Toda organización, pública o privada y cualquiera que sea su forma jurídica, necesita saber interpretar y aplicar la normativa que le es exigible, especialmente en materia de protección de datos personales, en armonía. Una mala lectura, interpretación o aplicación de la regulación puede dar lugar a una o varias catástrofes, aisladas o simultáneas, en forma de sanción económica en caso de comisión de una infracción; pérdida de confianza, reputación o económica, así como otras posibles repercusiones derivadas de un incumplimiento.
Hasta ahora, en el caso de España, dada la opción que siguió el legislador al transponer en su momento la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, no habíamos tenido la oportunidad de abordar la cuestión de si contar con un delegado de protección de datos (en inglés, Data Protection Officer, DPO) es necesario o no, conveniente o no. Pues bien, el Reglamento General de Protección de Datos, que se aplicará a partir de mayo de 2018, incluye dicha figura y, más allá de los supuestos específicos en los que designar o nombrar a un DPO es obligatorio, tenemos ahora la oportunidad de tratar la cuestión de por qué la misma es altamente recomendable para cualquier organización.
No cabe duda de que toda organización trata datos personales, pudiendo ser, entre otros, de empleados y/o usuarios, ya sean estos últimos clientes, ciudadanos, etc. Es así que toda organización tendrá, por tanto, que aplicar una regulación que puede resultar compleja y que aconseja contar, según cada caso, con un DPO, que en la práctica puede aproximarse más a un hombre multiorquesta, ya que atenderá por si solo a múltiples cuestiones, o a un director de orquesta, que tendrá la responsabilidad de dirigir, a su vez, a un equipo de profesionales para evitar que la organización desafine.
Incluso, de nuevo más allá de cuándo es obligatorio tener un DPO, contar con dicha figura es una oportunidad para cualquier organización, ya que, entre otras cuestiones, ayudará a mejorar procesos internos, facilitar la comunicación entre diferentes áreas e impulsar la generación de confianza con todas las partes y la competitividad o eficiencia, según el caso.
Serán las necesidades que pueda tener cada organización las que determinarán si el DPO tiene que ser un hombre multiorquesta o un director de orquesta. En cualquier caso, es fundamental que el DPO sea una persona que tenga el perfil adecuado para desempeñar las funciones que se le encomienden, lo que supone que, si bien en principio pueda ser cualquiera, no cualquiera está preparado para asumir la responsabilidad de serlo.
En este sentido, sin limitar quién pueda ser DPO, el Reglamento General de Protección de Datos da dos importantes claves que son, por un lado, que será designado atendiendo “a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho” y, por otro lado, a “la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones” que como mínimo indica el citado Reglamento. Y además, tiene que ser independiente, lo que es tanto una cualidad de la persona como una garantía, ya que la actuación del DPO tiene que estar al margen de injerencias por parte de otras personas o áreas de la organización. Cabría pensar que un perfil jurídico parte con una clara ventaja dadas las competencias y habilidades para las que han sido preparados y deben haber adquirido, entre otros, los abogados.
Sea como fuere, ha llegado ya la hora de interpretar y aplicar el Reglamento General de Protección de Datos, una obligación que suscita que sea recomendable contar con un DPO si no se quiere correr el riesgo de desafinar.
Al respecto, un análisis de esta figura y de la nueva normativa europea sobre protección de datos puede verse en la obra titulada “Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad”, libro donde se desgranan las principales novedades que incorpora la nueva normativa, que será plenamente aplicable a partir de mayo de 2018. Con un prólogo del Supervisor Europeo de Protección de Datos, más de treinta autores, expertos en protección de datos procedentes de las Administraciones Públicas, las Autoridades de protección de datos, la Universidad, el sector privado, despachos de abogados y empresas, analizan las claves de una norma que supondrá un punto de inflexión en el derecho a la protección de datos en la UE y que sin duda tendrá una importante repercusión en otros países y regiones del mundo.
Miguel Recio Gayo es abogado y Master en Protección de Datos, Transparencia y Acceso a la Información.
