¿Se acabó el todo vale en la protección de datos?

Con el nuevo reglamento de Protección de datos europeo (RGPD) nace una figura que tendrá una enorme relevancia en la gestión de la protección de datos de las empresas: el delegado de protección de datos, que conoceremos como DPD.

Es importante recordar que el rol del delegado de protección de datos no se encuentra recogido en la actual normativa de protección de datos española, si bien es una figura ampliamente desarrollada en otros estados miembros. Esta figura se plantea como fundamental para garantizar el cumplimiento por parte de empresas y entidades de la normativa sobre Protección de Datos.

A pesar de que en los inicios la Agencia Española de Protección de Datos consideraba que no era oportuno establecer un sistema de certificación de Delegados de Protección de Datos, finalmente ha optado por promover un sistema de certificación de profesionales de protección de datos como herramienta útil a la hora de evaluar que los candidatos a ocupar el puesto de DPD, y acreditar así que reúnen las cualificaciones profesionales y los conocimientos requeridos.

Aquí la polémica está servida si tenemos en cuenta que en el mundo de la protección de datos, cualquiera se hacía llamar consultor, lo que eso dio origen a una especie de “mercadillo LOPD” en donde las implantaciones se vendían muchas veces a precio de chupito o canjeadas por créditos asignados a la formación tripartita en claro fraude a la administración.

Creo que todos estaremos de acuerdo en que hacía falta una regulación legal en el mundo de la LOPD que permitiera a las empresas contar con profesionales debidamente cualificados, y que estos a su vez no tuvieran que competir con precios de risa derivados de la falta de regulación legal de la profesión. Lo que no tengo muy claro es si esa acreditación debe ser otorgada o no por entidades certificadoras, tal como propone la agencia:

 “Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por la Entidad Nacional de Acreditación, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados

De momento, dicha certificación no parece ser un requisito indispensable para el acceso a la profesión, sino que será sólo una opción a disposición de responsables y encargados para facilitar su selección de los profesionales llamados a ocupar el puesto de DPD.

Vamos, no es que sea imprescindible desde el punto de vista legal, pero sí de cara a competitividad y el futuro profesional de cualquier consultor que quiera ganarse la vida con la protección de datos.

Sin duda compañeros, estamos ante en nacimiento de otro negocio en auge: Las certificaciones DPD.

¿Quién necesita un delegado de protección de datos?

La presencia del delegado de producción de datos o DPO solo será obligatoria en determinados casos y para ciertos tipos de datos personales.

¿Cómo se elige a un delegado de protección de datos?

El Reglamento requiere que los Delegados de Protección de Datos (DPD) sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos y su capacidad para el desempeño de sus funciones.

Se permite que el Delegado de protección de datos mantenga con responsables o encargados una relación laboral o mediante un contrato de servicios.

No es necesario que cada empresa o entidad tenga un delegado de forma exclusiva ya que se permite nombrar un solo DPD para un grupo empresarial siempre que sea accesible desde cada establecimiento del grupo.

La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes.

Otro requisito a tener en cuenta en la elección del DPD es la total autonomía en el ejercicio de sus funciones, así como la necesidad de que se relacione con el nivel superior de la dirección y que le faciliten todos los recursos necesarios para desempeñar su labor.

Funciones de un delegado de protección de datos

El Delegado de Protección de Datos se considerará como intermediario entre el responsable del fichero, el encargado del tratamiento y las autoridades encargadas de controlar el cumplimiento de la ley.

Los delegados de protección de datos (DPD) tendrán una labor manifiestamente proactiva, ya que su principal misión será implantar las medidas protectoras y de evaluación de impacto en el seno de las entidades responsables.

También deberán encargarse de permitir a los interesados el ejercicio de sus derechos frente al responsable al que representan.

Nota final personal: ¿estarán maduras las organizaciones para incorporar esta figura?

Comments

  1. Aquí va a ver tema, DPO Jurista ? Vs. DPO Técnico ?? Los abogados ya han salido en tromba a por ello e incluso algún bufete de cierto renombre ya vende Masters para formarse como DPO´s a unos precios no muy asequibles, a mi entender el puesto requiere de ambos tipos de conocimiento.

