Los Delegados de Protección de Datos impulsan un grupo de trabajo para profesionalizar esta actividad emergente

Desde la Data Protección Officer Community se analizan los problemas en la actividad diaria de estos profesionalesCarlos Saiz, vicepresidente de ISMS Forum y uno de los impulsores de esta comunidad de DPD, con Mar España, directora de la AEPD en un evento reciente.
|

En el nuevo marco normativo del Reglamento General de Protección de Datos (RGPD) y, como respuesta a la nueva figura del Delegado de Protección de Datos (DPD), ISMS Forum Spain identifica la necesidad de actuar como referente y ofrecer una plataforma para el desarrollo de una nueva comunidad de expertos, formada por estos Delegados y denominada Data Protection Officer Community.

El objetivo es que permita la puesta en común y respuesta ante sus inquietudes.

PUBLICIDAD
PUBLICIDAD

Por eso, este grupo de trabajo nace para promover el conocimiento, la educación, la investigación, el cumplimiento normativo y las mejores prácticas en materia de privacidad y protección de datos de carácter personal, en la Sociedad de la Información, así como la interlocución con instituciones y reguladores, por parte de profesionales.

Carlos Saiz, socio de Ecixgroup y vicepresidente de ISMS Fórum, explica a CONFILEGAL la actividad de este grupo de expertos.

PUBLICIDAD

“Hemos creado una comunidad de DPD, tanto públicos como privados para analizar y debatir en torno a temáticas de máxima actualidad e interés para esta figura, además de generar conocimiento y buenas prácticas en protección de datos, y llevar a cabo acciones de formación, información, concienciación y difusión”.

Este grupo de trabajo ya lleva varios meses trabajando en pro de una mayor profesionalización de esta figura, ahora clave en la privacidad de muchas empresas, tal y como se desprende del nuevo RGPD que entro en vigor el pasado 25 de mayo y la futura LOPD, “donde hay varios capítulos que fija la obligatoriedad del DPD como elemento encargado de gestionar la privacidad y datos personales de las empresas”, explica nuestro interlocutor.

PUBLICIDAD

En esta Data Protección Officer Community coexisten en las reuniones de trabajo empresas multisectoriales, con compañías financieras, seguros, de retail, energéticas, telecomunicaciones y organismos públicos y autónomos.

PUBLICIDAD

“Estamos ante una profesión emergente regulada en cierta manera, pero que no tiene su Colegio Profesional, lo que genera ciertas incertidumbres a nivel práctico”, explica Saiz.  El principal objetivo es respaldar la excelencia del DPD, un profesional bien formado con una amplia red de networking.

Para Saiz, “aún hay mucho que aclarar desde el punto de vista práctico. Es muy importante que cada DPD tenga claras sus responsabilidades, a quién reporta. En este sentido algunos dependen de la dirección de la empresa, otros de secretaria general. En muchos casos ha faltado definir bien el puesto a nivel estratégico para saber realmente qué competencias tiene este DPD”.

Desde esta comunidad de DPD “queremos estudiar la figura, fortalecerla y, sobre todo, trabajar en su profesionalización como experto en privacidad. En la práctica, es fundamental ver su recorrido en el día a día empresarial”.

Saiz recuerda que en una de las primeras reuniones que tuvieron abordaron la independencia del DPD y al mismo tiempo “cómo evitar conflictos de intereses. Y es que hay DPD que son CISOS; otros, asesores jurídicos e incluso algunos que han sido nombrados expresamente para ello y solo tienen dicha función”.

Por eso, es muy importante proteger al DPD para que haga bien su trabajo y no tenga demasiado conflictos internos para desarrollarlo”, aclara nuestro interlocutor.

PUBLICIDAD

Necesidad de relación laboral especial

Saiz ve bien que el DPD tenga una relación laboral especial que le blinde de ciertas injerencias dentro de la empresa “pero al final hay que llevarlo a la realidad. No todas las empresas tienen la cultura de protección de datos alineada al negocio y es estratégica, y ahora el RGPD, con los conceptos de privacy by design o accountability cambia el modelo de forma radical y coloca la privacidad en primera línea. En este escenario, el papel del DPD va a ser fundamental”.

