lawandtrends.com

LawAndTrends



El Delegado de Protección de Datos (DPD) es la figura que constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones.

Funciones del Delegado de Protección de Datos

Las principales serán el análisis de riesgos, registro de actividades de tratamiento, protección de datos desde el diseño y por defecto, medidas de seguridad, notificación de “violaciones de seguridad de los datos”, y evaluación de impacto sobre la protección de datos. (delegado de protección de datos)

Sus tareas serán informar y asesorar en materia de Protección de Datos, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado del tratamiento. A efectos prácticos irá más allá, pues el titular de los datos y el responsable del tratamiento querrán tener la seguridad de que esta persona, el DPD, es suficiente para garantizar el cumplimiento y que no sólo se limite a asesorar, informar y supervisar.

A pesar de lo anterior, que está muy bien, es decir, un trabajador que supervisa, da directrices y todo eso que está muy bonito, muchos pensarán: “ya que se le paga, que se encargue de todo lo relacionado a protección de datos y evite dolores de cabeza al resto de la empresa”, y así acabará siendo si la figura del DPD cobra la importancia que expone el RGPD.

Todavía hay debate entre si es mejor tener un trabajador de la empresa

que se forme como Delegado de Protección de Datos en la empresa

o si por otra parte merece más la pena externalizar el servicio a terceros.

La formación del Delegado de Protección de Datos depende de la estructura y funcionamiento de la empresa

Esta es la primera incógnita que debe resolver la empresa, ¿qué estructura tiene?¿Tiene varios centros de trabajo en una sola provincia, en varias Comunidades Autónomas, o incluso en otro país?¿Si hay centros de trabajo en otros países, estos son en la Unión Europea o terceros países?¿Cómo trabaja el equipo humano con esos datos, están suficiente formados y concienciados con el tratamiento?

Son muchas las variantes que pueden influir en la elección de unas habilidades u otras para contratar un Delegado de Protección de Datos

Hay empresas en las que ya se cuenta con un departamento jurídico que se encarga de los trámites administrativos, procedimientos judiciales y extrajudiciales con clientes, trabajadores, colaboradores y competidores… Si la empresa tiene estos profesionales en plantilla lo más recomendable y rápido es permitir que uno de ellos se especialice en Protección de Datos y tome las tareas que le corresponden al Delegado de Protección de Datos, que controle e implemente los procedimientos de protección de datos personales.

Eso sí, lejos de lo que muchos piensan, el salario del Delegado de Protección de Datos no va a ser el más bajo de la empresa. En mi opinión estará por encima de la media de salarios de la empresa, por supuesto, ya que tiene una formación técnica y de constante estudio que bien merece un sueldo que no será el de un auxiliar. Me extraña que a día de hoy no haya habido ya un boom de personas formándose para dicho trabajo… pues es un filón muy grande para el que quiera mejorar su situación salarial (claro que “la protección de datos es aburrida” como pensarán muchos… pero es un trabajo Señores).

¿Formar a un trabajador en Protección de Datos o contratar a un DPD?

Esta es la gran duda de muchos, incluidas las administraciones públicas como Universidades. Todavía se desconoce el volumen de trabajo que va a tener el delegado en una empresa como para saber qué habilidades técnicas y jurídicas va a necesitar… Formación en economía, derecho, recursos humanos, marketing, analítica, seguridad, informática????

Personalmente apuesto por los ingenieros informáticos, por los expertos en desarrollo web y de sistemas informáticos, quiénes deberán formarse en Derecho, pues son aquellos profesionales que por su naturaleza tecnológica van a saber adaptar todas las aplicaciones informáticas de la empresa y procesos de tratamiento de datos a las técnicas que requiere la nueva normativa en Protección de Datos Personales (el RGPD y LOPD).

Es más práctico (y posible) formar a un ingeniero de sistemas informáticos o desarrollo web en Derecho, que formar a un abogado en Sistemas informáticos.

No nos engañemos, quién no domina la tecnología ya, no lo va a hacer a un alto nivel en un futuro próximo (opinión arriesgada, pero hay que ser claros… y quién discrepe debería hablar con un experto informático), y si ya es de los que se pasó a dispositivos Apple por la comodidad de su manejo y usabilidad… juzguen Uds. mismo.

En cambio, sí que confío en que personal con fuerte formación técnica en informática que estudie Derecho o se especialice en Protección de Datos, pues son los que mejor pueden garantizar la seguridad de los datos y valorar otras alternativas en el tratamiento con los avances tecnológicos que vengan.

Un DPD debe ser capaz de valorar la seguridad del tratamiento de los datos en conjunto con las nuevas tecnologías y ventajas de la técnica de cada momento, y esto en el 100% de los casos saldrá más económico que contratar a terceros para que nos asesoren e implementen normativa y cambios.

¿Por qué es recomendable un informático antes que otro perfil profesional?

Seamos prácticos, en primer lugar necesitamos un profesional que no sólo tenga la debida formación jurídica y de protección de datos, más allá de las guías y pdfs formativos que la Agencia Española de Protección de Datos nos propone.

