Análisis

Oportunidad de especialización para los abogados: el Data Protection Officer

El autor del post  Redacción Redacción
- de lectura

Imagen que refleja las habilidades y funciones que debe llevar a cabo el DPO, o Delegado de Protección de Datos, o Data Protection Officer. como paradigma de la necesidad de especialización de los abogados como oportunidad profesional

Nos complace publicar en nuestra sección “Gestión del talento” el contenido de Jaume Feliu, cofundador y socio de la plataforma Pymelegal, especializada en adaptación y/o auditoria a la LOPD-RGPD-LSSICE para pymes, autónomos y comunidades de propietarios. Fundamentalmente, creemos que este artículo aporta valor porque nos ofrece una relevante información sobre:

  • Las enormes expectativas que se están creando sobre la especialización de los juristas en Data Protection Officer (DPO). Recordemos la reciente aprobación del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, que entrará en vigor el 25 de mayo de 2018.
  • La oportunidad de que los despachos puedan sumar esta línea de negocio a través de la marca blanca que proporciona la plataforma, con el objetivo de aumentar ingresos.
  • Conocer un caso de éxito de emprendemiento jurídico de un proyecto que fue reconocido por el programa Cuatrecasas Acelera para start-up legales, formando parte de sus sesiones formativas, mentoring, etc.

 

El próximo 25 de mayo de 2018 es el día que todos los consultores en materia de protección de datos, abogados y asesores tienen marcada en sus calendarios ya que es la fecha límite de aplicación del Reglamento Europeo 679/2016 de Protección de Datos, más conocido como RGPD, una vez transcurridos los dos años de margen desde su entrada en vigor.

La aplicación de este nuevo Reglamento es el cambio más importante que se produce en este ámbito desde hace muchos años y pretende armonizar todas las normativas de los estados miembros y dar más garantías de control a los ciudadanos.

En este contexto, hay mucha inquietud entre las empresas sobre como implantar las nuevas medidas y entre los consultores, ciertas dudas sobre algunos aspectos que se ponen de manifiesto en las ponencias y congresos a los que asistimos. Además, en paralelo a la aplicación de este Reglamento que deroga la anterior directiva 95/46/CE, se encuentra en fase de aprobación la que será la nueva ‘LOPD’ que podrá complementar en algunos aspectos al RGPD.

Desde PymeLegal, queremos ayudaros a entender de forma sintetizada cuales serán estos cambios y las implicaciones prácticas que tendrá el nuevo RGPD para facilitar al máximo dicha transición. Hemos preparado un resumen de los aspectos que creemos más importantes:

  • ¿Aplicar el RGPD supone más carga para mi empresa?

Como comentamos en un post anterior, el Reglamento supondrá un mayor compromiso de las empresas con la protección de datos, pero no necesariamente una mayor carga de trabajo.

Es muy importante tener en cuenta que, si actualmente ya llevamos una correcta gestión de la actual LOPD, el RGPD será una continuación o reemplazo de las medidas que ya estamos aplicando. Además, en nuestro caso (LOPD y RD1720/2007), partimos de una buena base en lo que hace referencia a las medidas de seguridad,por ejemplo, aspecto diferencial con otros países.

  • Obtención del consentimiento.

Es uno de los cambios más relevantes que implica el RGPD. Si hasta ahora teníamos varias modalidades de obtención del consentimiento para el tratamiento de datos, ahora se limita a que haya una declaración de los interesados o una acción positiva que indique el acuerdo del mismo.

Se prohíben prácticas como el consentimiento tácito o por inacción del ciudadano tipo: ‘si en 30 días no nos da su negativa al tratamiento de sus datos, entendemos que está de acuerdo…’.

En el caso de las páginas web, se podrán seguir utilizando las casillas para la obtención del consentimiento, pero no serán válidas las casillas pre-marcadas.

Además, el consentimiento deberá darse para cada una de las finalidades de tratamiento y ser verificable.

Si el consentimiento obtenido previo a la aplicación del RGPD es conforme a los requisitos no será necesario obtenerlo de nuevo. Los tratamientos basados en el ‘consentimiento tácito’ deberán encontrar fundamento en otra causa de legitimación. No obstante, se deberá estudiar caso por caso, puesto que, en algunos supuestos, es posible que no sea necesario el consentimiento porque el tratamiento se realiza bajo el amparo del interés legítimo o por la ejecución de un contrato.

  • Cláusulas de información – avisos de privacidad.

Sedeberán revisar las cláusulas informativas y avisos legales. El RGPD prevé que se incluya en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias (base jurídica del tratamiento, plazo de conservación o criterios para su determinación).

Esta información deberá proporcionarse de forma concisa, transparente, inteligible, de fácil acceso, con un lenguaje claro y sencillo, por escrito u otros medios y de forma gratuita.

  • Contratos con terceros – Encargados de Tratamiento (ET).

Se amplía el contenido de los contratos firmados con los encargados de tratamiento (ET – terceros que nos prestan un servicio con acceso a datos) que deberán incluir entre otros aspectos: descripción detallada de los servicios prestados, medidas aplicadas, posibles transferencias internacionales de datos, subcontrataciones, etc.

