El Delegado de Protección de Datos, una nueva figura profesional
El reglamento europeo “crea” la figura del Delegado de Protección de Datos (D.P.O.) como ayuda al responsable o encargado de tratamiento de la empresa (pública o privada) en el tratamiento de datos de carácter personal, actuando de forma totalmente independiente.
Concretamente, el D.P.O. (Data Protection Officer) se contempla en la propuesta de “reglamento europeo del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos” que actualmente se encuentra en la fase de resolución de enmiendas.
Aunque el Delegado de Protección de Datos (D.P.O.) ya estaba contemplado inicialmente la presentación de diferentes enmiendas, y más en concreto las números 49 y 50 de la propuesta de Reglamento (considerandos 75 y 75 Bis) vienen a delimitar de forma más clara y expresa el perfil profesional, ámbito de protección y funciones de una figura que está llamada a tener una gran responsabilidad en la protección de datos.
La citada enmienda perfecciona el texto original al introducir una modificación cualitativa, y cuantitativa, muy interesante al modificar la obligatoriedad de tener en la empresa a un Delegado de Protección de Datos en empresas con más de 250 empleados a un dato más objetivo como son el manejo de datos, en un periodo de doce meses, fijándose como límite mínimo de aplicabilidad el tratamiento de datos de más de 5.000 interesados.
Esta enmienda es más que acertada, máxime cuando nuestro tejido industrial está constituido al 95% por PYMES por lo que se la citada enmienda protege, como no podía ser de otra forma, la protección de datos en cualquier empresa, independientemente de la plantilla, tanto para el sector público como para el sector privado.
Otra de las novedades que contempla la citada enmienda radica en la independencia en el ejercicio de sus funciones del Delegado de Protección de Datos (D.P.O.). La enmienda propone que el delegado de protección de datos, sea o no empleado del responsable del tratamiento y ejerzan o no dicho cometido a tiempo completo, deben estar en condiciones de desempeñar sus funciones y tareas con independencia y gozar de una protección especial contra el despido. El citado párrafo es muy jugoso a la hora de su interpretación porque admite la posibilidad de que el Delegado sea un empleado de la empresa o un externo, a tiempo completo o parcial, pero lo que se pretende con el citado párrafo es garantizar la total independencia del profesional para que se asegure el total cumplimiento y observancia de la Ley blindándole para ello de seguridad laboral contra el despido.
En cualquier caso no olvidemos que aunque el Delegado de Protección de Datos (D.P.O) tenga como objetivo ayudar a la estructura empresarial la responsabilidad final recaerá siempre en la dirección de la organización.
En cuanto a los requisitos profesionales que debe reunir el Delegado de Protección de Datos éstos se contienen en la enmienda 50, considerando 75 bis, requiriéndose para ello los siguientes:
- amplio conocimiento de la materia y de la aplicación de la normativa sobre protección de datos, incluidas las medidas y los procedimientos técnicos y organizativos
- dominio de los requisitos técnicos de la protección de la privacidad desde el diseño, de la privacidad por defecto y de la seguridad de los datos
- conocimiento específico del sector, de acuerdo con el tamaño del responsable o encargado del tratamiento y de la sensibilidad de los datos por tratar
- capacidad para llevar a cabo inspecciones y consultas, elaborar una documentación, y proceder al análisis de ficheros
- capacidad para trabajar con los representantes de los trabajadores.
Sería de gran ayuda el establecimiento de filtros objetivos, claros y más precisos dada la imprecisión/ambigüedad de la misma ya que aunque se contemplan requisitos teóricos, prácticos y de habilidades sociales el amplio conocimiento de la materia ¿cómo lo valoramos? ¿por el número de cursos realizados? ¿por las horas lectivas dedicadas al estudio del tema?.
No estaría mal, y es mi humilde opinión, que en este punto que se procediese a la creación de un Registro Nacional de Delegados de Protección de Datos, dependiente de la Agencia Española de Protección de Datos, quien fijase y determinase los criterios de acceso al cargo y habilitase de forma objetiva, clara y especialmente a nivel nacional a los candidatos a este puesto de trabajo con el fin , no sólo, de asegurar unas condiciones mínimas de conocimientos teóricos/prácticos que asegurarán una calidad como el cumplimiento exacto de la legalidad.
Para terminar, y a expensas de que las citadas enmiendas vean finalmente la luz, nos encontramos que el Delegado de Protección de Datos es, en la práctica, la aparición de un “profesional” (y de una profesión) que ayudará en la organización empresarial a garantizar de forma plena y total que la protección de datos, a nivel europeo, sea de una vez y por todas ya no una obligación sino un derecho efectivo que satisfaga a todos por igual.