Si contamos con un licenciado o graduado en Derecho, mejor, un conocimiento transversal del Derecho será imprescindible. No obstante, la tecnología que afecta a los negocios avanza a velocidad exponencial, los programas de gestión de datos y bases de datos de clientes cada vez son más complejos y sofisticados (incrementando el riesgo en la seguridad si no se controla su uso), por lo que necesitamos a alguien que sea conocedor y habilidoso con la informática y el desarrollo de código y software necesarios.

Pensando en lo anterior, otros perfiles más punteros en recursos humanos, administración, etc. serán interesantes, pero a la larga podrán requerir de ser formados (seguramente) en informática…

¿Y si vamos un paso más allá y tenemos un desarrollador web con conocimientos jurídicos?

Eureka, para mí, Pablo Maza, el profesional ideal para este nuevo perfil jurídico es una persona con experiencia y conocimiento en el sector web, de Internet y sistemas informáticos, que sea capaz de llevar un control exhaustivo para que los sistemas informáticos de la empresa, los servidores, bases de datos automatizadas y demás estructuras digitales estén siempre en buen estado de seguridad, controlados y sin que se haga mal uso por otros trabajadores menos formados, sin correr mayores riesgos que los impredecibles.

Es de kamikazes cumplir todos los procesos de protección de datos sobre el “papel”, datos en soportes físicos, pero no controlar los datos digitales de la empresa, de las transferencias internacionales entre centros de trabajo en diferentes Comunidades Autónomas, países, etc. ¿Sabe el empresario si el servidor con el que contrata cumple la normativa Europea en Protección de Datos? ¿Sabe el empresario si los formularios web desde los que recoge datos están siendo seguros o están instalados con plugins y aplicaciones de empresas que cumplen la normativa Europea? ¿Sabe el empresario, aún más, si el delegado de protección de datos tiene las habilidades técnicas para reconfigurar siniestros o brechas de datos, o va a tener que contratar a un servicio técnico cada vez que tenga dudas o problemas de seguridad informática?

La mayoría de empresas suspenden en la implementación de la Protección de Datos en sus estructuras informáticas

No se conoce lo suficiente de informática, Internet y seguridad en las empresas, los pocos profesionales expertos en sistemas informáticos que hay en las empresas están saturados de tareas que ni les correspondería hacer, como ayudar en “tonterías” (no para el que las sufre) de ofimática y otras que en la mayoría de los casos se solucionan con un reset del sistema… es la simple y tediosa tarea de solucionarle a cualquier trabajador su “gran problema” con la pantalla de su ordenador que de repente no se enciende, o el “potencial virus” que le ha entrado y que le impide (malignamente) entrar su correo electrónico… Tareas que no sólo se salvarían si la empresa invirtiera más en reciclaje informático de sus trabajadores, sino que son ocupaciones que impiden que los informáticos de seguridad realicen el 100% de sus tareas propias para garantizar la misma en la empresa.

Las empresas se exponen a robos de datos y daños en sistemas de valor incalculable

Ya no importará cuánto cubra el seguro contratado para pérdidas de bases de datos personales o información de los clientes, el principal problema será que se habrán perdido datos imprescindibles para continuar el servicio y trabajo de la empresa, incluso dejando de lado la importante sanción administrativa (desproporcionadísima) a la que se expone la empresa de la Agencia de Protección de Datos.

Invierte en Protección de Datos, invierte en ser competitivo

La empresa que mejor controle sus tratamientos de datos y sepa sacar partido de la analítica que estos le permiten, obtendrá una posición ventajosa en el mercado frente a competidores

Por ello, a modo de conclusión y sin que sea exahustivo, recomiendo contar con un Delegado de Protección de Datos que tenga conocimientos en Derecho, Informática de sistemas, Desarrollo Web y por supuesto, Inglés, pues la mayoría de empresas con las que se trabaja en el mundo digital tienen sus servicios técnicos y manuales de uso en Inglés (salvo que nos rasquemos el bolsillo un poco más si cabe, y trabajemos con los precios de empresas españolas, que tienen mayores gastos y lo notamos en su precio).




Comentarios

  1. Lluís Sabaté

    Hola Juan Pablo, El artículo 38 del nuevo RGPD prevé que la posición del Delegado de Protección de Datos sea independiente y que no de lugar a conflicto de intereses. La independencia del DPO debe garantizarse con un DPO que tenga integridad y lealtad. De la misma manera, su relación con la organización debe estar de la "potestas" apropiada (lo que requiere un puesto patrocinado por los órganos de decisión de la organización, una línea de reporte funcional y recursos apropiados). El DPO debe tener una línea de reporte directo al Consejo de Administración –u órgano equivalente- de la organización o a un miembro de este, en relación a sus responsabilidades de DPO. Los deberes de confidencialidad del DPO respecto a la organización que lo designó deben clarificarse para garantizar (i) que la lealtad del DPO respecto de su empleador (si es interno) o de su cliente (si es externo) no quede comprometida; y (ii) su adecuada integración en la organización como un/a "asesor/a de confianza". Los riesgos de conflicto de intereses pueden surgir si el puesto de DPO se sitúa en los departamentos de Seguridad, TI, RR.HH. u otros departamentos que tomen decisiones sobre las actividades de tratamiento de datos. Un saludo, Lluís

Ver comentarios anteriores

Hacer un comentario

He leido y acepto los términos legales y la política de privacidad