El Reglamento General de Protección de Datos (en adelante RGPD) ha venido a instaurar el Delegado de Protección de Datos, una figura conocida por sus siglas en inglés Data Protection Officer –DPO-, definiendo a este profesional como una persona con conocimientos especializados del Derecho y de la práctica de la protección de datos personales.
Este DPO, de obligada designación para todos los organismos públicos así como para muchas empresas privadas[1], supone la aparición de un perfil profesional muy específico y cualificado: el de una persona, que no tiene necesariamente que ser abogado pero sí con conocimientos especializados del Derecho y de protección de datos.
En España los conocimientos especializados del Derecho se adquieren normalmente en las facultades de Derecho, pero no existen asignaturas dedicadas a la protección de datos, sino que a lo sumo podemos encontrar algunas nociones en concretas disciplinas y muy focalizadas; por lo que tenemos graduados en Derecho sin conocimientos especializados en protección de datos y por el contrario, existen profesionales que se han dedicado muchos años a la protección de datos pero sin una formación en Derecho.
Este escenario nos indica que al no existir una única titulación oficial y tradicional que nos permita alcanzar los requisitos mínimos para ser DPO, será necesario una formación concreta más allá de la que se pueda adquirir en una titulación universitaria tradicional.
En definitiva, el contexto actual se traduce en un déficit existente de DPOs, siendo además que según la Asociación Internacional de Profesionales de la Privacidad (IAPP) se estima que en Europa harán falta unos 75000 DPOs[2], por lo que podemos hablar de un perfil profesional muy demandado y que por tanto estará también muy cotizado.
Las funciones de un DPO vienen establecidas en el artículo 39 del RGPD, y se pueden resumir en un asesoramiento permanente en materia de cumplimiento normativo de protección de datos.
El trabajo de un DPO no es por tanto una prestación de un servicio con un principio y fin determinado, como lo podría ser por ejemplo la realización de una demanda o la instalación de un software de gestión, sino que supone desplegar sus conocimientos y asesoramiento de forma permanente durante la actividad del responsable del tratamiento. Los responsables del tratamiento, ya sean entidades públicas o privadas, son organismos vivos donde no siempre realizan los mismos tratamientos de datos personales, sino que van surgiendo nuevas oportunidades de negocio o nuevas competencias públicas que requieren de nuevos tratamientos de datos; imaginemos una empresa privada que decide realiza un concurso en una red social, donde captará y tratará datos personales que además querrá luego utilizar para fines promocionales; o un Ayuntamiento que va a abrir una biblioteca y tratará nuevos datos personales de los ciudadanos. El DPO tendrá que asesorar cómo realizar estos tratamientos de datos antes de que se produzcan para que sean conforme a la normativa y además deberá velar que los tratamientos durante y posteriores sean también acordes a la ley aplicable.
Por otro lado, el DPO deberá estar al tanto de los nuevos criterios interpretativos que surjan a raíz de la aplicación del RGPD y en nuestro ámbito nacional de la recientemente aprobada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDgdd).
Tanto la autoridad nacional en protección de datos, como las autoridades autonómicas, han ido creando durante los años de aplicación de la anterior normativa, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) un gran cuerpo interpretativo de la normativa que ahora tendrá que adaptarse a las novedades del RGPD y de la LOPDgdd, por lo que durante los próximos años se prevé una actividad intensa por parte de estas autoridades para arrojar luz sobre los puntos oscuros de la normativa, actividad de la que tendrá que estar muy pendiente el DPO si quiere realizar su trabajo correctamente.
Junto a esta actividad interpretativa en sede administrativa, el DPO también deberá estar pendiente de los pronunciamientos judiciales que se produzcan durante los próximos años en aplicación de la nueva normativa nacional y europea y como instancia revisora del criterio de las autoridades de control. Debemos ser conscientes que gran parte del camino que se ha recorrido a nivel interpretativo durante los 20 años de LOPD ahora debe volver a recorrerse para acomodarlo a la nueva normativa europea, por lo que la formación del DPO deberá ser continua y lo más relevante, especializada.
Por si fuera poco, entre las funciones del DPO está la de supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión Europea o de los Estados miembros y de las políticas del responsable del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal.
Por lo que el DPO, además de estar pendiente de los criterios interpretativos ya sean judiciales o por parte de las autoridades de control, también tendrá que tener un ojo puesto en las novedades legislativas nacionales, autonómicas y comunitarias que tengan un impacto en los tratamientos de datos personales de los que deba asesorar.
Y no menos importante es la atribución expresa que hace el RGPD cuando indica que el DPO deberá también concienciar y formar al personal que participa en las operaciones de tratamiento; este mandato expreso del legislador europeo a la figura del DPO no debe pasarse por alto y el DPO debe ser consciente que además de asesorar al responsable del tratamiento tiene la atribución de formar al personal en el correcto tratamiento de datos; esta formación además, y por su propia naturaleza, deberá ser periódica y actualizada frente a las nuevas formas de comprometer los datos personales que surjan en el futuro o frente a nuevos riesgos que nazcan fruto de la realización de nuevos tratamientos de datos personales por parte del responsable del tratamiento.
Todos los conocimientos anteriores deberán ser aplicados a las concretas situaciones y necesidades del responsable del tratamiento y dado el actual estado de la tecnología y su penetración en los modelos de negocio, será necesario que el DPO no solo tenga esos conocimientos teóricos, sino que además sea capaz de entender la tecnología y poder comunicarse eficazmente con los técnicos para poder ofrecer soluciones realistas con la tecnología utilizada. De poco serviría un DPO con grandes conocimientos teóricos sobre protección de datos si es incapaz de aplicar dichos conocimientos en un entorno tecnológico concreto al no disponer de las habilidades técnicas adecuadas que le permita desenvolverse con soltura; por este motivo, un DPO solvente no solo deberá tener esos conocimientos especializados del Derecho que menciona el RGPD sino que también deberá tener formación y práctica en la tecnología.
Por todo lo anterior, el contexto actual y el previsto para los próximos años, es el de una gran demanda por parte de organismos públicos y empresas privadas del profesional especializado en protección de datos o DPO, profesional que va a requerir de una especialización dedicada exclusivamente en temas de protección de datos si se quiere que el servicio que pretenda ofrecer sea riguroso y actualizado. Esto supone que el déficit actual de profesionales de la privacidad en el que nos encontramos se prolongue durante no pocos años, convirtiéndose en una profesión muy cotizada en el futuro, como lo puede ser actualmente el experto en seguridad informática.
[1] Además de los supuestos contemplados en el RGPD en los que un DPO es obligatorio, la normativa nacional ha ampliado estos supuestos en el artículo 34 de la LOPDgdd.
[2] Estimación de la Asociación Internacional de Profesionales de la Privacidad: https://iapp.org/train/gdprready/
– Socio en 451Legal – Abogado especializado en Derecho de Internet, propiedad intelectual y tecnología. Consultado frecuentemente por medios de comunicación.
