La figura del Responsable de Protección de Datos, un gran impulso para la profesión (2ª parte)

El Responsable de Protección de Datos ha de poder llevar a cabo su trabajo de forma independiente, sin que pueda recibir instrucciones en el ejercicio de sus funciones. La empresa ha de preocuparse por que se cuente con él en tiempo y forma en cualquier cuestión que lleve parejo el tratamiento de datos de carácter personal. Tiene que ser apoyado en el desarrollo de sus trabajos, y han de proporcionársele el personal, instalaciones, equipos y cualquier recurso necesario para que trabaje.

El Responsable de Protección de Datos ha de informar directamente a la dirección de la empresa. Imaginémonos la alteración que esto supone en el organigrama de cualquier empresa. Creo que el esfuerzo va a ser mayúsculo. Si la empresa en cuestión no tiene ya arraigada una cultura de protección de datos, a toda la estructura le costará bastante asumir este nuevo puesto con sus roles, y la primera tarea del Responsable pasará por justificar y explicar la necesidad de su propia existencia. Como siempre, si la dirección no está convencida de la necesidad de la existencia del Responsable de Protección de Datos, será bastante difícil que pueda trabajar y cumplir con sus cometidos convenientemente, al faltarle apoyo.

Las funciones que el borrador de Reglamento enuncia para el Responsable son la siguientes:

- informar y asesorar a la empresa acerca de las obligaciones que le impone el Reglamento, y documentar esta actividad y las respuestas que se han dado a sus peticiones,

- controlar la implementación y aplicación de las políticas de la empresa en relación con la protección de datos personales, incluyendo la asignación de responsabilidades, la capacitación del personal involucrado en los tratamientos, y la realización de auditorias periódicas

- controlar la implementación y aplicación del Reglamento, en particular los requisitos relativos a la protección de datos por diseño, protección de datos por defecto, la seguridad de los datos y las solicitudes de ejercicio de derechos,

- asegurarse de mantener la documentación que exige el Reglamento; y controlar la documentación, notificación y comunicación de fugas de datos personales,

- controlar la aplicación por la empresa de lo establecido en los análisis de impacto sobre protección de datos, y la solicitud de autorización o consulta previa,

- actuar como contacto con la autoridad supervisora, y controlar las respuestas que se le ofrezcan, así como colaborar con ésta dentro de su esfera de competencias, ya sea a su solicitud, o por iniciativa propia

Como puede verse, sus funciones son bastante más extensas que las del Responsable de Seguridad. Nada tiene que ver una figura con otra. Es más, la competencia de supervisar “la seguridad de los datos” es una más, por lo que las funciones del Responsable de Seguridad actual quedaría controladas/supervisadas por el Responsable de Protección de Datos.

David González me planteó ayer a través de twitter que echaba de menos la regulación de ciertas incompatibilidades que pueden darse, pensando en un Responsable de Protección de Datos en su modalidad de contratado externo… con el conocimiento que adquirirá sobre el negocio de las empresas a las que preste servicio, ¿no debieran haberse regulado? Quizá por lo compleja que puede ser esa regulación se ha obviado, ya que las mismas empresas se cuidarán muy bien de prestar atención al asunto. Por dar un ejemplo concreto, a una empresa de software no se le pasará por la cabeza contratar al mismo Responsable que también ejerce en una empresa competidora. Al menos yo no lo haría.

¿Están preparadas las empresas españolas para asumir esta figura? Pienso que todavía no, pero no les quedará más remedio. Es un revulsivo que puede ayudar bastante a pasar del mero cumplimiento en protección de datos, a la utilización de la cuestión como ventaja competitiva, como diferenciación con la competencia… Las empresas tendrán que pasar de estar acostumbradas a tratar la LOPD como amenaza, como algo externo que se puede obviar, a tener en cuenta la opinión de estos especialistas en todos los procesos en los que haya tratamiento de datos. Puede pensarse que es una exageración que se exija desde la UE, pero si realmente se quiere que se respete un derecho fundamental que está tan, tan impactado por las nuevas tecnologías, la mejor solución es obligar a las empresas a incluir especialistas en el campo en su funcionamiento. En este sentido prefiero una regulación quizá muy atrevida e influida por los “useños”, a una “no regulación” o una regulación muy coja, como la que tenemos ahora con la figura del Responsable de Seguridad.

Como cuestión de cierre y para reflexión, ¿de qué calibre es la responsabilidad que asumirán estos trabajadores? ¿hasta qué punto serán responsables de que su empresa cumpla o no con la legislación? Es un tema que merece análisis, y quizá es más complejo de lo que puede parecer. Pero no puedo evitar pensar en el ejemplo de la condena por un juzgado de Milán a Peter Fleischer, responsable global de privacidad de Google. En 2006, una pandilla de impresentables grabó en vídeo los abusos a un compañero de colegio autista, y lo subió a Google Video. Fleischer y dos ejecutivos más fueron condenados por no cumplir con la legislación sobre privacidad italiana.

Con todo, de ser aprobada esta versión del borrador de Reglamento, constituye un gran impulso para nuestra profesión. Sería un grave error que Europa no lo regulara, quedando en un breve plazo de tiempo por detrás de su eterno competidor, EE.UU. Es imposible que en pleno siglo XXI, donde la materia prima esencial que usan las empresas para trabajar es la información sobre las personas, el profesional de la privacidad todavía sea visto como algo raro y exótico. Esta regulación es más que necesaria.

