EUROPA PRESS
Cada día surgen nuevas profesiones para dar respuesta a los cambios tecnológicos, sociales y legislativos. Ejemplos de este escenario son los 'community managers' o los analistas de 'Big Data' y científicos de datos, que aparecieron respectivamente como respuestas al fenómeno de las redes sociales y al desarrollo del 'Big Data'.
Casos como estos se pueden encontrar en casi cualquier ámbito laboral, especialmente en aquellos vinculados a la tecnología. Y el Reglamento General de Protección de Datos (GDPR), la nueva norma de privacidad que comenzará a aplicarse en mayo de 2018 en todos los estados de la Unión Europea, impone a determinadas empresas la obligación de contar con lo que ha bautizado como delegado de protección de datos (DPO). A grandes rasgos, se puede decir que es el encargado de cumplir y hacer cumplir con la normativa de privacidad en su empresa y colaborar con la Autoridad de Protección de Protección de Datos (en España, la AEPD).
Además, es una profesión considerada con mucho futuro y una buena salida profesional para personas multidisciplinares con conocimientos legales y técnicos.
¿POLICÍA O APOYO?
A estas alturas del artículo, muchos de los lectores seguramente estarán preguntándose si en los próximos meses van a tener que recibir en su oficina a un 'policía de protección de datos' supervisando si hacen un uso adecuado de la información personal y, en caso contrario, denunciarlo ante la AEPD. No es esa la idea.
Según la norma, el delegado de protección de datos deberá informar y asesorar a todas las personas de la organización que manejan datos personales de las obligaciones legales con las que tienen que cumplir. También deberá supervisar la asignación de responsabilidades.
La forma en la que el DPO sea percibido por los compañeros dependerá de la cultura interna de cada empresa. Y es que en algunas empresas hay departamentos que suelen rechazar todos los cambios que se ponen en su camino, otros aceptan de mala gana las imposiciones legales, y otros piden ayuda y orientación de forma proactiva para no traspasar los límites legales.
No obstante, a medida que se vaya alcanzando la madurez de la nueva norma en las empresas españolas, los departamentos tendrán que comportarse como el último grupo. De lo contrario, antes o después, la empresa fracasará en el cumplimiento de la norma y podría recibir fuertes sanciones.
No obstante, el GDPR ya anticipa que es posible que la figura del DPO genere conflictos internos. Por ello, se exige que tenga independencia y autoridad dentro de la empresa, que reporte directamente al nivel jerárquico más elevado y que no pueda ser destituido por cumplir con sus funciones.
¿QUÉ TIPO DE EMPRESAS DEBERÁN CONTAR CON UN DPO EN SUS FILAS?
No todas las compañías van a estar obligadas a contratar a un DPO, pero casi. Según el GDPR, deberán contar con un DPO los organismos públicos (salvo juzgados y tribunales) y también otras entidades cuando su actividad principal requiera una observación habitual y sistemática de datos a gran escala o un tratamiento de datos especialmente sensibles a gran escala.
Debido a las dudas que despertaban, los términos de actividad principal, observación habitual y sistemática, y gran escala han sido analizados de forma específica por el Grupo de Trabajo del Artículo 29 (GT29), el órgano que reúne a las autoridades de protección de datos de todos los Estados de la Unión Europea que realizó un análisis específico de estos conceptos.
El más ambiguo de los casos es el de la observación habitual y sistemática. Por poner un ejemplo, podría encajar con el empleo de 'cookies' y otros dispositivos que permitan realizar 'tracking' de navegación o de localización física para obtener perfiles de usuario. Por tanto, una empresa cuya actividad principal implique conocer detalles del usuario que este no ha proporcionado activamente, probablemente deba contar con un DPO, independiente de que se trate de una pyme o de una multinacional.
Sin embargo, el anteproyecto de la Ley Orgánica de Protección de Datos (norma que está en proceso de reforma para adaptarla al GDPR) parece extender esta obligación a prácticamente todas las empresas, ya que establece que uno de los casos en los que se requiere un DPO es cuando la empresa tenga una página web o 'app' y recoja datos de usuarios, aunque no sea a través de un formulario (también a través de 'cookies' y 'logs' de navegación, entre otros). No obstante, el anteproyecto todavía debe superar el trámite parlamentario y durante ese proceso puede experimentar amplias modificaciones.
¿CÓMO SER DELEGADO DE PROTECCIÓN DE DATOS?
Según el GDPR, el DPO debe ser designado de acuerdo a sus cualidades profesionales y tener conocimientos especializados en Derecho y Protección de Datos.
Aunque previsiblemente muchos licenciados y graduados en Derecho ejercerán como DPOs, no es necesario tener ninguna titulación previa. Por otro lado, haber estudiado esta carrera no garantiza tener las competencias necesarias para ejercer como DPO, una figura que ha de reunir conocimientos legales, técnicos y del negocio al que tiene que asesorar.
Ante esta situación, la AEPD ha lanzado el Esquema de Certificación de Delegados de Protección de Datos (DPD). Aunque esta acreditación no será obligatoria para trabajar como DPO, con ella se pretende ofrecer seguridad y fiabilidad tanto a las personas que van a ejercer como este trabajo como a las empresas que van a contratarlos, al proporcionar un mecanismo que acredite que estos profesionales tienen los conocimientos y capacidades requeridas.
Para obtener esta certificación, los aspirantes deben cumplir con una serie de requisitos previos (experiencia profesional en tareas relacionadas con las funciones del DPD y ciertas horas de formación relacionada) y superar un examen tipo test de 150 preguntas con cuatro opciones para cada una.
La certificación tendrá validez durante tres años y para renovarla, el interesado deberá justificar que durante ese tiempo ha recibido al menos 60 horas de formación relacionada (y no menos de 15 horas cada año) o que ha acumulado al menos un año de experiencia laboral en tareas relacionadas con las funciones del DPD.
¿QUÉ CONDICIONES LABORALES Y SALARIALES TENDRÁ UN DPO?
Al igual que en cualquier otro colectivo profesional, las condiciones laborales y salariales pueden variar mucho dependiendo del tipo de vinculación con la empresa, el nivel de responsabilidad asociado al cargo, etc. Además, dado el poco tiempo de vida que todavía tiene la figura del DPO, aún es pronto para dibujar perfiles.
Cuando se extienda, probablemente se darán casos en los que las funciones del DPO serán asumidas por un empleado de la empresa sin que ello suponga una mejora significativa de sus condiciones salariales. En otras ocasiones estas funciones serán repartidas entre varias personas internas o externas bajo la coordinación de un responsable.
En todo caso, por la configuración que hace la normativa de este perfil, la persona que en última instancia asuma la responsabilidad formal debería ser un alto cargo de la empresa, ya que, según establece la norma, debe tener autoridad y reportar al más alto nivel jerárquico de la compañía.
Así pues, los salarios medios asociados a esta figura irán definiéndose según pase el tiempo pero, en cualquier caso, el DPO va a ser una persona que esté continuamente formándose para poder afrontar los cambios legislativos a los que se enfrenta su empresa en materia de protección de datos.
Laura Juan Vindel, Áudea Seguridad de la Información