Juan José Talens es director jurídico de Iuristec, una consultora especializada en protección de datos que ofrece el servicio de DPD de forma externalizada a empresas e instituciones. En esta conversación nos aclara muchos detalles sobre estos profesionales.
Este jurista recuerda que “esta figura, su origen se remonta antes del RGPD europeo cuando se hablaba de los diferentes borradores. Se veía necesaria su implementación. Antes con la LOPD de 1999 se hablaba del responsable de seguridad. Es evidente que ha evolucionado a lo largo de estos años.
Lo que sí está claro es que estos profesionales “nos encargamos de todo lo que tiene que ver con el cumplimiento normativo en materia de protección de datos de carácter personal”.
Desde su punto de vista tanto el RGPD europeo como la LOPDGDD nueva no definen de forma expresa cuál es su perfil “si habla de cuáles son sus cometidos y los sujetos que están obligados a tenerlo. Ahí el artículo 34 de nuestra ley nacional lo explica al detalle”.
Ahora la propia transposición de la directiva Whistleblowing en España obliga a que muchas entidades cuenten con un DPD que ayude a la gestión del canal de denuncias. “Se convierte en un elemento importante de cualquier empresa”.
Desde su experiencia este experto ofrece algunos consejos para una mejor implementación de esa figura:
1- Tomar la decisión:Externalizar la figura del DPO:
“Es lo primero que hay que ver, si se externaliza por un tercero especializado o lo puede asumir la propia compañía. Para ser un buen Delegado de Protección de Datos (DPD) es fundamental conocer bien el dia a dia de la compañía, lo que ocurre en la organización”:
Es necesario conocer los tratamientos de datos y proyectos que se ponen en marcha, sobre todo en producción o en marketing, áreas que trabajan en datos, se trata de desempeñar tu trabajo con garantías.
A su juicio, esta decisión, ” depende de la organización, cuanto más grande la organización, más importante se hace un DPD interno o externo pero que tenga vinculación directa con departamentos de creación o con aquellos que lleven la estrategia”.
Talens nos indica que “por ley tenemos que rendir cuentas al más alto nivel. No hay subordinación a terceros. El DPD rinde cuentas al más alto nivel esto es al Consejo de Administración o a la propiedad o a quién dirige o establece la estrategia de esa corporación”.
2- ¿Qué papel juega el DPD?:
“En nuestra actividad hay que tener claro que somos aquellos que recibirán denuncia o reclamaciones porque se ha notificado a la AEPD. Nosotros contamos como Delegados de Protección de Datos en cualquier corporación o entidad profesional”.
Esto supone que “cuando algo quiere ejercitar sus derechos personales, como conocer qué información tenemos de él, o rectificar una información o simplemente interponer vamos ser los primeros que tengamos conocimiento”.
Este experto recuerda que el papel del DPD “debe estar visible en la web o en la política de privacidad de la compañía que ocupa ese papel.
3- DPD y responsable del tratamiento dos figuras paralelas:
Este es otro tema importante para Talens “el responsable de tratamiento es quien decide la contratación del DPD y donde se van alojar esos datos. En cuanto al DPD es la figura que asesora y velará porque se cumplan los protocolos que se establezcan”.
Al mismo tiempo nos señala que “ tendrá un papel importante en las evaluaciones de impacto. En determinados casos por la sensibilidad de esos datos hay que hacer dichas evaluaciones para saber si nuestro tratamiento puede dañar datos personales de terceros”.
Desde su punto de vista, estas figuras “deben ser diferentes, el responsable del tratamiento es la entidad que decide sobre el funcionamiento o la gestión que se hace del tratamiento en concreto. El DPD podría ser una persona física o un tercero externalizado que conozca bien la empresa. Son figuras que están previstas para ser diferentes”.
4- Definir Estatuto Jurídico independiente del DPD:
Otra cuestión que nos aclara este experto es que “tanto el RGPD europeo como la normativa nacional basada en la LOPDGDD del 2018 busca crear un estatuto jurídico independiente del DPD”.
El DPD “ahora obligatorio en empresas de más de 50 trabajadores según la directiva Whistleblowing que hay que trasponer, tiene que canalizar situaciones de incumplimiento dentro de la empresa, por tanto debe gozar de una independencia notable, sin subordinaciones de ningún tipo. Por eso rinde a la más alta dirección de la compañía”.
5- Relación directa con la AEPD:
“Cuando la empresa nombra a su DPD hay que comunicar ese nombramiento a la AEPD. Esa falta de requisito o su mala publicidad de quién asume ese cargo ya ha generado las primeras sanciones del regulador a empresas.
