Pierre FallerCon la implementación del Reglamento General de Protección de Datos (RGPD, Reglamento 2016/679 del 27 de abril del 2016, O.J 119/1) que entra en vigencia el 25 de mayo del 2018, el rol del Delegado de Protección de Datos (DPD) realmente será tomado en cuenta.
Con su adopción en 1996, la Directiva 95/46/EC para la protección de datos personales estaba destinada a iniciar el espíritu del cumplimiento de la privacidad y datos personales en todos los países miembros. En la directiva, el DPD tenía su rol bien definido, pero aún le faltaba alcanzar un portafolio y tareas importantes en los negocios. En paralelo, el Reglamento (EC) 45/2001 que aplica en las instituciones, entidades y agencias en el campo de protección de datos en la UE, actualmente le daba más practicidad y visibilidad al rol del DPD. Ello se hizo mayormente a través de su rol con el Supervisor Europeo de Protección de Datos (SEPD), una institución de la UE dedicada al campo de la protección de datos que se convirtió en un jugador clave con los años, en conexión con el RGPD.
A nivel nacional, el DPD era visto más bien como un oficial de enlace entre los negocios y la autoridad local de protección de datos. El RGPD ya no considera al DPD como un oficial de enlace, sino más bien como el único experto en la materia de su compañía o administración.
Un estatus especial dentro de su organización
Si hojeamos rápidamente el RGPD, podemos contar como 30 veces la aparición del término “Delegado de Protección de Datos” a lo largo del mismo, en considerandos, capítulos, títulos y provisiones actuales. A pesar que la Sección 4 (Artículos 37 al 39 del Reglamento 2016/679) realmente aborda la designación, naturaleza y tareas del DPD, el rol también está presente en herramientas tales como el Registro (Art. 30) o la Evaluación de Impacto de la Protección de Datos (EIPD, Art.39 – la metodología para la Evaluación del Impacto de la Protección de Datos será reseñada en otro artículo). También está presente en otras secciones tales como los Considerandos 77 y 97. El Considerando 97 se refiere, por ejemplo, a la independencia del DPD.
Lo que quiere decir todo ello, es que el DPD es su asesor de confianza en todos los asuntos concernientes a la privacidad y protección de datos, especialmente si lo fuerte de su negocio se basa en el procesamiento de datos personales, tales como en los sectores bancarios, aseguradores, de servicios de salud o TI. No sólo será el DPD capaz de asesorarlo como si fuera abogado en asuntos (por ejemplo, consultoría), sino que adicionalmente el DPD será capaz de asesorarlo antes de la implementación del tratamiento de datos (por ejemplo, ingeniería). Aquí es donde toda la fuerza del DPD es útil: tiene que asegurarse que esa función sea usada adecuadamente.
Competencias y experticias del DPD: Una tienda de conveniencia
El DPD puede verse como una tienda de conveniencia, o si le gusta más acampar, como una navaja suiza. En compañías más grandes, el DPD quizás tienda a tener una fuerte formación legal, pero la función no se basa enteramente en esa habilidad. Indudablemente, la variedad de técnicas de evaluación en el RGPD indican que, por ejemplo, un abogado con la mente de un auditor (o viceversa), con fuertes habilidades comunicacionales y un entendimiento de la TI y de los desarrollos en seguridad probablemente también se desempeñe bien en sus tareas.
Las técnicas de auditoría y consultoría serán requeridas a medida que el DPD se involucre en las evaluaciones de tratamiento de datos, tales como la EIPD mencionada anteriormente. En este campo, planificar, analizar y efectuar seguimiento serán algunas de las habilidades importantes.
Adicionalmente, la tarea del DPD es mantener un nivel suficiente de concienciación acerca de la seguridad de datos en el negocio (Artículo 39.1.b de la Regulación 2016/679). Uno podría aducir que mientras más dependa el negocio en datos personales, más vital es incentivar la concienciación. Aquí, las habilidades comunicacionales son tan importantes como el asesoramiento. Al informar, educar y compartir acerca de protección de datos, el DPD busca disminuir errores donde estén involucrados datos personales. Se podría mencionar el Día de Protección de Datos en Europa, relacionada de alguna manera, que se celebra cada 28 de enero, señalando el aniversario de la Convención 108 del Consejo de Europa sobre datos personales.
Por último, en el caso en que su negocio construye o compone software y tecnología, usted quisiera que el DPD le hablara a su departamento de TI. También se sabe que en compañías más pequeñas (por ejemplo, en PyMEs), el DPD también podría hasta ser miembro de su departamento de TI. Esto le daría un valor agregado, ya que la tecnología envuelve a todos. Un ejemplo práctico del rol del DPD está establecido en la EIPD. El DPD será informado acerca de sus políticas y otros controles legales, y además evaluará las amenazas, riesgos y controles de seguridad del software que utiliza datos personales. En otras palabras, evaluar los riesgos de una violación de datos para una solución de computación en la nube requiere un interés en la tecnología por parte del DPD.
Las misiones naturales del DPD: proteger y asesorar
La misión principal del DPD es asegurarse que el tratamiento de los datos personales no impacte adversamente sobre los interesados. Es una frase técnica decir simplemente que el DPD no pueda intervenir post factum, es decir una vez que el tratamiento ya ha sido implementado. Como se resaltó anteriormente, la verdadera fortaleza del DPD no es asesorar luego que el daño se ha hecho, sino asesorar acerca de las mejores prácticas y como construir en ‘privacidad por diseño‘ y ‘privacidad por defecto‘.
Estas dos expresiones simplemente quieren decir que el tratamiento de datos personales requiere incorporar ciertas medidas de seguridad, que son validadas con independencia desde el principio por el DPD. No hacerlo podría resultar en una implementación más rápida, pero podría obtenerse una revisión negativa por parte del DPD. También podría ocasionar sanciones judiciales y financieras. Con el RGPD, el riesgo es ahora muy alto: obtener la validación de su tratamiento por parte del DPD o del Asesor de Privacidad antes de su implementación vale la pena. Simplemente debe involucrar a la persona en reuniones y revisiones mientras está evaluando el procesamiento.
Como un CEO, usted se puede imaginar sentado en la silla de «Quien quiere ser Millonario«, enfrentando a la audiencia mientras su DPD le ayuda a través de la ‘llamada a un amigo’ cada vez que tenga problemas con su procesamiento. El anfitrión al frente suyo sería la Autoridad Nacional para la Protección de Datos. Usted necesita responder correctamente, así que necesita incorporar medidas de seguridad que estarán en línea con la privacidad por diseño y por defecto.
Para conocer las fases a través de las cuales el DPD implementará el RGPD descargue este Diagrama del proceso de implementación del RGPD UE gratuito.