Recientemente, el Comité Europeo de Protección de Datos (CEPD) se reunió con las 25 autoridades de control en la materia de los países miembros de la Unión Europea, entre los que se encontraba la Agencia Española de Protección de Datos (AEPD), para conocer y examinar la situación de la figura del Delegado de Protección de Datos en Europa.
Asimismo, el CEPD también analizó las respuestas de las más de 10.000 entidades públicas y privadas participantes en el cuestionario de evaluación, una encuesta que refleja algunas de las principales deficiencias en la implementación de esta figura y confirma que todavía existen muchos desafíos a los que las empresas se tienen que enfrentar para cumplir la Ley de manera eficaz.
Desde El Plural nos hemos puesto en contacto con Grupo Atico34, una de las empresas de protección de datos líderes a nivel nacional, para profundizar un poco más en los resultados que arroja dicha investigación, y conocer mejor cuál es la situación real de los DPO en España, así como de las empresas obligadas a tener uno.
La ausencia de Delegado de Protección de Datos, uno de los problemas más comunes
Los resultados del estudio realizado por el CEPD revelan una serie de errores y aspectos a mejorar en relación a la figura del DPO que tienen su origen, en muchos casos, en la falta de entendimiento de esta figura y su importancia por parte de las empresas.
Uno de los principales problemas a los que alude el CEPD es a la existencia de empresas que, estando obligadas, ni siquiera han nombrado todavía a un Delegado de Protección de Datos. Miguel Quintanilla, miembro del comité de expertos en protección de datos en Grupo Atico34, refrenda esta afirmación, señalando que “cada día siguen llegando nuevas solicitudes de empresas que nos preguntan sobre la figura del DPO (...) En muchos casos, ni siquiera saben que están obligadas a tenerlo”.
Desde la consultora recuerdan que “según el RGPD, todas las empresas que realicen un tratamiento de datos masivo o que traten datos especialmente protegidos, están obligadas a tener un Delegado de Protección de Datos. Esta afirmación podría dar pie a dudas e inexactitudes en la aplicación de la normativa, si no fuera porque el artículo 34 de la LOPDGDD cita expresamente a todos los sectores de actividad que deben contar con un DPO de manera obligatoria. Por tanto, el desconocimiento o la falta de definición de la normativa no puede ser una excusa”.
Desconocimiento generalizado de las funciones del DPO
Del estudio realizado por el CEPD también se concluye que un elevado número de entidades no implementan de manera correcta la figura del Delegado de Protección de Datos porque desconocen realmente cuál debe ser su papel dentro del organigrama empresarial y hasta dónde llegan sus funciones.
Hay que recordar que el Delegado de Protección de Datos es el principal garante del cumplimiento de la normativa sobre protección de datos en las empresas, pero que sus funciones no se deben entremezclar con las del responsable o encargado del tratamiento, que es quien debe aplicar las directrices formuladas por el DPO.
Desde Atico34 afirman que “es frecuente ver empresas que llegan a hacernos una consulta, pero quieren ser ellos los que digan para qué quieren un DPO y qué quieren que éste haga en su empresa. Sin embargo, esto no funciona así. Cuando una empresa contrata un Delegado de Protección de Datos, siempre que este sea un buen profesional, está contratando a alguien que ya sabe cuáles son sus funciones. Otra cosa es que desde las entidades se quiera ‘meter mano’, lo cual no está permitido”.
En este sentido, la consultora resalta el papel, también informativo, que deben tener las empresas de protección de datos. “Cuando un cliente llega preguntando por la implementación de un DPO, los expertos en protección de datos como nosotros también debemos ser capaces de informar de manera correcta acerca de esta figura y sus funciones para que las entidades entiendan realmente para qué sirve y por qué necesitan tenerla”, apuntan.
La falta de formación y experiencia, otro caballo de batalla
Sin embargo, al hilo del punto anterior, en ocasiones las deficiencias en las labores del DPO no vienen motivadas por las empresas, sino por el propio DPO.
“Muchas entidades optan por nombrar como Delegado de Protección de Datos a personal interno de la empresa con una formación express o a supuestos profesionales sin apenas experiencia en la materia. Hay que recordar que la figura del DPO es relativamente nueva, por lo que existe una escasez de profesionales realmente cualificados y un importante intrusismo en el sector”, afirman desde Atico34.
Para la consultora, “es básico que las empresas se informen de a quién están contratando. Muchas de las deficiencias que se señalan en el estudio del CEPD vienen dadas por dejar las labores de DPO a personal poco cualificado. Como expertos en protección de datos, sabemos la importancia de contar con DPO cualificados como una de las condiciones imprescindibles para que realicen sus tareas de forma eficiente”.
Estas y otras deficiencias en la implementación de esta figura provocan que muchas empresas se estén arriesgando a ser sancionadas en caso de inspección de las autoridades de control, en ocasiones sin ni siquiera saberlo.
Desde Atico34 abogan por contactar con verdaderos profesionales del sector para que esta figura se implemente de manera correcta, e invitan a nuestros lectores a que se informen acerca del DPO en sus oficinas centrales del Paseo de la Castellana, 95, 15, Madrid, en el teléfono 91 489 64 19 o desde el correo electrónico grupo@atico34.com.