El Delegado de protección de datos. Reflexiones de balcón en cuarentena.


25 de mayo 2018, cunde el caos, las organizaciones se apresuran para dejar sus políticas de privacidad en la web actualizadas, pedir consentimientos a diestro y siniestro (aunque no hiciera falta en muchos casos), enviar mails a clientes con información y por supuesto nombrar a esa nueva y desconocida figura, el dpd. Los más previsores solo tuvieron que modificar unos cuantos procedimientos, nada tan complicado en empresas que comprenden la importancia del cumplimiento, la responsabilidad y la cultura de la privacidad. Otros muchos, la gran mayoría por desgracia,  se vieron atropellados por los acontecimientos y se apresuraron a nombrar a algún trabajador con algo de conocimiento o que al menos se formara con un curso. La opción de contratar un Dpd externo era el recurso más viable,  pero en ocasiones caro y en ese momento había poca oferta en el mercado.

Hoy, casi 2 años después ¿Qué ha pasado? Las grandes sanciones de 20 millones de euros no llegaron y poco queda de ese miedo inicial,  porque la empresa ya cumple, ¿no? Ya nos adaptamos en su momento. Siento decir que lo más probable es que no, esto de la privacidad consiste en un sistema de gestión y de mejora continua, si dispone de un manual de procedimientos en una estantería acumulando polvo y no hemos trabajado en ello, no podremos demostrar cumplimiento. Puede que ese dpd que nombró haya hecho sus deberes y que se haya interesado en mejorar los procesos, pero, ¿puede reportar a la alta dirección? Y lo más importante ¿Se le tiene en cuenta en la toma de decisiones? Si ambas respuestas son negativas nos encontramos ante un dpd de paja, figura estéril que poco o nada puede hacer por la tan nombrada política proactiva . Ese concepto tan complicado en nuestra cultura,  que en estos temas suele ser mucho más reactiva y tiende a solucionar los problemas poniendo parches. Haciendo el símil con la prevención de riesgos laborales, de la que provengo, cuando ya tienes un accidente mortal poca prevención puedes aplicar, solo te queda asumir las consecuencias. Si lo trasladamos a la protección de datos y al daño reputacional el problema, con sus matices, es el mismo. Después de estos dos años, ese dpd nombrado, heredero del anterior responsable de seguridad, ¿Dónde está?  ¿Sigue dedicando tiempo y esfuerzo a los procedimientos en protección de datos? Probablemente, tiene otro cometido en la empresa y suficiente trabajo como para haber dejado de lado esta materia o recordarla puntualmente si existe necesidad. El problema es que la necesidad es constante,  la labor del dpd no termina y ese el punto donde encontramos lagunas.

Sobre la figura del dpd se ha escrito mucho,  todos intuimos cual debe ser su perfil, porque no existe un  arquetipo único, un poco jurista, un poco técnico,  auditor, con conocimientos informáticos y muy actualizado, persona integra, comprometida y con un sentido del trato ético, vamos una rara avis, difícil de encontrar. Ya sea interno, externo o una combinación de ambas ¿Cuál es su papel real?

El primero y para mi el más importante es la concienciación a todos los niveles, un trabajador  o compañero no sensibilizado en esta materia será una vulnerabilidad, si la falta de sensibilización se encuentra en la dirección,  apaga y vámonos, fracaso seguro. Para sensibilizar primero se debe conocer y respetar su figura, para que el mensaje cale.

Otro rol que debe desempeñar es la mediación y cercanía,  debe comprender al usuario y a la organización,  el propósito es ser accesible, empático, e intentar acercar posturas para lograr ejercitar derechos o que se respeten de forma constante.

Por supuesto sus funciones son ya conocidas y descritas en la normativa (artículo 39 del RGPD), pero para una empresa se hace difícil encajar a este profesional y elegir a la persona adecuada. Entre sus funciones no está redactar políticas internas,  realizar directamente el Registro de actividades de tratamiento o realizar las evaluaciones de impacto, pero la experiencia me dice que en el 90% de los casos lo hará directamente, no nos engañemos,  para eso está ¿no? Si lleva lo de la protección de datos, que lo haga él. Aquí podemos dar un concepto muy fácil de asimilar en las organizaciones, auditar tu propio trabajo no es objetivo ni imparcial, por lo que en la práctica claro que esos dpds internos han realizado todo el trabajo, pero ese no era su papel, lo han hecho por el desconocimiento de su figura, o porque no había más remedio.

Entonces, ¿Cuál es la mejor opción? Depende bastante del tamaño de la organización, su dispersión geográfica y su idiosincrasia, se pueden escoger modelos como un comité interno representado por un dpd, un departamento, o para mí,  el modelo más sencillo en pequeñas y medianas empresas, un modelo mixto. Dpd interno asesorado por un consultor externo especializado, así podremos complementar las posibles carencias y fortalecer el puesto.

Y ahora que entiende un poco más su papel,  ¿Cuándo se usa un dpd? Pues, querido lector,  siempre. Debe estar en todas las decisiones que afectan a nuevos tratamientos de datos personales , por supuesto supervisar que se cumplen los requisitos de seguridad en los tratamientos que se encuentran activos y evidentemente disponible en todo momento para los usuarios tanto internos como externos.

En cierto momento , como usuario de una entidad bancaria ejercite mis derechos con un mail cercano y amigable,  por supuesto conel modelo aportado por la aepd y mi dni, en esto no podía equivocarme, busqué en el aviso de privacidad de la entidad, el mail dispuesto para el tema dpo@…….. Y lo envié. Tras 2 semanas me llegó una respuesta fría y sin firmar que decía, a grandes rasgos, se lo comunicamos a la persona responsable. Entonces pensé,  ¿Quién es la persona responsable? ¿Es esta la explicación que recibe un usuario preocupado por sus datos personales? Considero que no es ese el camino, el dpd tiene que disponer de herramientas tanto materiales como operativas y estas las otorga su empresa. El otro punto, el humano, es más discutible,  ese siempre se puede mejorar, dado que nuestro objetivo es que no llegue la sangre al río.

Si entre los profesionales del sector y las empresas, por supuesto incluyendo a los organismos públicos, primeros que deberían dar ejemplo, no ponemos en valor la figura del delegado de protección de datos nunca conseguiremos que se tome en serio. Una prueba clara es el número de dpds certificados, que sigue siendo irrisorio.

Por supuesto, nos encontramos en un momento delicado y el Covid 19 ha supuesto un parón en nuestras vidas, la privacidad ahora no parece algo importante,  incluso escucho muchas opiniones que indican que debemos renunciar a ella para luchar contra el virus.  No, no estoy de acuerdo, si las cosas se hacen bien,  se aplica la normativa,  el sentido común y se deja realizar su trabajo a los delegados de protección de datos no hace falta renunciar a nuestros derechos y libertades, no cometamos ese error, porque es probable que no haya paso atrás en ese renuncia. Ahora con el confinamiento , donde los menores pasan el día pegados a una pantalla, donde los teletrabajos han llegado sin formación ni preparación previa , donde se cuelga en redes sociales videos del interior de tu casa, de tu balcón,  dando opciones a que tu privacidad desaparezca,  es ahora donde nuestra labor es más importante y por supuesto lo será en un futuro.  Dejemos de ver al dpd como un elemento aislado para ver la privacidad como un todo donde el delegado es el garante del cumplimiento, hagamos de la protección de datos un valor añadido.

Daniel Fernández-viagas dpd certificado según esquema AEPD/DPD.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .