La figura del Responsable de Protección de Datos, un gran impulso para la profesión (2ª parte)

On 31 December 2011 · 8 Comments · In Legislación, Protección de datos, Responsable de Protección de Datos, Unión Europea

El Responsable de Protección de Datos ha de poder llevar a cabo su trabajo de forma independiente, sin que pueda recibir instrucciones en el ejercicio de sus funciones. La empresa ha de preocuparse por que se cuente con él en tiempo y forma en cualquier cuestión que lleve parejo el tratamiento de datos de carácter personal. Tiene que ser apoyado en el desarrollo de sus trabajos, y han de proporcionársele el personal, instalaciones, equipos y cualquier recurso necesario para que trabaje.

El Responsable de Protección de Datos ha de informar directamente a la dirección de la empresa. Imaginémonos la alteración que esto supone en el organigrama de cualquier empresa. Creo que el esfuerzo va a ser mayúsculo. Si la empresa en cuestión no tiene ya arraigada una cultura de protección de datos, a toda la estructura le costará bastante asumir este nuevo puesto con sus roles, y la primera tarea del Responsable pasará por justificar y explicar la necesidad de su propia existencia. Como siempre, si la dirección no está convencida de la necesidad de la existencia del Responsable de Protección de Datos, será bastante difícil que pueda trabajar y cumplir con sus cometidos convenientemente, al faltarle apoyo.

Las funciones que el borrador de Reglamento enuncia para el Responsable son la siguientes:

- informar y asesorar a la empresa acerca de las obligaciones que le impone el Reglamento, y documentar esta actividad y las respuestas que se han dado a sus peticiones,

- controlar la implementación y aplicación de las políticas de la empresa en relación con la protección de datos personales, incluyendo la asignación de responsabilidades, la capacitación del personal involucrado en los tratamientos, y la realización de auditorias periódicas

- controlar la implementación y aplicación del Reglamento, en particular los requisitos relativos a la protección de datos por diseño, protección de datos por defecto, la seguridad de los datos y las solicitudes de ejercicio de derechos,

- asegurarse de mantener la documentación que exige el Reglamento; y controlar la documentación, notificación y comunicación de fugas de datos personales,

- controlar la aplicación por la empresa de lo establecido en los análisis de impacto sobre protección de datos, y la solicitud de autorización o consulta previa,

- actuar como contacto con la autoridad supervisora, y controlar las respuestas que se le ofrezcan, así como colaborar con ésta dentro de su esfera de competencias, ya sea a su solicitud, o por iniciativa propia

Como puede verse, sus funciones son bastante más extensas que las del Responsable de Seguridad. Nada tiene que ver una figura con otra. Es más, la competencia de supervisar “la seguridad de los datos” es una más, por lo que las funciones del Responsable de Seguridad actual quedaría controladas/supervisadas por el Responsable de Protección de Datos.

David González me planteó ayer a través de twitter que echaba de menos la regulación de ciertas incompatibilidades que pueden darse, pensando en un Responsable de Protección de Datos en su modalidad de contratado externo… con el conocimiento que adquirirá sobre el negocio de las empresas a las que preste servicio, ¿no debieran haberse regulado? Quizá por lo compleja que puede ser esa regulación se ha obviado, ya que las mismas empresas se cuidarán muy bien de prestar atención al asunto. Por dar un ejemplo concreto, a una empresa de software no se le pasará por la cabeza contratar al mismo Responsable que también ejerce en una empresa competidora. Al menos yo no lo haría.

¿Están preparadas las empresas españolas para asumir esta figura? Pienso que todavía no, pero no les quedará más remedio. Es un revulsivo que puede ayudar bastante a pasar del mero cumplimiento en protección de datos, a la utilización de la cuestión como ventaja competitiva, como diferenciación con la competencia… Las empresas tendrán que pasar de estar acostumbradas a tratar la LOPD como amenaza, como algo externo que se puede obviar, a tener en cuenta la opinión de estos especialistas en todos los procesos en los que haya tratamiento de datos. Puede pensarse que es una exageración que se exija desde la UE, pero si realmente se quiere que se respete un derecho fundamental que está tan, tan impactado por las nuevas tecnologías, la mejor solución es obligar a las empresas a incluir especialistas en el campo en su funcionamiento. En este sentido prefiero una regulación quizá muy atrevida e influida por los “useños”, a una “no regulación” o una regulación muy coja, como la que tenemos ahora con la figura del Responsable de Seguridad.

Como cuestión de cierre y para reflexión, ¿de qué calibre es la responsabilidad que asumirán estos trabajadores? ¿hasta qué punto serán responsables de que su empresa cumpla o no con la legislación? Es un tema que merece análisis, y quizá es más complejo de lo que puede parecer. Pero no puedo evitar pensar en el ejemplo de la condena por un juzgado de Milán a Peter Fleischer, responsable global de privacidad de Google. En 2006, una pandilla de impresentables grabó en vídeo los abusos a un compañero de colegio autista, y lo subió a Google Video. Fleischer y dos ejecutivos más fueron condenados por no cumplir con la legislación sobre privacidad italiana.

Con todo, de ser aprobada esta versión del borrador de Reglamento, constituye un gran impulso para nuestra profesión. Sería un grave error que Europa no lo regulara, quedando en un breve plazo de tiempo por detrás de su eterno competidor, EE.UU. Es imposible que en pleno siglo XXI, donde la materia prima esencial que usan las empresas para trabajar es la información sobre las personas, el profesional de la privacidad todavía sea visto como algo raro y exótico. Esta regulación es más que necesaria.

