La AEPD intensifica su relación con los Delegados de Protección de Datos mejorando el canal interno para consultas

La Agencia Española de Protección de Datos (AEPD) ha rediseñado el canal de consultas de los Delegados de Protección de Datos (DPO) para mejorar la comunicación con estos expertos y resolver sus dudas a nivel de privacidad.

Esto pone de nuevo de actualidad el papel de estos profesionales, garantes de la privacidad en muchas empresas y entidades, sobre todo en aquellos sectores en los que el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) obligan a que sean una realidad.

Según datos de la AEPD en estos momentos hay registrados 55.939 DPO que desempeñan su actividad en entidades privadas y otros 7.210 en entes públicos en nuestro país.

Cuatro expertos en privacidad como Marcos Judel, presidente de la Asociación Profesional Española de Privacidad (APEP); Francisco González, «Legal & Privacy Advisory Leader» (Líder de Asesoría Legal y de Privacidad) en la consultora Govertis; José Calvo, DPO del Consejo Superior de Investigaciones Científicas (CSIC) y Paz Martín, socia directora del despacho LegalThings, analizan para Confilegal la problemática de esta figura y su relación no siempre sencilla con el regulador de privacidad.

EL DPO, interlocutor de los reguladores

Para Marcos Judel, “esta medida es acorde a lo establecido en la normativa y a la opinión del regulador europeo, enfocada a que el DPO sea un interlocutor con las autoridades de control, lo que lleva a que se cree un canal bidireccional en el que el DPO colabore con la AEPD en relación a lo establecido en el RGPD, pero también en que ésta ayude a los profesionales en cuanto a la solución de problemas específicamente relevantes o sensibles”.

A su juicio, “el RGPD implica muchas obligaciones que en muchas ocasiones no son precisamente fáciles de aplicar en determinados tratamientos de datos de algunos negocios, por lo que este canal más focalizado en el DPO, es una adecuada herramienta para impulsar y favorecer el cumplimiento normativo por parte de las empresas e instituciones. Al fin y al cabo, cuanto mejor se comprende una norma, mejor se puede aplicar”.

En relación al papel de estos profesionales de la privacidad, Judel indica que “desempeñamos una labor fundamental pues no solo asesoramos para que las organizaciones cumplan con el RGPD con el fin de evitar sanciones del regulador, sino que también hacemos una importante labor de concienciación y formación en el seno de las empresas e instituciones”.

Cree que “difundir la importancia y el respeto de la protección de datos de las personas para convertirla en un verdadero valor diferenciador que ayude a impulsar negocios y políticas es uno de nuestros papeles más relevantes en este escenario y es algo que desde APEP venimos reivindicando desde nuestros orígenes”.

En cuanto a la potestad que tiene la AEPD de sancionar a empresas, sobre todo en sectores donde es obligatorio tener DPO, recuerda que “lo principal siempre debe ser la formación y concienciación. Es importante que cale el mensaje en las empresas y administraciones públicas de que existen ciertos casos en los que es obligatorio contar con un DPO, incluso casos que, en los que no siendo obligatorio, es altamente recomendable. Se trata de nombrar al DPO adecuado, alguien con experiencia, formado, actualizado y que comprenda el sector”.

Un canal de comunicación necesario

Sobre estos cambios en el canal de la AEPD,González, de la consultora Govertis, indica que “sin duda va a facilitar esa labor de asesoramiento y supervisión del cumplimiento de la normativa de protección de datos puesto que facilita la interlocución con la autoridad de control cuando se considere que debe ser consultadas”.

Además, apunta, «estos canales son necesarios puesto que como indicábamos el propio RGPD establece dentro de las funciones del DPO la de punto de contacto entre la entidad a la que representan y la autoridad de control en protección de datos”.

A su juicio “el DPO no cuenta con funciones ejecutivas y de dirección sino que actúa como una voz de la conciencia dentro de la entidad en la que presta servicios en lo que respecta a los tratamientos de datos personales que lleven a cabo. Una labor importante es implantar la cultura de privacidad en su organización y en base al sistema de mejora continua vaya progresivamente mejorando su nivel de cumplimiento y su gestión en privacidad”.

Al mismo tiempo este experto es consciente que la AEPD empieza a sancionar a las empresas que no cuentan con dicha figura en su organigrama.

“Tanto el RGPD como la LOPD establecen una serie de supuestos en los que la designación del DPO es obligatoria. Por lo tanto, si la entidad se encuentra comprendida en un supuesto de designación obligatoria y no designa DPO, estaría incumpliendo la normativa vigente y debe ser sancionada esta conducta”.

González subraya que “además no hay que olvidar que la LOPDG tipifica como grave, entre otras conductas, el incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible».

