Los delegados de privacidad necesitan formación tecnológica

En mayo de 2018, cuando entre en vigor en toda la UE el Reglamento General de Protección de Datos, muchas empresas -y todas las Administraciones- tendrán que contar con un delegado de protección de datos -DPO, por sus siglas en inglés: data protection officer-. Sin embargo, aún existen muchos interrogantes sobre su perfil, cualificación o el alcance de sus funciones.

La Agencia Española de Protección de Datos (AEPD) ya trabaja con las asociaciones relacionadas con la privacidad para elaborar, antes de verano, el Esquema de Certificación que servirá para que las entidades certificadoras puedan ser acreditadas por Enac -Entidad Nacional de Acreditación-.

"Hemos optado por un DPO certificado para mejorar la calidad del servicio de los profesionales. Tendrán competencia y habilidades para cubrir las necesidades del mercado y cumplir con la normativa, no sólo para evitar las multas", explicó Miguel Ángel Pérez Grande, vocal asesor de la AEPD durante unas jornadas celebradas en el Colegio de Abogados de Madrid.

En el foro, organizado por la Asociación Profesional Española de Privacidad (Apep), se subrayaron las dudas y certezas que aún planean sobre esta figura.

"No es una profesión limitada a los abogados. La titulación en Derecho no es el único elemento que permite ejercerla; el conocimiento jurídico es imprescindible, pero hacen falta otras habilidades y competencias", aseveró la presidenta de la Apep, Cecilia Álvarez.

Los intervinientes hicieron especial hincapié en la necesidad de que el delegado tenga formación tecnológica para entender los procesos a los que se enfrentan y, asimismo, entender las necesidades del personal de los departamentos que operan con los datos y trasladarles de forma práctica los nuevos deberes en materia de privacidad.

Álvarez también expuso algunas de las dudas que plantea la redacción del Reglamento y reclamó que no se deposite sobre los DPO una cantidad de deberes y obligaciones que haga inasumible su función.

"El DPO no es una autoridad dentro de la empresa ni un chivato. Tampoco es el CEO: no es omnipotente ni poderoso, no toma decisiones de gasto u organización. Ni puede ser visto como el defensor del interesado porque tiene que ser leal a quien le contrata", advirtió. Asimismo comentó no entender el contenido del deber de confidencialidad que impone la norma y subrayó que, en todo caso, la responsabilidad que se impone corresponde a la organización y no individualmente al DPO.

"Un juez de paz"

La vicepresidenta de la Asociación, Carme Sánchez Ors, también comentó que la nueva Ley de Protección de Datos -en fase de redacción del anteproyecto- asignará "una función nueva: la de juez de paz". Así, según les ha informado la AEPD, será obligatorio que los interesados se dirijan previamente al DPO antes de poder interponer una reclamación ante la Agencia.

La definición de la figura del delegado en el sector público no está mucho más clara. El proyecto de certificación, según la AEPD, está dirigido al sector privado. Además, los expertos señalan que el ejercicio de esta función en la Administración requerirá un plus por las especificidades que plantea su legislación y procedimientos.