El Delegado de Protección de Datos en la empresa, ese gran desconocido

Jordi Verdú, Irene Benavides, el moderador Eduard Chaveli (Govertis), Raquel Sánchez y Francisco Lázaro, este viernes en Madrid. | FOTOS: Alberto Orellana

La figura del Delegado de Protección de Datos, o DPD, todavía es relativamente nueva en España. Pese a la unificación que ha supuesto el marco del RGPD a nivel europeo este perfil profesional sigue sin incorporarse debidamente a las empresas, al menos para reforzar la privacidad en el ecosistema. Se confunden funciones y faltan recursos, cultura y una buena dosis de alianzas. Y coordinación, tanto a nivel interno como entre las diferentes autoridades que velan por el cumplimiento de la normativa. Para “ubicarlo” mejor se ha celebrado este viernes en Madrid el II Congreso ‘Diálogos de DPDs’.

La Asociación Española para la Calidad (AEC) ha organizado este foro de debate para ilustrar algunas de las deficiencias que se ven en el día a día en las empresas. Así como para reflexionar sobre las normativas que vienen o el impacto de la protección de los datos digitales más allá del ámbito regulado. José Luis Piñar, profesor de Derecho Administrativo en la Universidad CEU San Pablo, ha comenzado la jornada recordando que el DPD es “una figura imprescindible” en el nuevo modelo de protección de datos. Una normativa basada en la percepción del riesgo y el principio de “responsabilidad proactiva”.

Es decir, que si bien antes era la norma la que taxativamente prohibía y ponía bien claros los límites, ahora el modelo es más bien el de la “velocidad adecuada”. Según ha explicado, esto implica que es la empresa quien debe percibir el riesgo que corre con el tratamiento de los datos que maneja. Y, posteriormente, tendrá que “argumentar” ante las autoridades competentes por qué sus medidas de seguridad se adecúan a ese riesgo para con la norma. En función los datos tratados se aplicará un sistema de protección u otro, y es tarea del DPD determinar ese nivel de riesgo, ha desgranado Piñar.

Esto requiere un cambio de actitud en la empresa, pero también en las autoridades, para analizar si ese argumento es válido. Por un lado, hay que tener integrado al DPD en la organización (aunque contractualmente no tenga esa significación). Y por otro, el propio delegado tiene que conocer bien “el sector” en el que opera la empresa, ha abundado. Y ha de ser “independiente”, ha insistido: “Debe defender el derecho a la protección de datos en la empresa, no defenderla”. Más allá de los certificados (voluntarios), Piñar ha recalcado que el DPD es quien “asesora, informa y colabora, pero “en ningún caso toma decisiones”.

Una confusión que se ha visto confirmada después en la mesa redonda con los testimonios de los delegados de diversos sectores. La regulación es “de calidad”, en incluso “suficiente”, según han comentado algunos ponentes. Pero faltan “recursos” (sobre todo en el ámbito público) como ha señalado Jordi Verdú, del Ayuntamiento de Valencia. Y también “cultura”, que unida a la inconcreción de ciertos puntos de la RGPD, en la práctica ha llevado a los DPDs a hacer tareas que “no son suyas”, han criticado los profesionales.

A veces tener guías prácticas o de carácter ‘soft law’ son más útiles que una regulación general, ha argumentado Irene Benavides (Telefónica). Por su parte, Raquel Sánchez ha evidenciado que la norma “no ha tenido en cuenta” los plazos de evaluación de calidad de las universidades. La DPD de la Francisco de Vitoria ha reclamado un cambio “desde arriba” y ha instado a las autoridades a desarrollar una mayor coordinación entre ellas. Una propuesta que ha subrayado Francisco Lázaro (RENFE), quien ha aclarado la importancia de ese entendimiento. Y es que, dependiendo del procedimiento y la variedad de los datos implicados, hay que hacer frente a un tipo y número de autoridades u otro, ha detallado.

Donde también han coincidido los profesionales ha sido en que la regulación “ha fallado” a la hora de “empoderar” a los usuarios, según ha verbalizado Verdú. El de Valencia ha expresado lo que también reconoce la DPD de Telefónica: la “dificultad” para explicar al usuario el tratamiento de sus datos en servicios digitales cada vez más “complejos”. Para estar completamente seguros de que conocemos todos los entresijos de muchos de estos servicios tendríamos que leer “72 días” de cláusulas, ha clamado el del ayuntamiento.

En definitiva, falta concienciación sobre protección de datos, y las empresas deben conseguir que “la consulta del DPD sea esencial” en este ámbito. Ampliar departamentos y lograr alianzas entre secciones afines (cortafuegos) y mecanismos de gestión de seguridad. Sobre cómo hacer esa gestión trata, entre otras cosas, la reciente norma ISO 27.701/2019. Javier Cao, consejero jefe de ciber riesgo de Govertis, la ha analizado en detalle. Según ha diseminado, esta norma en esencia añade preceptos y prácticas además de las que ya recoge la ISO 27.001, de protección de información general.

Quienes lleven bien esta última norma, “no tendrán dificultad” en cumplir con la nueva, ha resumido. Antonio Muñoz ha cerrado el acto reflexionando sobre el origen “cultural” de la privacidad y el “impacto” que tiene en aspectos de la vida humana que la normativa no recoge (como el concepto de ‘libertad’ o ‘propiedad’ que devienen de la privacidad, y a menudo confundidos). Al ser una creación de las convenciones sociales, Muñoz ha advertido de que “no todas las personas entienden la privacidad de la misma manera”.