Togas.biz

Además de ciertas novedades como el incremento de las sanciones económicas en el caso de su incumplimiento y el requerimiento de obtener el consentimiento como clara acción afirmativa por parte de las personas físicas para el tratamiento de sus datos, otra de las principales novedades clave del nuevo Reglamento General de Protección de Datos (RGPD) de la UE gira en torno a la creación de una nueva figura jurídica: el Delegado de Protección de Datos (Data Protection Officer, DPO).

A partir del 25 de mayo de 2018 comenzará a aplicarse en los Estados miembros dicha normativa, de la que “conviene recordar que ya se encuentra en vigor aunque sus requerimientos no serán exigibles hasta tal fecha”, según indica Ana López, Directora del área Regulatorio, Administrativo y Competencia de KPMG Abogados. Además, al ser un reglamento será aplicable a todos los Estados miembros sin la necesaria adopción de esta norma por cada país. “En el caso de que alguno de ellos no cuente con esta adaptación, se le aplicaría directamente la nueva norma europea, indica López.

No obstante, en nuestro país se presentó la semana pasada el Anteproyecto de la Ley Orgánica que pretende sustituir a la vigente en la actualidad. Un borrador que no regula íntegramente esta materia a diferencia de la actual ley orgánica (en vigor desde 1999) sino que aborda diferentes aspectos puntuales del nuevo (y extenso) catálogo jurídico europeo. En este sentido, López añade que “a este anteproyecto se le podría solicitar una mayor profundización y clarificación en determinados conceptos jurídicos y la mayor brevedad posible en su aprobación, si bien esto último parece difícil de alcanzar”.

Funciones y perfil del DPO

En nuestro país, hasta la creación de esta nueva normativa, no era obligatoria la existencia de esta nueva figura: el Delegado de Protección de Datos, aunque sí que era necesario contar con un responsable de seguridad que generalmente dependía de los departamentos de IT. “Este nuevo profesional será la punta de lanza de la nueva estructura de responsabilidad activa de la compañía en privacidad, debiendo estar respaldado por los recursos necesarios y contar con una comunicación activa y directa hacia la alta dirección de la compañía”, señala Javier Aznar, senior manager responsable de Privacidad para IT Advisory de KPMG en España.

“Más allá de su función como asesor y punto de contacto con autoridades como la Agencia Española de Protección de Datos o interesados, el DPO será asimismo el responsable de velar por el cumplimiento de la normativa y la política de protección de datos de la compañía”, sostiene Jorge Aguirregomezcorta, socio responsable del área de Regulatorio, Administrativo y Competencia de KPMG Abogados.

¿Será obligatorio contar con un DPO certificado? Lo cierto es que no, la nueva normativa no contempla la certificación obligatoria de dichos profesionales aunque sí que lo sugiere. De hecho, desde la entrada en vigor de esta normativa, la propia Agencia Española de Protección de Datos ha anunciado que está impulsando, junto con la Entidad Nacional de Acreditación (ENAC), los trabajos para desarrollar un modelo de certificación como DPO, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo. De hecho, son diversas las instituciones, como la Asociación Profesional Española de Privacidad, que pretenden ofrecer este tipo de titulación.

Según el perfil descrito por Aznar, “lo ideal sería que este profesional contara con conocimientos de Derecho y Ciberseguridad y fuese conocedor de la compañía por lo que, aunque puede ser una figura interna o externa, se aconseja para compañías de cierta entidad que esté dentro de la organización. En cualquier caso, no podrá ejercer ningún cargo de responsabilidad que entre en conflicto con su rol”.

En definitiva, el nuevo RGPD implica un cambio significativo en la aproximación que realizan las organizaciones en el tratamiento de los datos que manejan en diferentes aspectos. Por lo que, “será determinante la adopción de una actitud proactiva, en la que la compañía ha de ser la primera en dar un paso adelante en la adopción de medidas y en documentar su diligencia para poder demostrarla ante posibles brechas de seguridad o inspecciones”, sostiene Aguirregomezcorta. El Delegado de Protección de Datos será clave, por tanto, en este principio de responsabilidad proactiva así como en la ejecución de otra de las principales novedades del RGPD: la obligación de notificar la brecha de seguridad de privacidad al regulador (en los casos más graves también al cliente o empleado) dentro de las 72 horas posteriores al evento.

Arancha Pérez


Fuente: KPMG Abogados

Source