Los DPO, como se les conoce popularmente por sus siglas en inglés, son una de las novedades del nuevo Reglamento General de Protección de Datos (RGPD), que en poco más de un mes será de obligado cumplimiento en toda la Unión Europea (UE) y que prevé multas millonarias para las organizaciones que lo incumplan.
Esta figura debe existir tanto en administraciones públicas, salvo tribunales, como en empresas y otras entidades que traten datos personales y por tanto tengan que cumplir la regulación para evitar sanciones, que pueden ser de hasta 20 millones de euros o del 4 % del volumen de negocio global, la cifra que sea más alta.
Sanciones por usar datos sin consentimiento
Sanciones, por ejemplo, por usar datos sin consentimiento de los clientes, como ha ocurrido recientemente en el caso de Facebook y Cambridge Analytica, donde un DPO “tendría que auditar lo que pasó, revisar los contratos” y “confirmar si se violaron las normas de protección de datos o no”, explica según José Rodríguez, quien ocupa ese cargo en la empresa de Recursos Humanos Cornestone.
“Para mí, la principal función (de un DPO) es la de ‘coordinador’ o ‘interlocutor’ entre la empresa y sus clientes, pudiendo llegar a ejercer una labor de ‘Defensor del Cliente’ o de Mediador, y entre la Agencia Española de Protección de Datos (AEPD) y la empresa, para resolver las posibles dudas y prevenir infracciones”, señala a Efe el experto en Derecho Digital Borja Adsuara.
En ese rol clave de “enlace” coincide Manuel Díaz, que combina las funciones de DPO con las de delegado de ciberseguridad en la filial de Huawei en España.
“El DPO está entre el ciudadano, la empresa y la agencia. No vive en la empresa, por así decirlo”, argumenta Díaz, para quien cuanto mejor entiendan las empresas que el DPO es “garante de la privacidad de las personas” y que no hay que considerar al dueño de los datos “como un mero mal que hay que sufrir”, mejor se relacionarán con sus clientes.
“Hay que ser muy transparente, porque venimos de un mundo un poco ocultista del dato, donde se compraban bases de datos y se hacían todo tipo de cosas para llegar a criterios comerciales”, apunta María de la Torre, que acaba de ser nombrada DPO de MásMóvil, en un encuentro con Efe organizado por la patronal DigitalEs.
El DPO debe velar por que la empresa cumpla lo dispuesto en el Reglamento y eso no supone que tenga que hacer él todo el trabajo, sino que debe supervisar que se haga, lo que implica concienciación y formación del personal, pero también contar con los recursos necesarios para hacer cumplir su función.
“Una de sus tareas es trasladar a la dirección que la privacidad tiene un coste para la compañía”, destaca el experto de Accenture Jaume Soler.
La formación, a juicio de la DPO de Ericsson en España y Portugal, Silvia Gerbolés, debe estar adaptada a la función que ocupa cada empleado, porque una cosa es un desarrollador de un programa que trata datos y otra un comercial, pero a ambos les afecta la norma.
Tomar el pulso a la empresa
De la Torre, Díaz y Gerbolés tienen en común su formación jurídica -el propio Reglamento prevé que el DPO tenga conocimientos especializados de Derecho- como ser personal “de la casa”, aunque eso, dicen, no compromete la independencia de criterio que les exige el RGPD, que especifica que no deben recibir instrucciones ni ser destituidos ni sancionados por cumplir sus funciones.
Reconocen que su labor “no es fácil”, incluso han sufrido presiones cuando han parado un proyecto, y, como establece el Reglamento, reportan al más alto nivel, al consejero delegado, en el caso de Huawei, MásMóvil y Ericsson y, en el caso del responsable de que se cumpla el Reglamento en IBM España, Fernando Navarro, ante la dirección global del grupo.
Ser de la casa tiene la ventaja, además, de poder “tomar el pulso a la empresa” y saber “a qué persona exacta hay que tocar para poder hacer un tratamiento específico en un tipo de negocio concreto”, señala Gerbolés.
Sin embargo, Adsuara es más partidario de que estas funciones las lleve a cabo un despacho de abogados externo.
“En algún caso tendrá hasta que denunciar a la empresa ante la AEPD si no le hacen caso en sus indicaciones, o puede incurrir en responsabilidad”, dice, y se pregunta si es personal de la casa, “¿cómo le van a hacer una faena a su empresa de toda la vida?”.
Sí ve clave que entienda el negocio y “no ‘pare’ la empresa: “No está para decir lo que no se debe hacer, sino para decir cómo se deben hacer las cosas”. EFEfuturo
La entrada Los DPO, los ‘pepito grillo’ de la protección de datos en las empresas aparece primero en EFE futuro.
Origén: http://www.efefuturo.com/category/internet/