En esta comunidad de expertos en privacidad, junto a Saiz, director del DPI, se puede destacar a Roberto Baratta, DPD de Abanca; Daniel García, director general de la nueva Asociación.

“La comunidad sigue creciendo progresivamente porque hay interés en poner en común la forma de trabajar de estos profesionales”.

Asimismo, la Data Protection Officer Community tiene como fines elaborar herramientas, guías y otra documentación; proporcionar un punto de referencia independiente y de participación activa en el que todos los miembros intercambien experiencias; establecer y mantener entornos de certificación de profesionales tendentes a fomentar el conocimiento y la excelencia en materia de protección de datos personales.

Además desde esta comunidad se ha abierto un canal de comunicación bastante estable con la AEPD que sirve para mantener establecer un diálogo fluido.

“Los temas que preocupan a los DPD tienen que ver con cómo trasladar a la organización el cambio cultural que supone el nuevo modelo de RGPD, a nivel de privacidad. Desgraciadamente en algunas empresas se ve como una ley más y se cumple el expediente, cuando se trata que cualquier negocio respete la privacidad como valor principal”.

Junto a este reto, nuestro interlocutor destaca otros dos más que “ligado con el anterior supone definir bien un sistema donde cada profesional tenga claro lo que tiene que hacer.  Se trata de gestionar bien el gobierno interno de la propia estructura interna de la privacidad”, aclara.

Y el tercer asunto tiene que ver  “con la necesidad de generar indicadores y métricas para nuestro trabajo. Se trata de contar con estadísticas para saber cuántos DPD son abogados; cuántos vienen del área de CISO o si están externalizados”.

Son datos que no se tienen en la actualidad, al igual que el número de PIA (Privacy Impact Assessment) como proceso que sirve para identificar y corregir o mitigar los posibles problemas de seguridad que podrían impactar en la privacidad de los datos de carácter personal que tratan las organizaciones. “ Se trata de generar buenas prácticas y luego implantarlas. Es otro de los retos que preocupa al DPD”.

DPD, figura clave en las empresas

En este contexto nuevo de privacidad, “la figura del DPD se ha hecho imprescindible en determinadas empresas y, de hecho, el texto de borrador de LOPD tiene enumerados muchos sectores que necesitan un DPD”.

Para Saiz es una noticia buena “siempre que se haga con rigor y profesionalidad. Generando esta cultura de privacidad y protección de datos haremos que los servicios sean competitivos, que existan menos multas y que como país tengamos mejor cumplimiento de la normativa”.

Para este jurista , como opinión personal, “quizás hubiera sido mejor separar lo que es la LOPD de los Derechos Digitales, que se han incluido en el título décimo. Al final la protección de datos es un foco importante, un derecho fundamental pero es que los derechos digitales son muchos e importantes y tienen una problemática específica. Lo que sí está claro es que necesita una regulación”, indica.

A su juicio, ya que no se sanciona a los organismos públicos con las multas que reciben las empresas privadas, “habría que buscar algún método para que las entidades públicas sientan la misma presión y necesidad de compromiso de cumplir con la norma que tienen las compañías privadas. Si no es la multa económica habrá que buscar otro tipo de incentivos que ayuden a ese cumplimiento y compromiso real”.

Esta comunidad de expertos lanzará una encuesta entre sus asociados para conocer el estado de la cuestión de estos profesionales. “Se tratará de saber la situación del DPD en nuestro país y el nivel de cumplimiento existente del RGPD a nivel organizativo”.

Junto a ello, este grupo de trabajo  se encuentra gestionando y desarrollando la primera propuesta de proyecto: Guía para la aplicación del Derecho a la Portabilidad.

“Es posible que de los derechos nuevos que se incorporan con la entrada en vigor del RGPD sea uno de los más complejos para las empresas a la hora de cumplir. Tiene un trasfondo en cada empresa complejo. Trasladar los datos de una empresa a otra no es sencillo”.