Es recomendable firmar de nuevo con todos los terceros los nuevos contratos con el contenido adaptado al RGPD.

  • Niveles de seguridad de los datos.

No se establecen niveles de los datos (básico, medio, alto) como en la LOPD para aplicar las correspondientes medidas de seguridad, aunque se mantiene la categoría de nivel alto que pasa a llamarse ‘categorías especiales de datos’. Además, el RGPD incluye dos nuevas categorías en este apartado: datos genéticos y datos biométricos.

  • Medidas de seguridad.

El RGPD no establece medidas de seguridad especificas tal como conocíamos las del RD1720/2007 pero aparece el concepto la responsabilidad proactiva (accountability) que hace referencia a la prevención por parte de las organizaciones que tratan datos. Es decir, las empresas, deberán aplicar las medidas necesarias para garantizar los criterios de seguridad correspondientes: confidencialidad, integridad, disponibilidad y resiliencia.Medidas para asegurar el cumplimiento del RGPD:

– Protección de datos desde el diseño.

– Protección de datos por defecto.

– Medidas de seguridad (técnico-organizativas).

– Mantenimiento de un registro de actividades de tratamiento.

– Análisis de riesgos y evaluaciones de impacto (cuando sea probable que el tratamiento presente un alto riesgo específico para los derechos y libertades de los interesados).

– Nombramiento de un delegado de protección de datos (DPO) (solo en determinados supuestos).

– Notificación de violaciones de la seguridad de los datos.

  • Registro de ficheros.

La actual inscripción de ficheros ante la Agencia de Protección de Datos (AEPD) desaparece, pero se obliga al responsable de tratamiento (RT) y al encargado de tratamiento (ET) a llevar un ‘registro de actividades de tratamiento’ con un contenido mínimo. Este registro de actividades sería, de algún modo, el equivalente al actual ‘documento de seguridad’.

  • Nuevos derechos – Olvido y Portabilidad.

Además de los tradicionales derechos ARCO (acceso, rectificación, cancelación y oposición) el RGPD introduce nuevos conceptos como el derecho al olvido (manifestación de los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet) y derecho a la portabilidad (permite al interesado recuperar sus datos de forma estructurada para trasladarlos a otro responsable).

 

Delegado de Protección de Datos – DPO

Se designará un delegado de protección de datos siempre que:

El tratamiento lo lleve a cabo una autoridad u organismo público (excepto tribunales cuando actúen en su función jurisdiccional).

– Las actividades principales consistan en operaciones que requieran una observación habitual y sistemática de interesados a gran escala.

– Las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

El DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados en Derecho y la práctica en materia de protección de datos. Podrá formar parte de la plantilla o realizar sus funciones como externo mediante un contrato de prestación de servicios. El responsable o el encargado publicaran los datos de contacto del delegado de protección de datos y los comunicaran a la autoridad de control.

Es recomendable que la figura del DPO no recaiga sobre el responsable de seguridad/sistemas y no debería ser alguien con responsabilidad sobre el tratamiento de datos en la empresa (no parte y juez).

Si el DPO es interno proporciona garantías de conocimiento de la entidad para asesorar adecuadamente sobre las necesidades y anticiparse a la autoridad de control; por el contrario, podrían aparecer problemas de independencia. Si es externo, se puede garantizar cierta independencia pero puede que requiera el acompañamiento de personal interno para conocer la entidad a fondo y el flujo de datos que se producen.

Las funciones mínimas que tendrá el DPO serán:

– Informar y asesorar al RT (responsable tratamiento), ET (encargado tratamiento) y empleados, de las obligaciones a las que están sujetos.

– Supervisar el cumplimiento de la normativa y las diferentes políticas internas.

– Asesorar para llevar a cabo las correspondientes evaluaciones de impacto.

– Cooperar con la autoridad de control.

Se deberá facilitar al DPO los recursos necesarios para acceder a todas las operaciones de tratamiento y no recibirá ninguna instrucción en lo que respecta al desempeño de sus funciones ni podrá ser destituido o sancionado. El DPO rendirá cuentas al más alto nivel jerárquico de la empresa.

Esta nueva figura del DPO, a pesar de que no será obligatoria a todas las empresas  contrariamente a lo que algunas consultoras pretenden ‘vender’, abre la puerta a un nuevo perfil profesional de futuro donde se valoraran aspectos como tener conocimientos en materia de protección de datos y tecnología pudiendo acreditar la experiencia en este ámbito, capacidad de trabajo en equipo, buena capacidad de comunicación con los usuarios/plantilla, proactivo y con un perfil transversal donde sea capaz de identificar y tener una visión amplia de los diferentes departamentos/áreas de negocio.

Además, la AEPD publicó en julio el Esquema de Certificación de Delegados de Protección de Datos para establecer un mecanismo de certificación para esta nueva figura que será relevante dentro de las corporaciones. Esta certificación, que no será obligatoria para ejercer de DPO, dará garantías a las empresas para contratar estos nuevos profesionales.

 

Autor: Jaume Feliu Casas, cofundador y socio en PymeLegal