Buena entrada en 2012 a todos.

La figura del Responsable de Protección de Datos, un gran impulso para la profesión (1ª parte)

En el Congreso de Protección de Datos de IAPP Europa el 29 de noviembre, antes de la intervención de la Comisaria europea de Justicia, Derechos Fundamentales y Ciudadanía, ya se rumoreaba que tendríamos un Reglamento y no una Directiva. Viviane Reding se limitó a indicar que el Parlamento Europeo tendría “un regalo tardío de Navidad” de la Comisión, y a leer un corto discurso sin admitir preguntas. Unos días después, se filtró en Internet lo que se conoce como la versión 56 de la Propuesta de Reglamento General de Protección de Datos.

El revuelco que el Reglamento le da a la legislación es de aúpa. Pero creo que lo más interesante para los profesionales es el reconocimiento de la figura del Responsable de Protección de Datos, “Data Privacy Officer” para los aficionados al inglés. Nada tiene que ver con el Responsable de Seguridad que regula nuestro Reglamento, que sólo está dedicado a coordinar/controlar las medidas de seguridad que se adoptan para los ficheros. La nueva figura se ocupará de bastantes más asuntos, y tendrá que asumir unos roles más amplios y diversos.

Me resulta bastante curioso que la Unión Europea termine adoptando una figura con denominación de origen norteamericano. La empresa IBM fue pionera en designar en el año 2000 un “Chief Privacy Officer”, Harriet Pearson. Tenía los cometidos de unificar la privacidad en los proyectos y programas en IBM, incluyendo investigación y desarrollo, marketing, ventas, estrategia web y tecnología; coordinar la privacidad en la oferta tecnológica y de servicios; asegurar el liderazgo de IBM adoptando las mejores prácticas para con los empleados, clientes y consumidores, y que la empresa cumpliera con la legislación y estándares aplicables.

Por si en el mundo de los “eleopedianos” no teníamos bastantes divisiones ya (tecnólogos, juristas y otras diversas faunas), ahora vienen desde Europa a exigirnos un poquito más. No solo tecnología y derecho, sino también organización, análisis de productos y servicios… De todo un poco, pero fundamentalmente, en todos sus desempeños, ha de entender el negocio de la empresa donde está trabajando y su funcionamiento. Esto es fundamental, lo llevo diciendo unos años: ¿cómo vas a asesorar sobre algo que desconoces?

El Reglamento dedica tres artículos a regular esta figura (32 a 34). Será obligatorio contar con un Responsable de Protección de datos en lasadministraciones públicas (ver post de Francisco Javier Sempere, El Responsable de Protección de Datos (DPO) en las AAPP), en empresas de más de 250 empleados, y en aquéllas donde se lleven a cabo operaciones con datos que por su naturaleza, alcance y/o finalidades requieran supervisión regular y sistemática. Nada impide que cualquier organización, sin que esté dentro de estos supuestos, pueda nombrar también a alguien para que cumpla estas funciones.

Es posible tanto nombrar a un empleado para el puesto, como contratar a personal externo. Sin embargo, por la redacción de la propuesta de Reglamento, no parece que pueda contratarse a una empresa, sino que siempre habrá de ser una persona física quien lleve a cabo las funciones.

Han de tenerse en cuenta las cualidades profesionales del Responsable, y en particular, conocimiento experto de la legislación sobre protección de datos. Queda claro que todo ello estará determinado también por los tratamientos de datos que lleve a cabo la empresa que lo nombra. Subrayo la exigencia de conocimiento de la legislación. Al fin y al cabo, el mayor componente de esta figura es velar porque se cumpla la normativa, y quién mejor que alguien que la conoce para que conozca qué puede exigir. ¿Hasta dónde ha de llegar ese conocimiento? Para mí, el ideal es, en origen, un licenciado en derecho con especialización en protección de datos. Antes podía incluso ser discutible, porque el rol del Responsable de Seguridad primero estuvo ceñido a seguridad informática, luego se añadió la seguridad en ficheros automatizados y no automatizados, pero con esta ampliación de funciones junto con la afirmación del Reglamento queda despejada cualquier duda, a mi parecer.

Algo que va a combatir el consabido “pluriempleo” de los profesionales del sector es que se impone a la empresa que se asegure de que si el Responsable de Protección de Datos tiene otras tareas, sean compatibles con sus obligaciones como tal, y nunca se provoque conflicto de intereses. Pensemos por un segundo en cuántos responsables de informática son a la vez Responsables de Seguridad conforme al Reglamento LOPD actual… ¿no supone conflicto de intereses?

Será nombrado para un período de 2 años, pudiendo renovarse por el mismo tiempo. No puede ser apartado del puesto si no es porque deje de reunir los requisitos para cumplir con sus obligaciones. La empresa tendrá que comunicar su identificación a la autoridad supervisora (Agencia Española de Protección de Datos) y al público en general, que tendrá derecho a contactar con él para todas las cuestiones relativas tanto al ejercicio de derechos, como a los tratamientos de datos que se realicen. Así que los Responsables de Protección de Datos tendrán que lidiar con los clientes/usuarios, nueva e interesante atribución que va a exigir la coordinación con el departamento de comunicación, en caso de que exista en la empresa.

(Mañana, último día del año, la segunda parte…)