Las empresas privadas y las administraciones públicas se preguntan a quién deben designar como Delegado de Protección de Datos/Data Protection Officer (DPD – DPO).  En estas líneas intentaremos dar algunas pistas para su designación.

Por un lado, hay que tener en cuenta que existen una serie de cualidades explícitas que recoge el artículo 37.5 del Reglamento General Protección de Datos (RGPD).  Este dice que será designado atendiendo a sus “cualidades profesionales” y en particular a:

1. Conocimientos especializados del Derecho
2. Práctica en materia de protección de datos
3. Capacidad para ejecutar las tareas contempladas en el art. 39.

Si descendemos al detalle de cada una de esas cualidades vemos lo siguiente:

1. Conocimientos especializados del Derecho

Está claro que debe tener conocimientos de legislación, pero en ningún momento se exige expresamente que tenga una titulación relacionada con el Derecho. Existen                                          candidatos a DPD que tienen un perfil profesional técnico. No obstante, es cierto que disponer de una base de conocimientos en Derecho, particularmente de protección de datos (como un curso de especialista o un Máster) constituyen una buena base.

El Grupo de Trabajo del Artículo 29 ha dicho que, aunque el nivel de conocimientos requerido no está estrictamente definido debe de ser acorde con la sensibilidad, complejidad y cantidad de datos de los procesos de una organización.

2. Práctica en materia de protección de datos

Es lógico que los citados conocimientos han de estar centrados en protección de datos y que, además, los mismos deben de haberse aterrizado de forma práctica.

3. Capacidad para ejecutar las tareas contempladas en el art. 39. del RGPD

El Grupo de Trabajo del Artículo 29 ha dicho que la “capacidad para cumplir las tareas que le corresponden en el DPO debe interpretarse como tanto refiriéndose a sus cualidades personales y conocimientos, sino también a su posición dentro de la organización. Cualidades personales deben incluir por ejemplo integridad y alta ética profesional; principal preocupación del DPO debe permitir cumplimiento el RGPD”.

A dichas cualidades hay que añadir otras:

1. Conocimiento sectorial

El artículo 97 del RGPD dispone:

“El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado”.

El Grupo de Trabajo del Artículo 29 insiste en este conocimiento sectorial:

 “Conocimiento del sector empresarial y de la organización del regulador es útil. El DPO debe tener comprensión suficiente de las operaciones de transformación llevado a cabo, así como los sistemas de información y seguridad de los datos y las necesidades de protección de datos del Responsable de Tratamiento”.

Y este conocimiento en el sector público supone “tener un sólido conocimiento de las normas administrativas y procedimientos de la organización”.

2. Capacidad de comunicación, empatía, habilidades personales y de negociación.

Su posición de interlocutor con las autoridades de control y con los interesados y sus representantes exigen de estos, capacidades de comunicación, lo que se evidenciará de forma clara, aunque no sólo, cuando haya que comunicar, por ejemplo, una incidencia.

También deben disponer de habilidades personales y empatía para lidiar en situaciones como por ejemplo la gestión de reclamaciones o las posibles tensiones que se puedan producir cuando existan discrepancias entre los criterios empresariales y los que defienda el DPD por aplicación de las exigencias legales.

3. Conocimiento de idiomas

La existencia de un marco normativo común a Europa hace aconsejable siempre y exigible en algunos casos (por ejemplo, cuando se trate de multinacionales o empresas con fuertes relaciones fuera de España) que el DPD tenga conocimientos en otros idiomas, particularmente en inglés.

4. Conocimiento de gestión de riesgos

Una de las nuevas obligaciones que ha impuesto el RGPD y que supone un cambio muy importante de enfoque de la privacidad es su orientación al riesgo, lo que exige siempre realizar un análisis de riesgo (aunque en algunos casos sea sucinto) y en determinados casos la obligación de realizar una evaluación de impacto “formal”. Y ello requiere de conocimientos en gestión de riesgos.

5. Por último, y dado que de su trabajo siempre se producirá en equipo (aunque unas veces más y otras menos en función de la organización) deberá aprender a trabajar en equipo, gestionarlos y liderarlos.

Por su parte el artículo 35 del ANLOPD al abordar el tema de la cualificación del Delegado de Protección de Datos dispone:

“El Delegado de Protección de Datos, sea una persona física o jurídica, deberá reunir los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 y demostrar reconocida competencia en la materia. El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación.

Para finalizar comentaremos que la independencia del DPD-DPO requiere que reporte directamente al más alto nivel de dirección (alcaldía, presidencia, consejo de administración, etc) sin necesidad de pasar por el filtro de mandos intermedios o superiores. Y que el Grupo de Trabajo del Artículo 29 ha indicado que “el DPD no puede detentar un cargo dentro de la organización que le lleve a determinar los fines y medios del tratamiento de datos personales. Debido a la estructura organizativa específica de cada organización, esto deberá considerarse caso por caso. Por regla general, los cargos en conflicto pueden incluir los puestos de alta dirección (tales como director ejecutivo, director de operaciones, director económico financiero, director médico, jefe del departamento de marketing, director de recursos humanos o jefe del departamento de TI), pero también otros puestos inferiores en la estructura organizativa si tales cargos o funciones llevan a la determinación de los fines y medios del tratamiento”.

Equipo de profesionales de Govertis.