Buscar sinergias con el regulador

Para José Calvo, DPO del Centro de Superior de Investigaciones Científicas (CSIC), hay que hablar de “sinergias y coherencia. Son muchas las cuestiones que se replican en las diferentes empresas e instituciones y para las que no se encuentra una respuesta clara en una norma que se remite con frecuencia a ponderaciones y valoraciones”.

“El aprovechamiento del trabajo, ejercicios y respuestas ante situaciones similares es lógico que se aproveche para evitar ejercicios superfluos y discordancias. También en el siglo XXI es conveniente evitar replicar los defectos propios», indica.

Subraya que “el DPO tiene un rol independiente como garantía de imparcialidad, pero debe configurarse, a mi juicio, como un colaborador. Debe aportar soluciones. Como un asesor que, no únicamente diga lo que no se puede hacer, sino que active canales para remover obstáculos y conciliar la actividad que se desarrolla con las exigencias normativas”.

Este experto recuerda que “en un organismo con el CSIC con 120 institutos que actúan en todas las disciplinas de la ciencia hay muchos proyectos vanguardistas en cuya presencia el DPO es una referencia imprescindible. Desde la especialización, no científica, sino en la disciplina de protección de datos”.

Señala que, con carácter general, «el conocimiento por los no expertos de una materia de tanta complejidad es muy limitada, por lo que el DPO se debe convertir en una referencia a tales efectos en la institución. A este respecto debe desarrollar una vertiente proactiva para instar la adaptación de flujos, sistemas y procedimientos a la norma”.

Sostiene que parece lógico que la AEPD sancione a las empresas que no tengan implementada a esta figura, su ausencia «supone una dejación, la ausencia de una mínima diligencia. Junto a ello es un incumplimiento normativo cuando es preceptivo”.

Importante el diálogo con la AEPD

Para Paz Martín, socia directora de LegalThings, “es muy positivo que los DPO podamos preguntar directamente a la AEPD pues a menudo, por no decir que en la mayoría de los casos, las dudas se generan por parte de los profesionales. A diario nos encontramos con cuestiones de interpretación o cuestiones novedosas en las que el criterio de la AEPD es muy esclarecedor”.

Sobre la figura del DPO, aclara que “la designación de un Delegado de Protección de Datos implica un hito importante en el cumplimiento del RGPD. En algunos casos será obligatorio.”

“El RGPD establece unos criterios que apuntan a la obligación de designar un DPO siempre que se cumplan determinadas condiciones. Además, la Ley Orgánica 3/2018 de Protección de Datos Personales establece una relación de empresas, organismos y actividades que obligatoriamente tienen que designar un DPO”.

“Fuera de estos casos en los que es obligatorio (tanto por estar en dicha lista, como por cumplir los criterios establecidos en el RGPD) la designación puede ser voluntaria y parece ser que en nuestro país hay un porcentaje de delegados de protección de datos mucho más elevado que en otros países (tenemos más de sesenta mil)”.

A su juicio, el DPO tiene una función muy importante ya que “se ocupa de estar encima, algo de lo que a menudo adolecen las organizaciones: el seguimiento y la supervisión continua”.

El DPO debe integrase en la organización aunque sea externo. El éxito de los planes de cumplimiento de la normativa de protección de datos reside en la constante interactuación del DPO con la empresa de forma que, al igual que sucede con otras figuras (por ejemplo el asesor legal, el departamento de sistemas, etc.) todo el mundo sabe que las cuestiones de privacidad deben comentarse con este profesional.

En cuanto a las sanciones de la AEPD a empresas que no cuenten con esta figura, Martín indica que “en los casos en los que dicha figura sea obligatoria parece lógico. Hasta ahora solo se ha sancionado a empresas que claramente necesitaban designar un DPO. Hay casos en los que no está tan claro si es obligatorio o no. En mi opinión, puesto que es un bien para la empresa u organización, en caso de duda, mejor designar uno. Todo son ventajas”.

Al mismo tiempo resalta que “en caso de que nos instruya un procedimiento sancionador, uno de los elementos que puede tenerse en cuenta a la hora de reducir la sanción es precisamente haber designado un DPO”.

Noticias Relacionadas:

‘Papagorda’, el ‘hashtag’ viral sobre vídeos de gente borracha en la Feria de Sevilla, tiene consecuencias legales

Sacyr, multado con 15.000 euros por enviar un email a la cuenta personal de una empleada sin copia oculta

Los abogados especializados en privacidad impulsan el revitalizado mercado laboral

Un restaurante, multado con 10.000 euros por difundir imágenes del torso semidesnudo de un cliente

La AEPD multa con 200.000 euros al Burgos CF por irregularidades al pedir la huella dactilar a sus socios

La AEPD castiga con 5.000 euros a un ciudadano por publicar en YouTube una grabación de un juicio