¿Es el DPO un coste innecesario?
|Celia Álvarez. Abogada. URIA MENENDEZ, nos comenta que a diferencia de algunos Estados miembros de la Unión Europea, la ley española de protección de datos decidió no imponer expresamente a las organizaciones contar con un/a “Data Protection Officer” (DPO), cuya principal misión consistiría en ayudar al cumplimiento de las obligaciones en esta materia. La ley española tan sólo se preocupó de imponer (y respecto de algunos tratamientos únicamente) un/a “responsable de seguridad”, cuyas funciones quedaron exclusivamente limitadas a las obligaciones de la norma de datos personales en materia de seguridad. Por ello, las funciones del “responsable de seguridad” han sido habitualmente asumidas por los responsables de los departamentos de informática de las organizaciones.
Sin embargo, esto no ha impedido que la figura del DPO forme ya parte del organigrama de aquellas organizaciones que se preocupan por cumplir con todas las obligaciones en esta materia (no sólo las se seguridad), ya sea una persona individual o bajo la forma de comité y contando en ocasiones con el soporte de consultores jurídicos y/o técnicos externos. En efecto, contar con un DPO ya es una verdadera necesidad y lo será aún más cuando el nuevo Reglamento europeo de protección de datos sea finalmente aprobado. En efecto, es indispensable contar con un experto en la materia para poder enfrentarse con ciertas garantías a una normativa muy técnica y compleja y con vocación de “omnipresencia”, Más aun, teniendo en cuenta que la labor del DPO debe consistir en ayudar a las organizaciones a integrar en el negocio, de forma equilibrada y responsable, una cultura de protección de datos. Sus funciones principales se proyectan tanto desde la perspectiva de compliance como de la estrategia empresarial del negocio.
Muchos ven la protección de datos sólo como un obstáculo y un DPO como un coste innecesario; otros son capaces de incorporar la protección de datos como ventaja competitiva del negocio y ven en el DPO un necesario y útil aliado. No está claro aún si el DPO va a acabar siendo o no una figura obligatoria en el futuro Reglamento (tal y como proponen la Comisión y el Parlamento para muchas organizaciones, aunque con criterios distintos) pero es evidente que, obligatorio o no, las organizaciones necesitan y necesitarán este tipo de profesionales para lidiar con todas la obligaciones que impondrá el Reglamento (e.g., de información a los afectados, de consulta previa a las autoridades, de aplicación de los principios de privacy-by-design y de privacy- by-default, de evaluaciones de impacto en protección de datos, de políticas de retención de datos, de capacidad de probar documentalmente el cumplimiento de la norma, etc.), en particular a la luz del importe de las multas que podrán llegar a imponerse (conforme está proponiendo el Parlamento Europeo, hasta 100 millones de euros o 5% del volumen de negocios anual mundial).
Instructora de iiR España del seminario:
Nuevas Responsabilidades, obligaciones y funciones del DATA PROTECTION OFFICER. Barcelona, 1 día presencial (14 de Octubre) + 2 Webseminars (18 y 26 de Noviembre de 2014) Madrid, 1 día presencial (13 de Noviembre) + 2 Webseminars (18 y 26 de Noviembre de 2014)