La idea es comunicarlo mediante un acuerdo del Consejo de Administración de nuestra compañía “hay que darse cuenta que tanto los organismos públicos como muchas empresas están obligadas a tener con este tipo de profesional. La AEPD toma nota de quien ostenta y crea un Registro que se puede consultar públicamente con todos los DPD.
6- Perfil transversal del DPD:
Sobre el perfil de estos profesionales, Juan José Talens señala que “se habla mucho de su perfil jurídico, pero no debe ser estrictamente jurídico. Al mismo tiempo no debe ser ajeno al conocimiento técnico de la compañía.
Para este experto “es muy importante que conozca bien la empresa a fondo, sobre todo a nivel de actividades relacionadas con el tratamiento de datos de estas entidades. Somos profesionales transversales. Tenemos que conocer qué se cuece en cada departamento”.
Al mismo tiempo “estos profesionales deben tener unos valores personales relacionados con la reserva y prudencia. Debe tener claro lo que puede y no puede hablar. Junto con ello debe ser un profesional riguroso que en su actividad respete a los terceros”.
7- DPD y COmpliance Officer pueden coexistir:
“Es cierto que en algunas organizaciones estas figuras coexisten en el mismo ámbito profesional. De todas formas son perfiles diferentes y no en todas las empresas funciona esa relación tan estrecha en un único profesional.
Para Talens “en aquellas empresas donde funciona es en aquellas donde los riesgos penales tengan un peso específico similar al que puedan tener los riesgos en materia de protección de datos”.
Sin embargo, “esa compaginación de ambas figuras no es posible en entidades donde traten datos especialmente protegidos o aquellas empresas que vivan del dato, como empresas de marketing directo o de desarrollos informáticos. Ahí el DPO solo puede dedicarse a eso”.
8- Gestionar bien requerimientos de la AEPD:
Talens nos explica que es posible que recibamos un requerimiento de la AEPD “es una especie de diligencias previas. Hay que prestar toda la información posible pero también ser capaces que nos están preguntando. En estos requerimientos nos da unas pautas para contestar. Hay que ser capaces de contestar bien a esa posible denuncia”.
Para ese jurista “la respuesta a ese requerimiento debe ser diligente y clara. Si tenemos una duda lo podemos plantear en el mismo escrito. Con ese requerimiento la AEPD quiere saber qué está pasando. En algunas ocasiones al contestar a ese requerimiento se ha logrado que se archivase este asunto”.
Por otro lado, subraya que “si estamos en un procedimiento sancionador hay que andar con pies de plomo. Hay que conocer bien cómo funciona dicho procedimiento. Tendremos una fase de alegaciones tras la cual es posible que tengamos una propuesta de sanción. Se trata de que podamos defendernos con toda la documentación y argumentos que tengamos a nuestra disposición”.
9- Definir protocolo para las brechas de seguridad:
“Ahora mismo es un porcentaje muy alto de aquellas cuestiones que nos ocupan como DPD. En un principio puedes tener la sensación que la brecha de seguridad es algo que abarca todo y que se tenía que notificar cualquier cosa”.
Afortunadamente la AEPD se pronunció sobre este tema sacando una Guía donde habla de cómo notificar las brechas de seguridad. De hecho ha acotado mucho lo que estamos hablando. Se trata de afrontar esta emergencia lo mejor posible conociendo que tipo de datos han sido los afectados.
A este respecto, recuerda que “no es lo mismo que sean datos de salud o de afiliación sindical por poner un ejemplo. Tampoco es lo mismo si estamos hablando de 50.000 registros o de un ensobrado para quince personas. Eso implica que nuestra reacción debe ser distinta para mitigar el daño”.
Talens nos señala “que los primeros momentos de gestionar una brecha de seguridad son claves. Luego antes de las 73 horas que marca la ley hay que notificar la brecha a la propia AEPD. Se trata de explicar lo que es la brecha y qué hemos hecho para frenar su impacto”.
10- DPD debe adelantarse a los acontecimientos:
Como colofón final, Juan José Talens nos señala que “un profesional que trabaje como Delegado de Protección de Datos tiene que adelantarse a los acontecimientos que vayan a producirse en su organización y luego rendir cuentas a su empresa y al propio regulador”.
“Nuestro trabajo tiene una vertiente preventiva y otra correctiva. Es más importante el primero que el segundo. En el caso de las brechas de seguridad muchas se pueden evitar desde la prevención, aunque no podemos evitar el error humano que a veces se produce”.
Al mismo tiempo el DPD, “no puede estar encerrado en su despacho. Su labor al final trata de extender la cultura de privacidad en su entidad o empresa. De esa manera los riesgos existentes a un problema que se suscite en materia de protección de datos serán menores”.
Por @LuisjaSanchez, Periodista Jurídico.