Confilegal
El Reglamento Europeo convierte en claves a los Responsables de Privacidad
Al fondo Paloma Llaneza y Cecilia Alvarez, presidentas de la sección del ICAM y de APEP.
Abogados, Colegios

El Reglamento Europeo convierte en claves a los Responsables de Privacidad

Luis Javier Sanchez
18 Marzo, 2017

A un poco más de un año de la entrada en vigor del futuro Reglamento Europeo de Protección de Datos, este miércoles la Asociación de Profesionales de Expertos en Privacidad (APEP) en colaboración con la sección TIC del Colegio de Abogados de Madrid (ICAM) celebró una interesante jornada para abordar la figura del responsable de protección de datos, Data Protection Officer (DPO), y su papel en la empresa.

Tras diferentes debates que abordaron sus competencias, relación con el regulador y perfil profesional, los expertos coincidieron en que ante la complejidad del Reglamento Europeo, las empresas tendrán que tener un experto en privacidad que gestione este tema. El DPO ha venido para quedarse y convertirse a medio plazo en una profesión.

Paloma Llaneza, presidenta de la sección TIC del ICAM, reconoce que desde su despacho se ofrecen a las empresas el servicio externo de Delegado de Protección de Datos (DPO). Desde su punto de vista nace el concepto del abogado 4.0 capaz de poder entender las capacidades de esta nueva profesión al hilo del nuevo Reglamento Europeo de Protección de Datos. “Este abogado tiene una perspectiva diferente de los temas. Con la implantación del citado Reglamento Europeo hay que ver los temas más como un ingeniero o auditor por las complejidades técnicas de la norma”.

La llegada del DPO va a generar en los abogados que piensen de forma diferente, según apunta esta jurista “Es complicado que el abogado sea DPO de su propio despacho. Hay que tener una cierta independencia para poder autocriticarse. Esta figura recuerda mucho a los controllers internos de las grandes organizaciones o del auditor interno. En esos casos debería ser otra persona quien les prestase ese servicio”.

El propio Reglamento señala que contar con un DPO no es obligatorio aunque sí preferente para empresas con determinadas situaciones sobre todo si manejan una gran cantidad de datos u organizaciones grandes.

Todos los expertos señalan la complejidad del Reglamento Europeo de Protección de Datos pero contar con un responsable de privacidad, aquí bajo las siglas DPO no es obligatorio a nivel general. Una paradoja que Llaneza explica así “ A lo largo de la tramitación del Reglamento hubo mucho debate sobre este tema. Seis meses antes de la aprobación del texto final se estimaba un DPO obligatorio y con unas competencias claras en materia de revisión y control de los parámetros de privacidad de cada empresa. Fue al final la propia negociación del Reglamento quien matizó al final esta figura y sus competencias”

En este evento también se habla del DPO y su salida al mercado laboral. Alejandro Kress es socio director de la firma SSQ de cazatalentos. Otro ponente de esta jornada que en su intervención destaca como en determinados países de Europa este puesto profesional ya se va reclamando “Aún en países como España es pronto para ver este tipo de procesos de selección, pero creo que los veremos, sin duda. Estoy convencido que buenos ingenieros podrán ejercer de DPO y que además ese puesto tendrá una movilidad importante de cara a que si trabajas en España puedas ir a un país cercano y dar ese servicio”.

También Llaneza cree que puede ser una profesión en el futuro “todavía estamos lejos de DPO robots aunque algunas decisiones las podría tomar una máquina”.

DPO, un profesional que conoce muy bien la empresa por dentro

El trabajo de un DPO supone un enorme esfuerzo de control interno y de conocer bien la compañía en la que se trabaja. Al mismo tiempo se requieren conocimientos técnicos y jurídicos para entender la normativa vigente y el propio Reglamento Europeo de Protección de Datos: “Se trata de conocer bien la estructura y la parte técnica de la empresa, además de las personas que toman las decisiones en las organizaciones. Y desde ahí es una figura de control y asesoramiento de lo que pasa dentro”, indica Cecilia Alvarez, presidenta de APEP y European Data Protection Officer Lead en los laboratorios Pfizer.

