El DPO, clave para la consolidación real de la cultura de la privacidad de datos en España

En un contexto en el que los datos forman parte inherente de las sociedades, su regulación resulta imperativa, especialmente teniendo en consideración el crecimiento exponencial de los mismos durante la última década. En este sentido, la Administración Pública ha venido tomando cartas en el asunto. El 25 de mayo del pasado 2018 la ley se impuso a la anarquía. Entonces, el Gobierno materializaba, alentado por los requerimientos de la Unión Europea, una nueva norma a tener en cuenta: el Reglamento General de Protección de Datos (GDPR). Este, aunque ya era conocido en el territorio español desde el 24 de mayo de 2016, supuso un punto de inflexión en lo que a la gestión, tratamiento y cesión de datos se trataba dada la obligatoriedad que adquirió dos años después. La nueva medida que entraba en vigor durante el mandato de Mariano Rajoy relegó a la Ley Orgánica de Protección de Datos (LOPD), vigente hasta entonces, al olvido.

Su obligada puesta en marcha desató la controversia; desde entonces, cuatro años después, su nombre resuena con fuerza. De la misma forma lo hace la figura del Delegado de Protección de Datos (DPO) quien, a modo de guardián, vela por el cumplimiento del nuevo reglamento en aras de la privacidad y la seguridad de compañías y usuarios. El GDPR define las líneas maestras en la materia y la hoja de ruta de los DPO, sin embargo, aprovechamos la presencia de diferentes expertos en el tema para abordar la cultura de privacidad de datos en España, las sanciones propuestas por la ley y el perfil del delegado de protección de datos en nuestro país. Las claves, a continuación.

La figura del DPO bajo lupa

Aunque el GDPR no la define, explica Miguel Recio, DPO de CMS Albiñana & Suárez, la figura del delegado de protección de datos se corresponde con aquella persona “que en una empresa desempeña con independencia las funciones que se le han encomendado en virtud de la normativa”. En este sentido, añade, “se trata de una figura clave que ayuda a las empresas a cumplir en materia de protección de datos y supervisar este cumplimiento a lo largo del tiempo”. Así, Rafael García del Poyo, socio director del Departamento de Derecho de IT/IP en Osborne Clarke, incide “de forma sucinta” en las funciones que el reglamento europeo otorga al DPO: “ha de informar y asesorar a las empresas responsables o encargados del tratamiento de datos y a sus empleados en materia de protección de datos; además, supervisa el cumplimiento de las políticas, de las formaciones internas y de las auditorías; de la misma manera ofrece asesoramiento sobre las denominadas ‘evaluaciones de impacto en la protección de datos’ y en su aplicación”. Siguiendo la estela de las citadas tareas, suelen ser las personas que “actúan como interlocutores entre la autoridad y los responsables o encargados del tratamiento de datos”. En cuanto al marco legal que encuadra la actividad, Recio reivindica la “necesidad de un estatuto jurídico con la finalidad de evitar que se presten servicios de DPO que no ofrecen todas las garantías”.

"El DPO ayuda a las empresas a tener un programa de cumplimiento en materia de protección de datos y supervisar su aplicación"

Perfil y garantías

La figura del DPO se ha consolidado en España, en parte, gracias al GDPR; y es que “su obligatoriedad está recogida en la normativa y en la legislación española”, detalla Alberto Bellé, analista principal de IDG Research. No obstante, su contratación de manera voluntaria solo trae consigo ventajas: “puede ayudar a las empresas a minimizar el riesgo de reclamaciones y sanciones, buscar soluciones que respeten el derecho fundamental a la protección de datos cuando se tratan datos de carácter personal o asegurar que se desarrolle una cultura de privacidad en la empresa a través de la concienciación y formación”. Así lo refrenda Recio y secunda García del Poyo que, además, añade que la contratación opcional de un DPO “puede suponer un elemento diferencial” con respecto a competidores potenciales. El presidente de la Asociación Profesional Española de Privacidad (APEP), Marcos Judel, asevera que, "independientemente de su obligatoriedad, se ha de considerar su necesidad. Que no sea obligatorio no quiere decir que no pueda ser útil. De hecho, la normativa de protección de datos está fundamentada en dos pilares: el enfoque a riesgos y la responsabilidad activa. En otras palabras, se deben analizar los riesgos para la protección de datos de las personas en los tratamientos de sus datos y, en base a ellos, aplicar medidas adecuadas para eliminarlos o mitigarlos". Así, defiende que "aun no siendo obligatoria la figura del DPD, es de lo más recomendable o conveniente".

