente, consisten en informar, asesorar y supervisar que todos los estamentos de su organización cumplen con las obligaciones que les incumben en materia de protección de datos, cooperando para ello con la autoridad de control.
Se trata de una relación engañosamente simple, que oculta la dificultad de una tarea muy compleja que se resume en que si la persona designada para el cargo carece de competencia para desempeñarlo o incurre en negligencia al realizarlo, las consecuencias pueden ser muy graves. No solo para su organización, que puede sufrir muy severas sanciones. También para las personas titulares de los datos maltratados, cuyos derechos fundamentales a la intimidad personal o familiar, honor o imagen cabrían verse seriamente perjudicados.
Pese al esfuerzo divulgativo desplegado por la Agencia Española de Protección de Datos (AEPD) y las asociaciones profesionales involucradas, desde la publicación del RGPD, muchas áreas del trabajo de un DPO son todavía poco o mal conocidas. O simplemente, no han tenido ocasión de ser puestas en práctica.
Por todo ello, se hacía necesario poner en marcha un punto de encuentro en el que estos profesionales pudiesen reunirse para intercambiar conocimientos y experiencias. Y ese ha sido precisamente el objetivo del Primer Congreso Nacional de Delegados de Protección de Datos organizado por Wolters Kluwer, celebrado en Madrid y del que damos cuenta a continuación
Como destacó en la presentación del acto Vicente Sánchez Velasco, CEO del Wolters Kluwer España y Portugal, se trata de “una oportunidad magnífica para sentar las bases de una cultura sólida de protección de datos, equilibrando la seguridad jurídica con los derechos de los interesados y la prosperidad de los negocios”.
Posición, funciones y responsabilidad del DPO
Para empezar, la primera mesa del Congreso, moderada por Borja Adsuara, profesor, abogado y consultor, sirvió para presentar las características principales de esta figura y los desafíos a los que se enfrenta.
Y Cecilia Álvarez Rigaudias, presidenta de la Asociación Española de profesionales de la privacidad (APEP), los dejó bien claro desde el principio: La función del DPO es muy estratégica. Todas las compañías están en pleno proceso de transformación digital y este es imposible llevarlo a cabo sin un DPO.
Se trata de un cargo complejo. “Uno no se hace DPO con un curso de tres meses, ni siquiera de un año”, señaló. En una idea que se repitió una y otra vez a lo largo de todo el Congreso, destacó que para ejercer de DPO se requieren conocimientos, pero también experiencia y recursos, tanto técnicos, como económicos y humanos: “para desarrollar programas de protección de datos hacen falta recursos”. Y no solo eso, también hacen falta “padrinos” internos que desde los estamentos adecuados de la organización, apoyen el proyecto.
Además, es fundamental que el DPO entienda el funcionamiento de la empresa y que realice su trabajo sin intentar atenerse exclusivamente al tenor literal de la norma, intentando entender el espíritu de la norma.
José López Calvo, DPO del Consejo Superior de Investigaciones Científicas, precisó las funciones del puesto con un ejemplo muy gráfico: “Si te duele la cabeza en protección de datos, acude a tu DPO. Él es el elaborador de criterios y el solucionador de problemas en esa materia”, el DPO “tiene que estar solucionando problemas”.
¿Debe ser un cargo interno o externo?
Uno de los debates más repetidos en torno a la figura del DPO es si debe ser un cargo interno de la organización, integrado en su organigrama, o externo a la misma (art. 37.6 RGPD). Y sobre este aspecto, Agustín Puente, socio de Broseta y durante años Director Jurídico de la AEPD, se mostró partidario de un DPO externo. En su opinión, el no formar parte de la organización le provee de un plus de independencia muy necesario.
Sin embargo, esta figura del DPO externo requiere que exista una cultura previa en la organización, que esta se encuentre concienciada al respecto porque el DPO tiene que participar en el desarrollo de los proyectos, desde sus primeros estadios. Si solo lo hace en su fase final, puede ser tarde, por ejemplo si hay que realizar una evaluación de impacto (o PIA) a última hora.
Coincidió con esta opinión Borja Adsuara, “como cliente, yo me fiaría más de un externo que del DPO interno”, apostilló.
Para elegir un DPO externo hay que basarse en su formación y en su experiencia, pero, advirtió, “si se elige un externo hay que huir de soluciones fáciles y de propuestas de ‘coste cero’”. Algo en lo que más adelantes también coincidiría Miguel Ángel Davara.
Sin embargo, en la mesa dedicada al DPO en el sector legal, José Luis Piñar precisó que el DPO siempre es un cargo interno de la organización, pero que otra cosa es su relación jurídica con la empresa, que puede ser la de persona incluida en su plantilla o externo a ella. De hecho, se relaciona con la AEPD sin contar con ningún poder específico para ello, y es de iure el responsable ante la Agencia.
¿Qué formación debe tener un DPO? ¿Ha de ser un abogado?
Será uno de los temas más repetidos a lo largo de todo el congreso, con práctica unanimidad de todos los ponentes: el DPO debe ser un experto en protección de datos, aunque no tenga que ser abogado (Agustín Puente) También puede serlo un técnico, pero en ese caso será necesario que cuente con conocimientos jurídicos adecuados.
¿Y ser mediador de protección de datos?
