La nueva figura del “Data Protection Officer” (DPO)
Javier Puyol, abogado y socio de Ecix Group
El Data Protection Officer (DPO), figura también conocida como Corporate Privacy Officer (CPO), Chief Privacy Officers (CPO), correspondant informatique et libertés (CIL), el oficial de privacidad o simplemente el responsable de privacidad puede definirse como aquella persona independiente que con una función claramente preventiva y proactiva, supervisa, coordina y transmite la política de protección de datos tanto en el interior de la institución como desde dentro hacia el exterior, siendo el punto de encuentro entre el responsable del fichero o tratamiento, el afectado y la autoridad de control, mucho más por tanto que el simple punto de unión a modo de bisagra entre el departamento de seguridad de la organización y el de privacidad o de protección de los datos personales.
Sus antecedentes normativos los encontramos respectivamente en la propia Directiva 95/46/CE, de Protección de Datos, en sus artículos 18 y 20, con relación a las obligaciones de notificación a las autoridades de control, y en los llamados controles precios, si bien se establecía la existencia de un representante del responsable de tratamiento para finalidades puntuales y concretas; y en los artículos 24, 25, Y 26 del Reglamento 45/2.001, de 18 de diciembre, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos.
Está previsto, del mismo modo , que el reconocimiento de esta figura constituya una de las múltiples novedades que nos traerá el futuro Reglamento General de Protección de Datos comunitario, que actualmente se está debatiendo en el seno de la Comisión Europea, cual es la imposición a nivel europeo de la figura del delegado de protección de datos.
Tal como señala Gracia, si se compara esta figura con la del responsable de seguridad que establecen los artículos 95 y 109 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, se evidencia que el responsable de seguridad tiene actualmente asignadas bastantes menos funciones, menos poder y menos independencia dentro de la organización del responsable o encargado del tratamiento que le ha designado.
El DPO, tal como pone de manifiesto Artico, se prevé como obligatorio para todas las Administraciones Públicas independientemente de su tamaño, para las empresas privadas de más de 250 trabajadores o cuando las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados.
El perfil profesional del DPO, a parte de los actos delegados que la Comisión Europea pueda dictar “a fin de especificar los criterios y requisitos aplicables a las actividades principales del responsable o del encargado del tratamiento contempladas en el apartado 1, letra c), así como los criterios aplicables a las cualidades profesionales del delegado de protección de datos contempladas en el apartado 5” y “a fin de especificar los criterios y requisitos aplicables a las tareas, la certificación, el estatuto, las competencias y los recursos del delegado de protección de datos contemplados en el apartado 1“, deberá responder a “cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las tareas contempladas en el artículo 37.
El nivel de conocimientos especializados requerido se determinará, en particular, en función del tratamiento de datos llevado a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado del tratamiento“. Cabe decir que aunque sólo se mencionan conocimientos en legislación sobre protección de datos, el DPO deberá igualmente tener conocimientos, al ser áreas interrelacionadas, sobre Seguridad Informática, Esquema Nacional de Seguridad y Seguridad de la Información, para el buen cumplimiento de las funciones legalmente atribuidas y otras que de facto, “le puedan caer”.
Para salvaguardar su independencia, se establecen una serie de obligaciones para los Responsables y Encargados de Tratamiento, tales como dotarle de medios materiales y humanos suficientes, que su mandato pueda ser bajo la figura del contrato de prestación de servicios, que su mandato será por periodos mínimos de dos años renovables y que sus datos de contacto deberán ser comunicados a la autoridad de control del Estado Miembro en cuestión y al público en general ya que cualquier interesado tendrá derecho a contactar con el DPO, y es aquí donde tenemos una de sus funciones, la de atender las consultas, quejas y reclamaciones de los afectados.