Para esta experta es lógico que pymes con pocos recursos puedan externalizar esa figura de cara a ahorrar costes y a tener ese servicio. APEP es una de las entidades que a través de la certificación ACP-DPO avalará as competencias de dichos profesionales. Para su obtención se requerirá demostrar los conocimientos teóricos necesarios y solvencia en el desempeño de competencias específicas. Para la elaboración de la nueva Certificación ACP, APEP ha adoptado los más altos estándares de calidad internacionales, incluidos ISO 17.024 (cuya acreditación se solicitará) y los establecidos en el propio Borrador Definitivo del Reglamento General de Protección de Datos.

Entidades públicas también cuentan con DPO

Pese a que aún no queda claro cómo se va a estructurar la figura del DPO en el seno de la administración y empresas públicas, entidades como el Centro Superior de Investigaciones Científicas (CSIC) ya cuentan con la figura de su DPO. José López Calvo, abogado y director jurídico de la entidad se ocupa de ese cometido “El papel del DPO en estas entidades coincide con el que debe desempeñar en las entidades privadas. La figura está en fase de consolidación como se sabe porque aún queda año y medio para la aprobación del Reglamento Europeo y éste deja que se introduzcan peculiaridades sobre esta figura en las administraciones públicas e incluso que un DPO pudiera gestionar varias organizaciones públicas”.

Mesa compuesta por Andres Calvo, Cecilia Alvarez y Carmen Pérez.

El trabajo de este profesional tiene que ver con la gestión de la privacidad en esa entidad y también el asesoramiento a los investigadores que dependen de ese centro, en cuanto a la petición de ayudas europeas “En el llamado programa Horizonte 2020 se piden a los investigadores requisitos exigentes en materia de protección de datos, y ahí el DPO es una especie de nexo de unión y coordinación entre la UE y los propios investigadores que no son especialistas en la materia”. En la investigación se tratan datos sensibles, en ocasiones a gran escala, en colaboración con organismos públicos europeos, lo que obliga según la normativa europea nueva a tener ese DPO.

El papel del DPO, responsable de privacidad en la empresa es liderar ese cambio de 180 grados que se genera en la privacidad con el nuevo Reglamento Europeo

Un cambio de 180 grados

La entrada del Reglamento Europeo de Protección de Datos supone un cambio importante en la concepción del modelo privacidad. “Ya no es un modelo tan reactivo como antes, desaparece la obligatoriedad de inscribir los ficheros, ahora hay que demostrar que tu empresa tiene una política activa de privacidad y se debe disponer de un registro de tratamiento”, indica Fernando Ramos, socio-director en DPO&it Law y formador en APEP de futuros DPOS, quien no oculta la dificultad de formar a estos profesionales “Cuestiones como la privacidad por el diseño o la accountability son dos cuestiones que hay que interiorizar como nueva filosofía de la protección de datos. En el tiempo que queda seguro que hay términos, ahora poco claros que quedarán más explícitos para todos”.

Para Cecilia Alvarez, presidenta de APEP, el futuro Reglamento Europeo es una especie de “Código Civil de la privacidad, largo y complejo” A su juicio, el primer antecedente que se tiene en nuestro país es el responsable de seguridad que fijaba la LORTAD de 1992”. Desde su punto de vista será clave el díalogo que se establezca entre estos profesionales como el propio regulador, en nuestro caso, la Agencia Española de Protección de datos (AEPD), un diálogo que hasta este momento ha sido escaso.

