Comparte

24/07/2018 –  5 minutos de lectura
Por Alejandro Touriño

El 25 de mayo de 2018 será recordado por muchos europeos como el día en que algo cambió. En realidad, ese algo venía ya cambiando desde hace un tiempo, pero esa fecha ha supuesto en materia de privacidad y protección de datos un antes y un después. Nos referimos, naturalmente, a la plena aplicación, desde esa fecha, del nuevo Reglamento General de Protección de Datos (RGPD, por sus siglas en español), la cual ha pasado de manera inmediata a convertirse en la primera norma europea en materia de protección de datos que aplica transversalmente a todos los europeos y la primera que pone el verdadero foco en el individuo y la protección de su intimidad.

Es cierto que los europeos contamos desde hace décadas con regulaciones específicas en materia de privacidad, algunas de ellas de rango constitucional. Sin embargo, nos hallamos ahora en un momento clave, con el auge de Internet y la tecnología, donde la protección de nuestros datos y de nuestra vida privada se encuentra bajo la sombra de la duda. Basta con abrir a diario cualquier periódico o dedicar unos minutos a ver un informativo en la televisión. Asistimos a diario como espectadores pasivos a noticias en prensa en las que se habla de cómo datos privados que afectan a nuestra intimidad son explotados en ocasiones por terceros sin nuestro consentimiento y sin que seamos en muchos casos ni siquiera conscientes de ello.

Este mal endémico, fruto seguramente de los excesos tecnológicos propios de la escena temporal tan fantástica y agitada que nos ha tocado vivir, parece que ha tocado su fin con la plena aplicación del ya famoso RGPD el 25 de mayo de 2018. Esta norma, que nace tras años de debate legislativo y social en Europa, tiene como principal y casi único cometido concienciar acerca de la importancia de la privacidad en todos los ámbitos, poniendo a todos los europeos en la misma página de cumplimiento y exigiendo a las empresas de fuera y de dentro del continente europeo el sometimiento a sus dictados. El que se haya quedado fuera, ya sabe a lo que se expone: 20 millones de Euros o el 4% del volumen de facturación global de la compañía. Ésas son las sanciones propuestas, muy por encima del máximo anterior de 600.000 Euros, que ahora se deroga. Se acaban las medias tintas en privacidad.

Esta norma nueva -pero de calado-, afecta en realidad a cualquier entidad que trate datos personales de terceros, con independencia de cuál sea la finalidad o las circunstancias que lo propician. Muchas son las medidas que el RGPD impone. Sin embargo, entre todas ellas, destaca, cual cabeza de iceberg, la obligación de quienes traten datos de terceros a gran escala, de contar en su organización con un responsable en materia de protección de datos, el ya célebre (y odiado) Delegado de Protección (DPO, por sus siglas en inglés).

Para poder entender esta nueva figura, es necesario tener en cuenta lo establecido en el propio RGPD, pero también en otras normas o guías de referencia que coexisten, tales como el Proyecto de Ley Orgánica de Protección de Datos, las Directrices sobre los delegados de protección de datos del Grupo de Trabajo del Artículo 29, las guías del Information Commissioner’s Office o el Informe de la Confederation of European Data Protection Organizations (CEDPO). El RGPD dispone que el DPO será designado atendiendo a sus conocimientos en materia de protección de datos y a su capacidad para desempeñar sus funciones básicas, esto es, asesorar en el tratamiento de datos de carácter personal, supervisar el cumplimiento de lo dispuesto en el RGPD y cooperar con la autoridad de control en materia de protección de datos.

Dicho así, esta figura no parece plantear mayores trastornos, uno más en la organización. Pero lo cierto es que tras esas etéreas obligaciones se esconde un régimen de responsabilidad que ha invitado a muchas organizaciones a la externalización de este puesto, con el objetivo de trasladar a terceras empresas, verdaderas expertas en la materia, el cuidado de esas obligaciones.

Conforme a la normativa europea, el DPO debe formar parte de todos los debates, análisis o discusiones que tengan como objeto, directa o indirectamente, el tratamiento de datos personales en el seno de la organización. En el desarrollo de sus funciones deberá reportar a la más alta dirección. Debe ser una figura independiente y autónoma dentro de la organización. Deberá tener acceso y relación con otras áreas para poder desarrollar sus funciones. Todo ello habrá de garantizarse en el Estatuto del DPO, mediante el que se garantice la participación en tiempo y forma en todas las cuestiones relacionadas con datos personales, se faciliten los recursos necesarios para el desempeño de sus funciones, se garantice y proteja la independencia del DPO y se establezca el sistema de rendición de cuentas directamente al más alto nivel jerárquico.

A tal efecto, y a la vista de la elevada responsabilidad incurrida, las partes definirán adecuadamente obligaciones y garantías que marquen la hoja de ruta de actuación en cada momento. Además, la designación del DPO ha de comunicarse a la autoridad de protección de datos competente, la Agencia Española de Protección de Datos en nuestro caso, que mantendrá una relación pública y actualizada de los DPOs, accesible por cualquiera. Acostumbrémonos al nombre, el DPO ha venido para quedarse; no es moda pasajera.

Autor

Alejandro Touriño

Alejandro Touriño es Socio Director de ECIJA, una consultora global en tecnologías de la información y la propiedad intelectual

Artículos Relacionados

Artículos Relacionados