    Saludos

  2. He tenido la oportunidad de ver que algunas empresas cuentan con un delegado para la protección de datos; la idea de esta figura donde he podido conocerla es que este se encarga de velar por la gestión de la información. Es decir, es responsable de establecer el esquema de gobierno y calidad de la información.

    Trabaja de la mano con Seguridad de la Información, pero realizan distintas actividades la primera en pro de proteger y mantener la calidad de la información y el segundo por mantener la confidencialidad, integridad y disponibilidad de la información.

    En conclusión, me parece que que es un tema muy interesante para que continué madurando y de esta forma «administrar» de forma más idónea la información que se posee; tanto la preparación como la experiencia son fundamentales.

  3. ¿Podría indicar en que articulo dice la nueva directiva lo de las empresas de más de 250 trabajadores? Gracias

  4. Art.30. aptd. 5.Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que …

  5. Considerando 13 Con objeto de tener en cuenta la situación específica de las microempresas y las pequeñas y medianas empresas, el presente Reglamento incluye una serie de excepciones en materia de llevanza de registros para organizaciones con menos de 250 empleados.

  6. Buenos días a todos/as y enhorabuena Marina por el post. Has puesto en el disparadero una situación que hace muchos años los profesionales del sector veníamos demandando que se regulara, pero a su vez abre otra vía para la polémica.

    La figura del DPD queda tan indefinida como en su momento quedo la del auditor LOPD: ¿Quién puede auditar?¿Que certificación tiene que tener?, etc. El problema de la figura del DPD es que la indefinición hará que surja un mercadillo DPD como en su momento surgió y sigue ahí de la consultoría LOPD.

    Hemos visto que han aparecido varias asociaciones de profesionales de la privacidad, que de una forma interna certificaban a sus asociados, pero sin un respaldo legal correspondiente. No pido que exista un colegio de consultores LOPD, aunque si por otra parte existe un colegio de agentes comerciales (sin desmerecer la profesión, que yo reconozco que soy un vendedor pésimo), por que no puede existir algo similar y oficial para los profesionales de este sector. De esta forma se dotaría de respaldo y soporte legal y se velaría por la dignificación de la profesión.

    Mucho se han de poner las pilas la AEPD y las entidades certificadoras como para buscar un modelo asumible y que dote de garantías legales tanto para el profesional como para el cliente.

    Mientras tanto, qsuis custodiet ipsos custodes?

    Un saludo

  7. Como siempre Magnifica Marina. Edificante y didactico todo ello. Lo que mas me gusta de este tema es el atrevimiento que tienen algunos «profesionales» por el hecho de trabajar con la legislacion y ya creerse top of the world. Sigue habiendo mucha ignorancia, mucho desconocimiento y muy poco interes por cumplir la ley, parece que quisieran que hubiera un responsable para desentenderse del tema, porque en el fondo (y a veces en la forma) a la mayoria de las empresas no les importa nada el tema.Gracias Marina por traernos luz y taquigrafos al tema.

  8. Hola Marina, muy acertado el artículo. Ya veremos que pasa con el DPO, ya han salido oportunistas que por un «módico» precio te certifican. Pues la verdad, me ha picado la curiosidad y me he mirado el temario de algunos de estos cursos y pobres empresas las que caigan en sus manos… Los que estamos en el sector no necesitamos que nadie nos certifique, una ya está harta de pagar y demostrar sus conocimientos y habilidades. Bastante pagamos ya para que además nos echen otra palada encima.
    Un saludo Marina desde BCN.

  9. Marina Brocca says

    Gracias a todos por vuestros comentarios, habéis aportado muchísimo a este debate, comparto inquietudes con vosotros, veremos cómo evoluciona la situación a partir de ahora, pero desde luego, son tiempos de cambios significativos para los consultores en protección de datos.

  10. Cómo siempre enhorabuena, Marina por tu post, creo que por un lado es necesario algún tipo de certificación porque si no vamos a estar como ahora, que cualquiera que se lea un poco la normativa hace de consultor lopd y los que tenemos la licenciatura tenemos que «tirar» los precios de auditoría para poder competir…
    Pero por otro lado también comparto lo que comenta Inma, yo personalmente estoy también cansada de tener que demostrar mis conocimientos continuamente.
    Creo que la AEPD tiene un papel complicado a la hora de definir la cualificación de los DPO, ya veremos en que queda eso.