Desde esta asociación de expertos en privacidad, en la que hay diferentes perfiles profesionales además del jurídico se busca una presencia mayor en el escenario de privacidad del país “Reclamamos que APEP esté en el Consejo Consultivo de la AEPD para que con nuestra participación se pueden plantear cuestiones de todo tipo al regulador”, apunta Alvarez. Para esta experta “el DPO no es un policía, sino un elemento de confianza en las empresas”. Es consciente que debe tener un papel clave en la organización y realizar su trabajo con lealtad e integridad.

La intervención de Andrés Calvo, responsable de la Unidad de Evaluación y Estudios Tecnológicos en Agencia Española de Protección de Datos es seguida con atención. Se apoya en una completa presentación para explicar al detalle las múltiples competencias del DPO en cualquier organización empresarial ante el silencio de los asistentes. “Es posible que el DPO en la administración pública acabe siendo un funcionario de cara a preservar su independencia aunque aún está por ver”, señala.

La jornada de APEP fue seguida con gran interés y tuiteada en redes sociales.

Respecto del cambio de modelo tradicional al proactivo del Reglamento en materia de privacidad, Calvo anuncia que “la Agencia dejará un tiempo razonable para la transición de un modelo de privacidad a otro”, indica. Más de un respiro de tranquilidad en la sala. En opinión de Ramos, partidario de la existencia de esta figura “se ha perdido una gran oportunidad de regular las competencias del responsable de privacidad que es necesaria en la empresa. Lo veo mejor a nivel interno que fuera externalizado donde salvo en pequeñas pymes no se justifica dicha externalización”.

Perfil abierto y plural del responsable de privacidad

Todos los expertos coinciden en la necesidad que el DPO exista en las empresas pese a que el Reglamento no lo obliga salvo en casos muy concretos. Respecto al perfil de ese profesional, éste es otro debate que se abrió en su dia cuando desde la Agencia de Protección de Datos se comentó que no era obligatorio que fuera un abogado.

De la misma tesis es la propia presidenta de APEP, donde se insiste en que hay que tener conocimientos jurídicos importantes aunque no excluye que DPO pueda ser ingeniero, consultor o experto en marketing. Desde el ICAM, su diputada novena y secretaria de la Junta de Gobierno, Carmen Pérez Andújar considera que debe ser la abogacía quien lidere esta actividad en el futuro. “Lo que queda claro es que las responsabilidades en caso de sanción son de la empresa y el DPO lo único que hace es gestionar esa privacidad de cada entidad”, apunta.

En la sala la intervención de Ana Regidor, chief Privacy Officer en Amadeus IT Group desde el 2009 sirve para conocer desde el punto de vista práctico el funcionamiento del día a dia de estos profesionales. “El trabajo de un DPO es el de organizar la privacidad de la empresa y estar al tanto de que la actividad de nuestra empresa cumpla la legislación vigente”. Describe su departamento en el que hay seis profesionales, “tres de ellos son abogados, el resto tienen perfiles diferentes. Es evidente que el puesto tiene un componente tecnológico importante que se debe estudiar”.

Un DPO como ella tiene que entender que “el modelo de privacidad ha cambiado de forma radical. Ahora se trata de ser proactivo y diseñar una política de privacidad en ese sentido. Según comenta el propio Reglamento el diseño de los Códigos de Conducta de cada empresa ya es un elemento que avala esa política activa, donde serán necesarios disponer de libros de registros de esas actividades”. Estos profesionales, serán cada vez más demandados por las empresas “deben conocer muy bien lo que es la empresa y quien toma las decisiones y ser el punto de contacto de la compañía con el propio regulador”.

El perfil del DPO con un componente jurídico importante no excluye a que sea asumido por ingenieros, técnicos de informática o expertos en marketing, además de abogados. En caso de sanción la responsabilidad recae en la empresa no en este profesional.

 

Luis Javier Sanchez

Luis Javier Sanchez

Periodista jurídico, comunicador y consultor de comunicación. @luisjasanchez


Leave a Reply

Be the First to Comment!

avatar
wpDiscuz