Buena entrada en 2012 a todos.

Tagged with:
 

8 Responses to La figura del Responsable de Protección de Datos, un gran impulso para la profesión (2ª parte)

  1. Álvaro Del Hoyo says:
    2 January 2012 at 4:15 PM

    Buenas, Félix

    En lo que al RPD independiente, creo que podemos basarnos en el modelo de cualquier consultor, auditor,… independiente o incluso consejero independiente que trabajan para diversas entidades.

    No creo que se tenga que inventar nada nuevo.

    Deber de secreto profesional, respeto de la legalidad vigente con cierto toque de ética

    Feliz año

    Un saludo

  2. Álvaro Del Hoyo says:
    2 January 2012 at 6:16 PM

    Por otra parte,

    Con respecto al caso de Google en Italia, que está recurrido como sabes, mucho me temo que al final irán los tiros porque se decida algo como en este caso, de nuevo Google y en Italia

    http://curia.europa.eu/jcms/upload/docs/application/pdf/2011-11/cp110126en.pdf

  3. Juan Carlos López says:
    2 January 2012 at 7:28 PM

    Sin duda unas reflexiones muy interesantes. Estaríamos probablemente ante una reordenación de gran calado. Lo malo es que, como tantas otras cosas, caiga en el incumplimiento generalizado, sobre todo si pensamos en las AA PP que, en algunos casos, están por ponerse a cumplir con la LOPD (por no mencionar el ENS, por ejemplo).
    Otro tema que añado al debate: ¿que pasa con las empresas de menos de 250 trabajadores, que son la GRAN mayoría en nuestro país?.

  4. Félix Haro says:
    3 January 2012 at 1:57 PM

    Álvaro,
    Lo de Italia tiene que terminar en absolución, no le veo otra salida. Coger la figura del auditor no estaría mal, no queda otra. El problema es la responsabilidad del sujeto cuando vienen mal dadas.

    Juan Carlos,
    Es la mayor revolución que ha tenido la profesión en su historia. Lo mismo exagero, pero la vuelta es tremenda. Las empresas de menos de 250 trabajadores (sólo hay unas 4.000 con más de 250) tendrán que tener en cuenta qué tratamientos hacen, y ver si les conviene o no esta figura.
    A la AAPP se la trae prácticamente al pairo, al no poder ser sancionada…

    Saludos a los dos,

  5. Álvaro Del Hoyo says:
    4 January 2012 at 2:44 PM

    Buenas, Félix

    Responsable de seguridad interno, lo mismo que cualquier empleado.

    Responsable de seguridad externo, responsabilidad como encargado de tratamiento, así como responsabilidad de proteger la propiedad intelectual de otros clientes/responsables de ficheros, no vulnerar secretos industriales o comerciales,…

    Lo de Google en Italia está por ver, pues todo gira en cuanto a si el establecimiento de sistemas voluntarios de denuncia y retirada de contenidos ilícitos implica la existencia o no de conocimiento efectivo (Google recibió la denuncia e incumplió el plazo previsto para retirada del vídeo de marras), es decir, si se pierde o no por implementar tales sistemas la exención de responsabilidad reconocida vía Directiva 2000/31/CE (mira el considerando 40 de la Directiva y el último párrafo del art. 16.1 LSSI).

    Convertirse uno en Juez tiene ciertos riesgos, ¿no crees? Por ejemplo, incumplir tu propio sistema voluntario ante un caso de contenido ilícito flagrante.

    Deseando que salga la resolución al recurso…aunque imagino que todavía nos quedan bastantes episodios por leer

    Un saludo

  6. David González Calleja says:
    13 January 2012 at 4:43 PM

    Muy interesantes estas entradas sobre el DPO, Félix.
    Creo que hay muchas cuestiones que quedan cojas en la regulación, entre ellas las que comentas: posibilidad (y limitaciones respecto a esta posibilidad) de que el DPO sea un profesional externo. Si puede ser externo, ¿no hay incompatibilidades? ¿no hay límites? ¿podría una misma persona ser DPO de veinte empresas? ¿podría asumir la figura de DPO una empresa?
    El otro aspecto especialmente interesante es el de la responsabilidad del DPO. En este punto estaría bien que se aclarara normativamente.
    Gracias por la mención y un saludo.

  7. Félix Haro says:
    14 January 2012 at 8:33 PM

    Con todo lo regular o malo que pueda tener, es preferible ésto que viene, que no lo que tenemos, que primero estaba dedicado a la seguridad informática, y ahora a un poquito más con el Reglamento del 2007.

    Los “useños” se han salido con la suya, pero es bueno para la profesión, sin duda. Es prácticamente un calco a lo que cualquiera de sus CPOs/DPOs y demás vienen haciendo desde hace 10 años.

    El mercado irá regulando…

  8. Álvaro Del Hoyo says:
    19 November 2012 at 11:33 PM

    Buenas, Félix

    En la primera semana de diciembre parece se abre la fase de recursos del caso Google Video en Italia

    http://peterfleischer.blogspot.com.es/2012/11/greece-protecting-freedom-of-expression.html

    “Luckily, the Greek justice system was quick, and resolved this case in days. But many criminal justice systems are notoriously slow. As reported in The Economist, to take the example of Italy: “Italian justice has a reputation for moving very slowly.” My own Italian privacy criminal trial has been dragging on for years, and is expected to begin the appeals phase soon, on December 4, almost 5 years after I was first “detained” by Italian police in Milan. 5 years is a long time to put someone through criminal justice hell, in a landmark case trying to make me vicariously liable for user-generated content uploaded to an Internet video platform. “

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>