Este post es para contribuir al debate sobre la figura del Data Pivacy Officer (DPO) o, como posiblemente se llamará en español (fracamente, menos glamuroso), el Delegado de Protección de Datos.

Para empezar, los que quieran saber más sobre las vicisitudes de esta figura profesional, cuyas características se describen en el futuro Reglamento Europeo de Protección de Datos, harían bien en acudir a este post de Ricard Martínez.

Lo que aquí me gustaría debatir es si el DPO debe ser una persona de la plantilla o puede ser también un profesional externo. De paso, me gustaría también aclarar una cosa: en mi opinión, el DPO no puede ser una empresa/persona jurídica externa (si da tiempo, lo veremos después).

Veamos qué dice, sobre esta figura, el Reglamento. Por cierto, yo manejo el borrador 15039/15, en inglés, así que espero acertar en la traducción.

Quién necesita un DPO

El art. 35 arranca con aclarar qué Responsable del Tratamiento/Fichero debe tener un DPO. En la letra a) se aclara que toda autoridad pública, con excepción de los tribunales en el desarrollo de su actividad judicial, debe tener uno.

Incluímos aquí, desde sociedades mercantiles públicas, hasta ayuntamientos. Creo que, en este punto, la situación es pacífica.

También deberán contar con un DPO las entidades que realizan una regular y sistemática monitorización de los afectados (data sibjects, en el texto inglés). Aquí, ya empiezo a tener mis dudas: desde luego, una gran compañía retailer debe contar con esta figura, pero, en realidad ¿cuándo hay un tratamiento de datos a gran escala? ¿Cuándo tratamos datos de cien clientes, mil, diezmil? Confieso que no sé contestar a estas preguntas. En realidad, creo que la misma empresa sabrá cuándo tener o no un DPO o, por lo menos, eso deseo.

Para terminar, también deberán tener un DPO las entidades (públicas y privadas) que realizan un tratamiento de datos merecedores de especial protección (p.e., datos de salud).

Cómo es un DPO

Aquí me limito a comentar el punto 5, del art. 35, Reglamento, renovando la invitación a visitar el blog mencionado anteriormente.

La primera características es la de poseer «professional qualities«. Aquí, podemos incluir, por ejemplo, la experiencia ganada a lo largo (¿de cuántos años?), realizando actividades de consultoría y auditoría en materia de protección de datos (LOPD). No creo, francamente, que los que hayan realizado (y continúan haciéndolo) esa consultoría denominada «LOPD a coste cero«, tengan las debidas capacidades profesionales deseadas.

Además, el DPO debe contar con un profundo conocimiento de la legislación en la materia (faltaría más) y las capacidades, académicas y prácticas, para realizar las tareas previstas en el art. 37 (en otro post, si se tercia y hay interés de los lectores, las analizaremos).

Un poco de polémica: ¿tiene un ingeniero de telecomunicaciones un profundo conocimiento de la legislación en materia? En mi opinión, no. No se trata, aquí, de empollarse con más o menos atino, la futura LOPD. Lo que aquí se requiere es conocimiento de Derecho Administrativo (para los DPO que trabajen para la Administración), la legislación sanitaria (para realizar correctamente la labor para un hospital) y un largo etcétera.

Propongo un pacto: yo no me pongo a administrar la seguridad de una red (porque no sé) y un teleco no se mete a redactar las bases de un contrato administrativo entre un proveedor y un ayuntamiento. Parece razonable, ¿n’est pas?

El punto 8) del art. 35, textualmente dice: «The DPO may be a staff member…, or fulfill the tasks on the basis of a service contract«. Parece claro: optes por la opción que quieras, como Responsable del Tratamiento, si estás obligado a tener un DPO, ten uno. La modalidad, siempre y cuando se garantice la independencia, las capacidades profesionales y los conocimientos de la materia, es indiferente.

La independencia es otra característica importante del DPO. En el caso de las Administraciones Públicas, ¿se garantiza esta independencia a través de el nombramiento de un funcionario? Mi opinión es que no necesariamente. Desde luego, el funcionario goza de inamovibilidad (salvo casos legalmente establecidos) y eso permite cierta seguridad en la realización de su trabajo, sobretodo en los casos en los que deberá decir cosas que no gustan a los responsables políticos. Pero, ¿es esa la única forma de garantizar la independencia? Sigo pensando que no. Creer que la independencia se blinda sólo a través de una plaza de funcionario parece indicar que no nos fiamos de los responsables de las instituciones públicas. Ya sé que este sector no goza de una particular pública confianza en este momento, pero que no podemos basar estas decisiones en momentos coyunturales.

¿Y en las empresas privadas? ¿Cómo blindamos la independencia del DPO? La respuesta obvia podría ser la de tener un DPO como personal fijo de plantilla (imprecisión que hará enfadar a los compañeros laboralistas, pero éste nunca ha sido un blog técnico, así que espero me perdonen).

Entonces, ¿en qué quedamos?

Mi propuesta es que, manteniendo todas las opciones abiertas (funcionario para las Administraciones Públicas; contrato fijo para las empresas privadas) también exista la posibilidad de prestar el servicio de DPO por parte de un profesional autónomo. De ahí, el título de este post: DPO As a Service.

Desde luego, la contratación externa está permitida por el Reglamento; habrá espacio suficiente para asegurarse que el contratado tenga las habilidades profesionales (a través de certificaciones reconocidas, tipo CISA) y los conocimientos en materia; y establecer los parámetros para garantizar la famosa independencia.

Todos los comentarios son bienvenidos, también por email.