La introducción de la figura del DPO en el nuevo Reglamento Europeo de Protección de Datos nos plantea qué posición deberá ocupar en el seno de la Compañía y, por ende, qué relación deberá tener tal figura con los cargos Directivos de la misma. A través de este artículo analizaremos las características del cargo de DPO y cuál debe ser la relación que deberá tener con la Dirección de la empresa.
1) La independencia del DPO:
El DPO es una figura independiente que deberá ejercer una función preventiva y proactiva, supervisando, coordinando y divulgando la política de protección de datos que siga la Empresa. Lo deberá hacer tanto en el de la misma como desde dentro hacia el exterior. El DPO es un punto de conexión entre el responsable del fichero o tratamiento, el afectado y la/s autoridad/es de control.
El elemento de la independencia del DPO no se debe interpretar como que el DPO podrá hacer y deshacer lo que considere sin rendir cuentas a nadie. El Reglamento hace énfasis y lo destaca como una de las funciones principales la consistente en rendir cuentas directamente al más alto nivel jerárquico del responsable y/o encargado del tratamiento, es decir, a los cargos Directivos. Por ende, la primera conclusión que sacamos es que la relación entre ambas figuras deberá ser lo más directa posible.
2) La Responsabilidad de la Empresa y el DPO:
El Data Protection Officer es una figura necesaria para las entidades, empresas, instituciones o cualquier agente que procese datos personales. Asimismo, su designación, no eximirá a la Empresa u Organización de responsabilidad por los diferentes tratamientos que se lleven a cabo con los datos de las personas ni, por supuesto, del cumplimiento de las normas del Reglamento.
La no exclusión de responsabilidad a la Empresa, por uno o varios tratamientos que no se ajusten a la legalidad, aclaran la necesidad de una implicación proactiva de la Empresa (cargos Directivos incluidos) en el conocimiento y cumplimiento de la normativa en materia de Protección de Datos. Todo ello para poder demostrar lo que en Corporate Compliance llamaríamos "la cultura de cumplimiento" y que, en el caso que nos ocupa también nos encaja. Tal estado no se podrá alcanzar sin una comunicación fluida, directa y habitual entre la Dirección y el DPO. La Dirección debe ser consciente de uno de los principios más conocidos en Derecho: "el desconocimiento de la ley no eximirá de su cumplimiento".
3) La elección del perfil de DPO:
La elección del DPO, desde nuestro punto de vista es una de las decisiones cruciales. El Reglamento nos permite escogerlo de fuera o de dentro de la Empresa. Así pues, la Compañía, deberá buscar un determinado perfil que cumpla con las cualidades que recoge la nueva normativa: cualidades profesionales, conocimientos especializados del Derecho, práctica en materia de protección de datos y capacidad para desempañar las tareas que tiene designadas en la ley (el nuevo Reglamento Europeo así como la normativa local en materia de protección de datos).
A pesar de todos los requisitos mencionados, el Reglamento omite el más importante y el que la Dirección de la Compañía debe asegurarse de que se escoja la persona que lo sabrá interpretar y tener en cuenta a lo largo de la duración en el cargo de DPO.
Así pues, el perfil que se escoja deberá tener muy claro que deberá llevar a cabo sus funciones que le impone la normativa siempre procurando ir en la misma dirección que los objetivos del negocio que hayan trazado la Dirección de la Empresa y, procurar con la máxima diligencia y cuidado, no ir en contra del negocio. El sentido común nos dice que parece algo muy obvio pero, trasladándolo al campo práctico, todo se complica.
El DPO no puede olvidar que una de sus funciones, a pesar de no estar definida en la ley, es proporcionar a la Compañía todos los argumentos, recursos y soluciones posibles para que puedan enfocar el futuro del negocio en la dirección que la Dirección considere más oportuna. Y, el DPO debe sumar y aportar creatividad para, dentro de lo posible, no frenar los objetivos.
4) La función de reporting:
Por otro lado, dentro de las funciones del DPO y en el marco de la relación directa con la Dirección de la Compañía, cabe destacar la función de reporting del DPO hacia la Dirección con el fin de informarles y tenerlos al día sobre los tratamientos de datos que se realizan en la empresa y los riesgos asociados a los mismos, sobre las incidencias relativas a protección de datos, sobre las evaluaciones de impacto así como también informar de la relación con las Autoridades de Control y, por último, sobre la evolución de la supervisión del cumplimiento de la normativa en todos los niveles de la empresa.
La periodicidad de los reportings a la Dirección dependerá del nivel de madurez de la Empresa. Así pues, una Compañía que no tenga interiorizado esa cultura de cumplimiento de la que hablábamos, no podrá ponerse unos objetivos muy elevados de cumplimiento y hacer reportings cada 2/3 meses. En cambio, la Empresa que, con los años, vaya adquiriendo una buena cultura de cumplimiento, a través de la sensibilización, podrá hacer reportings, más periódicos.
5) La posición de DPO en el organigrama de la Compañía:
Por último, la ubicación ideal del DPO en el organigrama de la Empresa deberá ser coherente con el grado de independencia que se le atribuye, quedando desligada de la estructura jerárquica y del negocio, pero, en ningún caso, aislada ya que deberá reportar a Dirección todo lo comentado anteriormente.
En el nuevo curso de DPO de Thomson Reuters Aranzadi hemos hecho un gran esfuerzo para describir la metodología y las acciones que un DPO debe realizar en el seno de una empresa o como DPO externo.