Así, el nuevo Reglamento que modifica la Directiva 95/46 de Protección de Datos de Carácter Personal (versión 56) enuncia entre las funciones propias de esta nueva figura las que se indican a continuación:
a). Informar y asesorar a la empresa acerca de las obligaciones que le impone el Reglamento, y documentar esta actividad y las respuestas que se han dado a sus peticiones
b). Controlar la implementación y aplicación de las políticas de la empresa en relación con la protección de datos personales, incluyendo la asignación de responsabilidades, la capacitación del personal involucrado en los tratamientos, y la realización de auditorías periódicas
c). Controlar la implementación y aplicación del Reglamento, en particular los requisitos relativos a la protección de datos por diseño, protección de datos por defecto, la seguridad de los datos y las solicitudes de ejercicio de derecho.
d). Asegurarse de mantener la documentación que exige el Reglamento; y controlar la documentación, notificación y comunicación de fugas de datos personales.
e). Controlar la aplicación por la empresa de lo establecido en los análisis de impacto sobre protección de datos, y la solicitud de autorización o consulta previa.
f). Actuar como contacto con la autoridad supervisora, y controlar las respuestas que se le ofrezcan, así como colaborar con ésta dentro de su esfera de competencias, ya sea a su solicitud, o por iniciativa propia
Con independencia de las funciones a las que se ha hecho referencia en el ámbito de dicho Proyecto de Reglamento Comunitario, habitualmente al Oficial de Protección de Datos en el ámbito empresarial, de ordinario, se le atribuyen las siguientes facultades, entre las que se pueden citar las que se exponen a continuación:
a). Establecer, mantener y supervisar el cumplimiento en materia de protección de datos y privacidad.
b). Valorar el impacto sobre el marco de privacidad y la protección de los datos personales de nuevos proyectos o de normas que afecten a la organización.
c). Centralizar la atención de los ejercicios de los derechos de los interesados.
d). Centralizar la atención de las reclamaciones formuladas por los interesados.
e). Centralizar las relaciones institucionales de forma interna con él, todos los departamentos afectados por el cumplimiento: responsables internos de los distintos ficheros, Departamento de Recursos Humanos, Departamento de Tecnologías, Departamento de Seguridad, Departamento Legal, etc.
f). Coordinar las relaciones con la Agencia Española de Protección de Datos y/o, en su caso, con la Agencia de Protección de Datos de la Comunidad Autónoma correspondiente.
g). Supervisar y coordinar la notificación de ficheros.
h). Supervisar la gestión de incidencias.
i). Coordinar los planes de auditoría, ya sea de carácter interno o externo.
j). Impulsar la adopción de medidas correctoras y de mejora para asegurar el cumplimiento de la normativa de protección de datos.
k). Impulsar y promover buenas prácticas en protección de datos.
l). Promover e impulsar la formación, educación y concienciación en protección de datos.
Crespo afirma que la norma europea establece que la actuación del DPO debe estar regida por el principio de control, rendición de cuentas y diligencia debida. El DPO, promoviendo el cumplimiento de la normativa de protección de datos personales, se convierte en un actor esencial para garantizar y proteger la privacidad y seguridad de los datos responsabilidad de la empresa. La elección del DPO se presenta como un factor de imagen positiva que crea confianza, tal como señala Álvarez, ya que si bien los datos personales son un activo valioso de la empresa, y como medida preventiva para garantizar su protección, se nombra al DPO. La propuesta de la Comisión Europea proporciona una gran flexibilidad en relación con el nombramiento de los DPO, ya que las organizaciones pueden nombrar un DPO interno o externo, dependiendo de sus propias necesidades. Es incluso posible para los grupos de empresas el nombrar un único DPO europeo. La flexibilidad del borrador permite ajustarse a las necesidades de organizaciones de cualquier tamaño.
Pese a que puede pensarse que esta figura solo está indicada para aquellas grandes organizaciones de carácter multinacional que tratan datos sensibles y que tienen un interés específico ante el mercado en escenificar su voluntad de proteger los datos personales de sus clientes, lo cierto es que la presencia del DPO empieza a ser habitual en todo tipo de empresas y Administraciones Públicas, siendo las razones diversas y entre ellas, a juicio de Sagaris, algunas de las siguientes:
a). La complejidad legal creciente de los tratamientos de datos personales, con una extensa y compleja normativa aplicable (convenios internacionales, reglamentos, directivas, legislación estatal y autonómica, resoluciones, informes, memorias, instrucciones y recomendaciones de las autoridades de control, sentencias y documentos de grupos de trabajo, entre otros).
