DPO INTERNO QUE PASABA POR ALLÍ
Últimamente estamos detectando una corriente algo preocupante sobre la designación de delegados de protección de datos en las organizaciones, estas organizaciones que debido a los tratamientos de datos que realizan necesitan obligatoriamente de un delegado (entre nosotros, no son tratamientos de datos nada banales e intrascendentes) y que se organizan alrededor de un empleado sin atender a las exigencias que el propio reglamento establece en su artículo 37.5, considerando 97 y que son los pilares fundamentales de la figura:
- El conocimiento del derecho a la protección de datos, que debe estar acreditado, aunque no necesariamente certificado.
- La experiencia demostrable en las tareas o funciones determinadas en el artículo 39 del propio reglamento, como son el asesoramiento al responsable respecto de sus obligaciones, la supervisión del cumplimiento, concienciación, formación, asignación de responsabilidades, su participación en las EIPD y en las Auditoría, la cooperación y punto de contacto con la autoridad de control y atención especial a los riesgos asociados a las operaciones de tratamiento, etc.….
- La capacidad para desarrollar las tareas de manera independiente, cuestión esta más sensible puesto que ya me dirán que independencia tiene un empleado medio para gestionar sus funciones como delegado de protección de datos cuando la dependencia económica, laboral y jerárquica es del 100% del responsable y todo ello sin entrar a valorar a fondo cuestiones como las incompatibilidades del puesto
Así las cosas, lo que realmente pasa es que estas empresas o entidades no han entendido nada de la nueva normativa, nada del cambio de modelo normativo, nada de lo que significa proactividad y accountability, nada de la autoexigencia, nada en definitiva sobre en qué consiste la protección de datos en el seno de una organización.
Uno de los motivos de este proceder pasa porque el empleado va a ser más, por no decir del todo, sumiso a la hora de aplicar medidas correctoras o complementarias para que los tratamientos de datos se ajusten al propio RGPD y en consecuencia el responsable pueda seguir gestionado los datos de manera conveniente a sus propios intereses.
La independencia no se refleja en estas actitudes y junto con las carencias señaladas frente al art.37.5
Es posible que dispongan de un DPO a efectos formales, debidamente comunicado a la Autoridad de Control pero poco más, cuando haya que aplicar la privacidad en el diseño y por defecto, dilucidar entre las bases legitimadoras la más adecuada, sobre las que fundamentar un tratamiento o los propios riesgos asociados al mismo, su gestión y la aplicación de medidas empezarán a aparecer las carencias y antes o después esas carencias se convertirán en infracciones que dejarán la puerta abierta a sanciones y en ese momento el responsable habrá concluido su nefasta gestión de un área de protección de datos por unos cuantos euros de inversión y con unos daños reputacionales si cabe más dolorosos que una simple multa administrativa y en ese momento ya no habrá solución.
Por lo tanto, emplazamos a los responsables al máximo nivel jerárquico de las organizaciones que dediquen tiempo suficiente a saber que es un delegado de protección de datos, sus funciones y obligaciones y como ayudan a su empresa para que esta pueda dedicarse a desarrollar la actividad de su propio objeto social.
DPO ONLINE
La opción de tener un DPO en la distancia también se está detectando y si bien es cierto que el RGPD indica en su artículo 38.1 que el responsable hará que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales, no parece que una participación online o en la distancia sea la forma de hacerle participar más oportuna.
Esta opinión está avalada por el Grupo de Trabajo del Artículo 29 sobre protección de datos (GT 29) Directrices sobre los delegados de la protección de datos, adoptado el 13 de diciembre de 2016 cuando dice.
Es crucial que el DPO se involucre desde la fase más temprana posible en todas las cuestiones relacionadas con la protección de datos.
Participará en las evaluaciones de impacto, deberá ser informado y consultado sobre los tratamientos para aplicar la privacidad en el diseño y por defecto en los estadios iniciales de una operación de tratamiento
En consecuencia, la organización debe garantizar, por ejemplo, que:
Se invite al DPO a participar con regularidad en reuniones con los cuadros directivos altos y medios.
Se recomienda que esté presente cuando se tomen decisiones con implicaciones para la protección de datos. Toda la información relevante deberá transmitirse al DPO de manera oportuna para que pueda prestar un asesoramiento adecuado.
La opinión del DPO deberá siempre gozar de la consideración debida. En caso de desacuerdo, el GP29 recomienda, como buena práctica, documentar las razones de no seguir el consejo del DPO.
Deberá consultarse con prontitud al DPD una vez que se produzca una violación de datos u otro incidente.
No debemos olvidar que una de las funciones que se le van a atribuir a un delegado de protección de datos será la indicada en el art. 38.4 cuando se refiere a que será el elemento de contacto con los interesados en cualesquiera cuestiones relacionadas con el tratamiento de datos y el ejercicio de derechos y que si bien a priori no sería necesario hacerlo de manera presencial, al menos debe existir la posibilidad de que se produzca en tiempo y forma adecuada en caso de solicitud y en consecuencia un delegado online no siempre actuará en plazo antes estos requerimientos.
Por lo tanto, podría admitirse un DPO externo que visitase al responsable de forma periódica, con contacto fluido y asequible y con posibilidades de atender situaciones críticas en plazos razonables y de manera presencial para poder obtener información de todos los implicados.
ASESOR DEL DPO
Otro caso curioso detectado es aquél en que una empresa especializada en protección de datos convence al responsable para que el DPO sea interno a la propia organización, de esta manera ellos se convierten en asesores del DPO, pero sin asumir funciones, ni obligaciones ni responsabilidades para que si por casualidad pasa algo se pueden ir de rositas y el DPO interno apechugue, que para eso es el DPO y lo peor de esto es que lo hemos detectado en colegios a nivel nacional con tratamientos de datos de menores, otros que tampoco han entendido nada de la nueva regulación.
DPO PARA QUE NO ME DESPIDAN
Esta es la última y no menos imaginativa opción que exponemos, se trata de un empleado que ha sido especialmente informado que conforme al art. 38.3 cuando dice que “No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones” y alguno lo entiende como si se tratase de un delegado sindical, poco menos que intocable, pero ojo porque despedir a este DPO interno tienen que estar muy bien justificado ya que de lo contrario se agarrará como un clavo ardiendo a este articulo para evitar el despido. Por ciento que la LOPDGDD ha venido a reforzar esto mismo en el art. 36.2.
Una vez detectado esto el paso siguiente es hacer un curso de 180 horas, curioso que coincida con las horas de formación que se van a requerir cuando un DPO no tenga experiencia previa y quiera acceder a la certificación.
En definitiva, seguimos siendo reyes de la picaresca.
JM MULERO