Borja Adsuara apuntó que en su opinión, menos problemático y quizás más deseable que ser DPO, es ser mediador de protección de datos, una figura prevista en la ley española (art. 37 LOPDGDD), no en el RGPD, como una figura extra administrativa de resolución de conflictos, que puede ofrecer más garantías de imparcialidad al ciudadano.
Además, añadió, con la mediación, la indemnización que prevé la norma iría al ciudadano, no a Hacienda.
Las dotes de comunicación del DPO
Otro tema frecuentemente mencionado fue la exigencia de que el DPO sepa comunicarse y relacionarse con la organización.
Borja Adsuara lo planteó más radicalmente: la normativa actual está elaborada para las grandes empresas, no para los ciudadanos que son sus destinatarios, porque estamos hablando de derechos fundamentales de los ciudadanos. Pero estos no entienden la Ley. Por ello, la primera obligación del DPO es hacerse comprensible para los clientes, no para o no solo para la Agencia.
Otros ponentes se refirieron a la necesidad de que el DPO sepa hablar a cada departamento de la organización en su propio idioma.
La independencia del DPO
Otro tema muy relevante relacionado con el ejercicio del cargo del DPO, es el de su independencia jerárquica, derivada del art. 38.3 RGPD.
Según Cecilia Álvarez., hay unas falsas expectativas a este respecto. La independencia nunca puede ser total, lo que debe haber es independencia de criterio, que consiste en que el DPO debe dar el mejor consejo que pueda. Para eso hay que tener una experiencia de años.
Se trata de un tema que no tiene que ver con la condición de interno o externo del DPO, según Álvarez “no por ser interno estás más vendido”. En este sentido añadió que el DPO externo, generalmente miembro de una firma profesional, puede estar muy obligado por el concepto de hora facturable. Pero también “a los de fuera les resulta más fácil decir que no cuando es necesario”.
Coincidió con este criterio Agustín Puente. Es una cuestión de cultura, auctoritas y experiencia. Se puede ser independiente siendo interno y externo. Ambas posiciones tienen pros y contras. Lo importante es la cultura de la organización.
Sin embargo, como recordaría en una mesa posterior Jorge García Herrero, en Portugal se decidió a finales de 2018, que ejercer como abogado in house resulta incompatible con ejercer como DPO en la misma entidad, porque se pone en solfa su imparcialidad. Un planteamiento sorprendente y que provoca debate. Del mismo modo, un abogado o consultor que se haya ocupado de la adaptación de una empresa con la nueva normativa también presenta cierta incompatibilidad para ser DPO de la misma, porque cualquier denuncia que pudiese prosperar sería como consecuencia de su trabajo. En general, añadió, en caso de conflicto de interés va a primar más la seguridad que la privacidad.
Responsabilidad del DPO en el desempeño de sus funciones
Cecilia Álvarez recordó que en materia de protección de datos, las multas recaen en la organización, no en el DPO. Ad intra, esto quiere decir que el sistema de responsabilidad funciona igual que en cualquier organización. Pero, añadió, el DPO no es el único que decide en la organización, pues en la toma de decisiones pueden intervenir muchas personas, por ello “el DPO tiene que tener las orejas abiertas”.
Y es que, añadió, la protección de datos se ha convertido en una normativa de expertos para expertos, “pero hace falta un poco de humildad, no somos dioses. Todos dentro de la organización tienen algo que decir”.
Algo en lo que coincidió López Calvo, quien añadió que el DPO no es un juez situado en su atalaya. Y aunque en el ámbito público, la Administración no puede ser sancionada, “no se toman decisiones desde la atalaya. Hay que acercarse al trabajo de la organización y a sus necesidades. Por ello el DPO debe conocer qué se está haciendo y por qué es necesario tratar datos en cada caso, intentando buscar una entente entre los diversos intereses en juego”.
Adsuara apuntó su opinión de los problemas surgen cuando el DPO hace su función y formula las advertencias que considera necesaria, pero la dirección decide hacer caso omiso a las mismas, porque considera que le compensa el incumplimiento a cambio del beneficio que pueda obtener.
No estuvo de acuerdo Cecilia Álvarez, quien defendió que en su experiencia nunca ha visto esa postura. Si bien reconoció que “los comportamientos más superficiales suelen producirse entre los mandos intermedios, no a alto nivel. Solo cuando no se está acostumbrado a tomar decisiones sin asesoramiento se puede decidir de esa manera“.
A este respecto Agustín Calvo añadió que si el DPO se cierra en banda a toda propuesta del negocio, o hace dejación de sus funciones, sí puede ser responsable. “Lo ideal es llegar a una entente, señaló, pero cuando la parte jurídica solo es vista por la dirección como una molestia o un freno frente a la comercial, el acuerdo es difícil”. En esos casos, si el DPO considera que la actividad propuesta puede vulnerar la normativa de protección de datos, que dejar constancia de ello, incluso, sin ser chivato, reportándolo al máximo nivel directivo.
Adsuara concluyó señalando que al DPO “le pagan por proteger los datos, por eso debe estar muy cerca del responsable de los datos en la organización”. Hoy la economía depende de que fluyan los datos. Por eso no hay que meterlos en una caja fuerte, sin más. El RGPD también “protege la libre circulación de los datos”.
