DPO, mucho más que una figura solitaria
"Es la persona que crea la cultura de la privacidad en la organización y que sabe explicarla", se ha señalado hoy durante la jornada que la Asociación Española de Privacidad (APEP) sobre esta personalidad.
Al calor de la llegada del Reglamento General de Protección de Datos (GDPR, por sus siglas inglesas) la figura del Delegado de Protección de Datos (DPO) se está democratizando cada vez más en España. Pero, a medida en que esta figura, que se encuentra a caballo entre los conocimientos tecnológicos, legales y de negocio, se va expandiendo, surgen dudas con respecto a su actividad y ubicación. ¿En qué escalón de la pirámide empresarial se debe sentar? ¿Se está implantando como una personalidad realmente independiente? ¿Es un personaje solitario?
En primer lugar, señalaba Marcos Judel, vicepresidente de la APEP (Asociación Profesional Española de Privacidad), durante la jornada que la entidad ha organizado hoy en Madrid, hay que hacer ver a las compañías el valor que aporta. Un valor que según ha puesto de relieve Carlos García-Mauriño, responsable de protección de datos para Emea de General Electric Healthcare, se empezó a gestar en el país y en su compañía por el año 2008, varios años antes ya de la llegada del Reglamento, “que ahora supone el 120% de nuestra actividad”.
Por su parte, Cecilia Álvarez, presidenta de APEP y DPO de Pfizer, explicaba que a pesar de las noticias que pueden llegar, en Estados Unidos hay más concienciación, sobre todo en la información referente a la industria sanitaria.
Una actividad peculiar y necesaria
Pero, ¿cuáles son realmente las labores de esta figura? “A pesar de que su nombramiento no sea obligatorio, su actividad pasa por resolver tanto las necesidades de los clientes como de las autoridades en los ámbitos de la privacidad”, respondía García- Mauriño. Para ello, añadía, además de los conocimientos técnicos, el DPO tiene que destacar por su pragmatismo y diplomacia. “Tiene un papel evangelizador y de seducción, sobre todo en su relación con la autoridad”, decía Álvarez. “Su tarea no es la de ser espía ni fiscalizador de la Agencia de Protección de Datos. Es una persona que crea la cultura de la privacidad en la organización y que sabe explicarla. Y, por supuesto, ha de ser independiente; su misión es cumplir la ley y no buscar los vacíos legales para no cumplirla”.
Sobre su posicionamiento dentro de las organizaciones, García- Mauriño ha recordado que el Reglamento sugiere que se sitúe dentro de la alta dirección, aunque lo más lógico es que pueda tener acceso en casos puntuales. “Esta figura todavía necesita maduración en este aspecto”. Por otra parte, Enrique Peloche, DPO de La Liga, reconocía que hay dos niveles de reporte: el interno con cada una de las áreas de negocio y el jerárquico. El directivo ha querido destacar, de nuevo, la importancia de su independencia. “Corremos el riesgo de ser utilizados por las organizaciones”.
