"El delegado de protección de datos debe supervisar, asesorar e informar con absoluta independencia"
La función de DPO “no es un capricho de GDPR ni una figura que cae del cielo: forma parte del nuevo modelo de protección de datos que diseña el Reglamento, basado en la responsabilidad proactiva", argumenta el jurista José Luis Piñar, galardonado con el Premio CSO al DPO del año 2019.
José Luis Piñar, a quien muchos conocen como “el mejor jurista digital en España”, ha dado visibilidad a la función del Delegado de Protección de Datos o DPO, un nuevo puesto que ha aparecido en las organizaciones y que emana directamente del Reglamento General de Protección de Datos en Europa (GDPR, de sus siglas inglesas). Por su buen hacer, Piñar, que trabaja para el Consejo General de la Abogacía Española, ha recibido el Premio CSO al DPO del año en 2019.
Pero... ¿cuáles son los requisitos para ser un delegado de protección de datos perfecto? Piñar recuerda a CSO que “el Reglamento dice que tiene que ser una persona con conocimientos en derecho y práctica en protección de datos y, además, estar en disposición y tener la capacidad de ejercer el cargo y hacerlo con absoluta independencia, un aspecto, este último, muy importante”. Esta función, puntualiza el experto, “no es un capricho del Reglamento ni una figura que cae del cielo: forma parte del nuevo modelo de protección de datos que diseña el Reglamento, un modelo basado en la responsabilidad proactiva”.
Por tanto, concluye, “la función del DPO es supervisar, asesorar e informar con absoluta independencia, trasladando al responsable y encargado de protección de datos de la organización lo que debe escuchar, no lo que éste quiere escuchar”.
“Una figura apasionante”
Los retos a los que se enfrentan los DPO, “una figura apasionante”, según la define Piñar, son muchos; entre otras cosas porque se trata de una nueva función que se está construyendo ahora. “En otros países, como Alemania y en menor medida en Francia, ya tenían conocimiento y experiencia en lo que respecta a esta figura. En España había algunas experiencias pero es un rol prácticamente nuevo”.
Además de “hacerse valer en la institución”, el gran desafío de este rol es “dar a conocer la importancia de la protección de datos en la institución para la que se trabaja”. Es preciso, afirma, fomentar actividades de formación, difusión y concienciación. “En el Consejo lo he tenido más o menos fácil porque ya había una conciencia previa, pero en otras instituciones no es siempre tan sencillo”, desvela.
Es fundamental también, añade, que el mensaje del DPO se asuma desde la cúspide de la institución hasta el escalón más bajo “porque en protección de datos es cierto que la cadena es tan fuerte como el eslabón más débil”.
GDPR como punto de inflexión
Piñar destaca el punto de inflexión que ha supuesto un reglamento como GDPR. “Ha marcado un antes y un después en la concepción de la privacidad. Estamos acostumbrados a nuestra vieja y querida ley de protección de datos del 99 y a la directiva del 95, que eran normas que nacieron con Internet, pero era imprescindible aprobar nuevas normas adaptadas a la realidad actual de la Red en un mundo global. Para ello era necesario cambiar el modelo y que éste se basara en la responsabilidad proactiva más que en el cumplimiento estricto de la norma”.
El jurista subraya que este reglamento ha nacido con la intención de ser válido sea cual sea el estado de la técnica “porque siempre que se traten datos personales hay que respetar la protección de datos y la privacidad de las personas”.
Piñar valora positivamente el cumplimiento de GDPR y de la nueva Ley de protección de datos española. “Las grandes compañías están reaccionando por las consecuencias en la reputación y por las sanciones, pero también por un compromiso propio interno de cumplir con la normativa. Estas compañías han entendido perfectamente que ahora los ciudadanos y los consumidores valoran mucho el respeto a la protección de sus datos”.