Sentadas las bases sobre la importancia de la figura, merece la pena radiografiar el perfil de los DPO que demanda el mercado español. Nuestro país importa la figura del DPO del “derecho alemán”, según apunta el socio de Osborne Clarke. En este sentido defiende que en España suelen encarnar este papel “profesionales que como rasgo común cuentan con una sólida formación jurídica y con una amplia experiencia en materia tecnológica y organizativa empresarial”. Todo ello, por supuesto, con una evidente orientación hacia “la protección de los datos de carácter personal y la ciberseguridad”. Merece la pena comentar que fue la Agencia Española de Protección de Datos, según apuntan desde la organización y constatan otros expertos en el sector, “la primera autoridad europea en crear un esquema de certificación de DPO”. De esta manera sentaban un precedente cuyo propósito no era otro que garantizar, “con independencia del perfil de la persona, unos conocimientos y habilidades necesarios”. La certificación, aunque no es obligatoria, responde a “un instrumento que tiene por objeto ayudar a las empresas a tener garantías sobre la persona que contrata”, dice Recio.

¿Existe la cultura de la privacidad del dato en España?

Aunque los expertos consultados coinciden en que sí existe una cultura de privacidad de datos en nuestro país, Miguel Recio aboga por que las partes involucradas “sigan avanzando en afianzar el derecho fundamental a la protección de datos”. Sobre esto, García del Poyo arroja algo de luz; y es que aunque pueda pensarse que, dado que el GDPR entró en vigor hace tan solo cuatro años en España, aún sea pronto para hablar de una cultura de privacidad, esto no es así. “Debemos tener muy presente que nuestra Constitución ya recogió en 1978 una habilitación jurídica para limitar el uso de la informática con el fin de proteger la intimidad de los ciudadanos”, y que también –hace casi treinta años- “el Tribunal Constitucional confirmó inequívocamente por vía jurisprudencial que el derecho a la protección de datos es un derecho fundamental del hombre”.

"La falta de cultura de privacidad de datos implica riesgos de incumplimiento que pueden dar lugar a multas y a la pérdida de confianza de clientes, entre otras cuestiones"

No obstante, más allá de esto incide en que el reglamento aún se encuentra “en sus primeros años de vida”. Una postura que comparte Bellé al asegurar que “los DPO de las organizaciones españolas y europeas están todavía internalizando el GDPR”. “Pocas compañías han dado el salto de reactivo a proactivo”, entendiendo lo primero como una metodología que busca evitar multas y el puro cumplimiento, mientras que lo segundo hace referencia a “entender las reglas de la economía digital e incorporar la privacidad por defecto en la actividad de la organización”. Para ello es necesario “entender a fondo los principios detrás del GDPR, dado que deja el cumplimiento al buen juicio de cada empresa en función de su riesgo”. Judel incide en que "quienes lo asumen como una ventaja competitiva saldrán siempre reforzados frente a los que solo lo entienden como una serie de obligaciones, que a la larga serán los más expuestos".

España, el país más multado

Con la mirada fija en el viejo continente, las cifras son un tanto desalentadoras: España es el país de la Unión Europea más sancionado por el incumplimiento del Reglamento General de Protección de Datos. Así lo suscribe un informe de la ESET durante el pasado año 2021. Las sanciones, explica Bellé, “han aumentado en toda Europa porque el GDPR es más exigente y requiere un cambio de mentalidad”. Atendiendo a las cifras, las sanciones en España han alcanzado las 180, respecto a un total de 457 interpuestas. Sin embargo, retoma el analista principal de IDC Research, “los volúmenes más elevados de sanción se los han llevado los gigantes Amazon y WhastApp en Luxemburgo e Irlanda respectivamente”. En general, prosigue, “España tiene un mayor número de sanciones aunque la cuantía de estas es menor que en otros países europeos”.

España lleva siendo tres años el país que más sanciones impone, dice Bellé, debido a que la “Agencia Española de Protección de Datos es muy activa en su vigilancia”; además, “los propios ciudadanos están sensibilizados con el tema y han realizado múltiples denuncias”. Tras la entrada en vigor del GDPR, asegura el presidente de la APEP, "los ciudadanos hemos sido más conscientes que nunca de que podemos controlar nuestros datos, que podemos hacer valer nuestros derechos. A ello han ayudado los medios de comunicación, las sanciones de la AEPD y  la propia labor de los profesionales que impulsan este cambio cultural". En general, los expertos coinciden en que el principal motivo de las sanciones reside en que las empresas siguen utilizando los datos más allá de aquellos usos a los que estaban autorizados cuando los capturaron. Este es un cambio de mentalidad “que todavía no ha calado en muchas organizaciones”. Ahora, concluye Bellé, “se exige una nueva forma de entender la seguridad”.