La entrada en vigor del Reglamento General de Protección de Datos (RGPD) el pasado 25 de mayo introduce la figura del Delegado de Protección de Datos (DPD), que asume nuevas y cualificadas competencias en materia de coordinación y control del cumplimiento de esta nueva normativa. Para las organizaciones, contar con esta figura, constituirá una garantía del cumplimiento de este Reglamento, que establece que las empresas deben adoptar las medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que recoge. En este sentido, ya no basta con informar si se detecta un problema, el Reglamento obliga a ser proactivo y tomar las medidas necesarias para evitar los problemas e incumplimientos.
En la estimación inicial de las necesidades de DPD en Europa para el próximo año se manejan cifras superiores a los 75.000 profesionales. De esta forma, se está convirtiendo en el profesional que todas las empresas buscan y necesitan. Y un condicionante vital en el caso de España es la apuesta de la Agencia Española de Protección de Datos (AEPD) por establecer un entorno de seguridad que cumpla con la nueva legislación. Por esta razón nace el esquema de certificación del Delegado de Protección de Datos de la AEPD, cuyo objetivo es ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad, como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado. Estas certificaciones deberán ser concedidas por entidades certificadoras debidamente acreditadas por ENAC (Entidad Nacional de Acreditación). Es el caso de AENOR, que ya ha celebrado varias convocatorias de examen y, de hecho, ha certificado a cerca de 30 profesionales.
El DPD es un profesional encargado de informar al responsable de tratamiento de datos de la empresa y a los empleados de las obligaciones que establece la nueva normativa y, además, se convierte en el responsable de velar por su cumplimiento. Debe cooperar con las autoridades, convirtiéndose en el contacto de éstas en el caso de que se detecten irregularidades. Para poder llevar a cabo estas tareas, el DPD deberá contar con conocimientos especializados en Derecho y, obviamente, en protección de datos. No necesariamente tiene que ser un jurista, pero sí debe tener conocimientos en esa rama. Dispondrá de conocimiento del negocio y de la tecnología, además de capacidades de mediación, pues será el encargado de mediar entre el cliente y la empresa, y también entre la empresa y la Administración Pública.
El DPD puede ser personal de la empresa, pero el Reglamento también admite la subcontratación de esta figura. Este matiz es importante, ya que no todas las empresas podrán permitirse contar con un DPD en plantilla, pero si será viable siempre su contratación como un servicio externo. Aunque no todas las empresas tienen la obligación de contar con un DPD, el Reglamento sí establece como obligatoria esta figura en los siguientes casos: las autoridades y organismos públicos; las organizaciones cuya actividad fundamental consista en la observación sistemática de personas a gran escala o que traten categorías especiales de datos personales a gran escala; y entidades como aseguradoras, financieras y de inversión, centros docentes o prestadores de servicios de la sociedad de la información, entre otros. Aunque en otros casos no sea obligatorio, las organizaciones pueden considerar de utilidad designar un DPD de manera voluntaria, ya que en un entorno como el actual, la mayoría de las empresas están condicionadas por obligaciones impuestas por sus sistemas de compliance, o bien simplemente quieren mostrar la debida diligencia en la custodia y tratamiento de los datos. Por todo ello, se espera que la figura del DPD se convierta en habitual en el panorama empresarial.
Como se ha explicado anteriormente, las entidades válidas designadas para realizar este proceso de certificación del esquema de la AEPD son aquellas que han sido acreditadas por ENAC; y AENOR es una de ellas. La certificación del DPD se realiza a través de un proceso que tiene dos fases diferenciadas. En primer lugar se lleva a cabo la comprobación de una serie de requisitos previos del candidato, que se han considerado necesarios y convenientes para asegurar la idoneidad del candidato a DPD. Sin el cumplimiento de estos requisitos, no es posible acceder al proceso de certificación. Estos requisitos son dos: el candidato debe demostrar que posee formación y experiencia en materia de protección de datos, aceptándose como válidas combinaciones de ambos. Así, un candidato podrá ser admitido como válido para el proceso de certificación si tiene suficiente formación, aunque no tenga experiencia, y viceversa, así como combinando ambas para conseguir el total necesario determinado en el esquema. Para poder justificar el requisito relativo a la formación, el candidato deberá haber cursado alguno de los programas reconocidos como válidos por las entidades de certificación acreditadas y, además, superado satisfactoriamente las pruebas o exámenes que hayan tenido lugar en el curso en cuestión. En el caso de la experiencia, se deberá justificar con los documentos necesarios para garantizar la veracidad de su trayectoria profesional en el campo de la protección de datos.
La segunda fase consiste en la evaluación del candidato, que se lleva a cabo con la realización de un examen en el que se comprobarán sus conocimientos o capacidades técnicas y profesionales. Este examen, deberá ser aprobado para conseguir el certificado. Una vez superadas ambas fases, la entidad certificadora propondrá al candidato como apto, y podrá obtener así el certificado de Delegado de Protección de Datos según el esquema de la AEPD.
El RGPD está haciendo que las empresas adopten una nueva cultura, situando en un primer plano la importancia que tiene la privacidad como un activo más para una organización. Todos los esfuerzos que realicen las compañías para proteger los datos de carácter personal tendrán un impacto positivo en su reputación y servirán para evitar posibles sanciones por el incumplimiento de lo establecido en este nuevo Reglamento. El dato es el activo más preciado en el entorno digital hacia el que nos movemos y la clave en el escenario actual; esto es, la importancia de los datos y su custodia, así como los riesgos y falta de competitividad que implica su pérdida o robo. Por ello, aquellas medidas que ayuden a mitigar los riesgos que aparecen por el tratamiento, uso o custodia inadecuada de los datos, son de gran importancia para asegurar la situación y permanencia de las empresas en el mercado. Además, todas las que adopten las empresas en materia de protección de datos contribuyen a acotar y limitar la responsabilidad de los profesionales a su cargo, en una etapa en la que las empresas se preocupan por la responsabilidad de sus consejeros y de sus directivos.
Por todo lo expuesto, es una realidad que el mercado actual necesita la figura del DPD. Las empresas apostarán por la seguridad, confianza y solidez en esta figura del DPD, por lo que los profesionales de la privacidad que opten a desempeñar esta labor deben prepararse para ello. Y una de las claves para la diferenciación será contar con la certificación según el esquema de la AEPD. AENOR, como entidad acreditada por ENAC y autorizada provisionalmente por la AEPD para la certificación de su esquema, apuesta firmemente por este esquema y ya ha empezado la actividad de certificación de estos profesionales.