Se equivoca quien ve en el delegado de protección de datos -o DPO por sus siglas en inglés: data protection officer- una figura defensiva para la organización, que se limita a protegerla de posibles sanciones, asegurando el cumplimiento normativo. O al menos así lo considera Cecilia Álvarez, presidenta de la Asociación Profesional Española de Privacidad (APEP), quien defiende que el DPO puede ser un elemento "estratégico" para las empresas, que contribuya de forma decisiva a desarrollar el negocio y aprovechar las oportunidades que ofrece la digitalización.
La entrada en vigor, en mayo de 2018, del Reglamento General de Protección de Datos (RGPD), que supone una auténtica revolución en el tratamiento de la privacidad, está obligando a empresas y profesionales a adaptarse contrarreloj a las exigencias de la norma.
"La dificultad no está en las 17 o 20 tareas que impone el Reglamento, sino en el hecho de que tienen que aplicarse todas a la vez", apunta Álvarez. El aspecto que, a su juicio, será más problemático es la exigencia de la privacidad desde el diseño. Según explica, la mayoría de las empresas tiene ya adquirida una tecnología que no cumple los requerimientos de la norma, y carece de los recursos necesarios para impulsar su adaptación.
No es un 'compliance officer'
"Yo nunca he visto al DPO como un compliance officer", reflexiona la presidenta de APEP, "no tienen nada que ver". Si bien comparten el objetivo de garantizar el cumplimiento normativo en sus respectivas materias -y, en consecuencia, evitar sanciones-, el compliance officer no desarrolla "un trabajo de estrategia". El delegado, sin embargo, es una figura con capacidad de aportar valor, por lo que, entre sus habilidades debe estar el que tenga "visión de negocio".
Esto no quiere decir, no obstante, que en negocios pequeños, no sometidos a un excesivo estrés regulatorio y con tratamientos sencillos, sí puedan compatibilizarse ambas funciones.
En el otro extremo, en empresas en las que el tratamiento de datos sea complejo, parece inviable que sólo una persona asuma todas las funciones de privacidad y deberán asumirse de forma colegiada.
Ante el incremento de la demanda de profesionales de protección de datos que va a provocar el RGPD, Álvarez subraya que la certificación puede convertirse, de facto, en un requisito imprescindible para ejercer la función del DPO.
Así, si bien la Agencia de Protección de Datos ya ha comunicado que no se establecerá como obligatoria, prevé que contar con un certificado sea la única manera de demostrar un conocimiento y unas capacidades que, de otra forma, resultarán imposibles de probar.
"Si pensamos en todos los DPO que harán falta, habrá muchos profesionales que no contarán con una experiencia acreditada. Las certificaciones serán un elemento para que el profesional se venda mejor y para que la empresa tenga seguridad de que contrata a la persona adecuada", advierte.
Dudas en sus atribuciones
La presidenta de APEP, además, pone de manifiesto que hay "falta de claridad" en dos de las atribuciones al DPO: las tareas de monitorización y el deber de confidencialidad. "Es utópico e idealista atribuir al delegado la responsabilidad de saber todo lo que ocurre en la empresa", asevera. Asimismo, no entiende en qué consiste el deber de confidencialidad, dado que el DPO "lo que tiene que hacer es arreglar los problemas de la organización".
Por último, Álvarez ve muy complicado que, en la práctica, las organizaciones destinen todos los recursos necesarios a la función de la protección de datos.