A ello debe sumarse los factores relacionados con el propio tratamiento de los datos como son las transferencias internacionales, la subcontratación de los servicios (outsorcing), las cesiones de datos dentro de complejos entramados empresariales, la gestión de grandes cuentas de clientes con motivo de negocios asociados al comercio electrónico o finalmente, la existencia de regulaciones específicas para determinados tipos de tratamientos (menores de edad, datos sensibles, publicidad o videovigilancia, por poner diversos ejemplos).
b). La propia presión del consumidor y por extensión de la opinión pública en general, que fruto de una incipiente conciencia del valor de sus datos personales, exige cada vez más un mayor respeto a sus datos personales y por tanto a si mismo por parte de las empresas y de las Administraciones Publicas, solicitando que los tratamientos sean no solo ajustados a la legalidad, sino que además sean transparentes y éticos.
c). La constatación por las corporaciones que el mejor activo es, en muchos casos, el propio cliente, llámese el socio, el consumidor o el abonado y por extensión, sus datos de carácter personal, y que en definitiva el respeto a la privacidad es un buen negocio pues siendo un valor añadido en sí mismo, se constata que la privacidad bien gestionada genera ingresos a la vez que se evita malas prácticas que puedan empañar la imagen de la corporación.
Finalmente, con relación al papel que ha de jugar esta figura, la 31ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, celebrada en Madrid en noviembre de 2009, establecía como conclusiones relativas a la naturaleza, fines, y demás aspectos relativos a esta nueva figura en el ámbito de la privacidad, las siguientes:
a) La designación, de uno o varios oficiales de privacidad o de protección de datos, con adecuada cualificación, recursos y competencias suficientes para ejercer sus funciones de supervisión, se considera una medida muy adecuada y útil de cara a promover el mejor cumplimiento de la normativa sobre protección de datos, tal y como se establece en la Directiva 95/46/CE de protección de datos.
b) Los Estándares Internacionales sobre Protección de Datos Personales y Privacidad aprobados en la 31ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, celebrada en Madrid en noviembre de 2009, animaban a los Estados a adoptar medidas proactivas en el tratamiento de datos de carácter personal, tanto en el sector público como en el privado, entre las que se encuentra la designación de uno o varios oficiales de privacidad o de protección de datos.
c). En la normativa europea, la designación del oficial de protección de datos se encuentra directamente relacionado con la excepción en la obligación de notificación de los ficheros, en la medida en que la designación de estos oficiales conlleva que la publicidad de los ficheros de la organización queda asegurada por esta figura, pudiendo los interesados acudir a estos profesionales para consultar los ficheros que incluyen sus datos.
d) En la normativa española no se ha transpuesto la previsión de excepcionar la notificación de ficheros ligada a la designación de un oficial de protección de datos.
e) Sin embargo, la Agencia considera de gran valor la posibilidad de establecer canales de comunicación con las personas o departamentos que realicen esta labor relacionada con el cumplimiento en materia de protección de datos y privacidad.
f) En este sentido, durante el tiempo de vigencia de la normativa de protección de datos, diversas iniciativas de carácter proactivo se han desarrollado, tanto por parte de los responsables, como por parte de la Agencia Española de Protección de Datos para facilitar el cumplimiento en materia de protección de datos y privacidad.
g) El rol de oficial de protección de datos debe ser considerado desde una perspectiva más amplia que la centralización de las labores relacionadas con la notificación.
h) También debe ser considerada desde una perspectiva más amplia que la implantación de las medidas de seguridad. De hecho, desde un punto de vista ideal sería recomendable que la labor del oficial de protección de datos se independizará de las labores de seguridad, dado que pueden surgir conflictos de intereses entre un departamento y otro.
i) La labor del oficial de protección de datos tiene que contar con el respaldo decidido de la dirección de la organización asegurando su independencia.
j) Para desarrollar esta función se debe contar con los conocimientos adecuados en protección de datos, normativas relacionadas con el sector de actividad de la organización, conocimientos amplios de la organización, conocimientos de análisis y gestión de riesgos relacionados con los sistemas de información, entre otros.
Por último, si una característica debe presidir la función del DPO, es su plena independencia, no debiendo recibir instrucciones ni del responsable del fichero o tratamiento, ni de cualquier tercero que trate de limitar o condicionar el ejercicio de su actividad profesional en relación con sus funciones en la materia que nos ocupa.
