¿Qué hace un DPD y por qué las empresas necesitan tener uno?
La Regulación General de Protección de Datos de la Unión Europea describe un curioso rol, desconocido hasta ahora por la mayoría de las organizaciones en el mundo: el Delegado de Protección de Datos.
Un Delegado de Protección de Datos es la persona designada por una empresa para monitorizar el cumplimiento de las normativas de protección de datos.
La RGPD dedica una sección completa al DPD, a quien también menciona en muchos otros fragmentos. Al alcanzar la estructura de las organizaciones, los autores de la RGPD querían dejar claro que la protección de datos es un asunto serio para los negocios.
Muchas empresas de todo el mundo necesitarán contar con un DPD a partir del 25 de mayo de 2018, el día que la GDPR se hace efectiva.
El trabajo de un Delegado de Protección de Datos
La función de un DPD es:
- Chequear si la organización está en cumplimiento con las regulaciones de protección de datos
- Informar a la organización acerca de violaciones a las regulaciones de protección de datos (y formas de resolverlas)
- Notificar a la organización sobre nuevos proyectos relacionados a la protección de datos
- Ser capaz de demostrar el cumplimiento de la organización a las autoridades de protección de datos
- Actuar como un intermediario entre la organización, la información de los individuos, y las autoridades de protección de datos
En la vida real, las tareas del DPD también incluirán actividades adicionales de protección de datos, como la creación de un Directorio de Procedimientos, la revisión de los resultados de auditorías externas, etc.
La función del DPD se superpone con la de los oficiales de Seguridad Informática o roles similares. Las principales diferencias son:
- Seguridad Informática es solo un aspecto de la protección de datos. El DPD también tiene que monitorizar el cumplimiento de otros aspectos de la protección de datos, como la minimización de datos, los derechos de los individuos, etc.
- Las empresas tienen la libertad de designar un oficial de Seguridad Informática. Sin embargo, en muchos casos, asignar un DPD es obligatorio.
¿Mi empresa necesita tener un DPD?
GDPR requiere que las empresas designen un OPD, si: a) procesa (recibe, almacena, manipula, consulta, etc.) datos personales relacionados a los residentes de la Unión Europea, y b) adicionalmente, cumple uno o más de los siguientes criterios:
- La organización es un organismo público (agencia o ente de gobierno).
- La organización realiza “actividades centrales” que “requieren monitorización regular y sistemática de los sujetos de los datos a gran escala”. Por ejemplo, bancos (que realizan chequeos anti-lavado de dinero), empresas de telecomunicación o empresas que realizan vigilancia en video.
- La organización realiza «actividades centrales basadas en el procesamiento a gran escala” de alguna de las siguientes categorías de datos personales especialmente sensitivos:
- “datos personales que revelen orígenes étnicos o raciales, opiniones políticas, creencias religiosas o filosóficas, participación en sindicatos, y el procesamiento de datos genéticos o datos biométricos […], datos concernientes a la salud o la vida u orientación sexual de una persona” (Artículo 9). Un ejemplo podría ser una empresa que verifique datos genéricos para prescripciones de asuntos de salud.
- “datos personales relacionados con sentencias criminales y ofensas o relacionadas a medidas de seguridad”.
Además, leyes nacionales pueden requerir que una organización disponga de un DPD, incluso para casos en los que RGPD no lo requiere.
RGPD recomienda crear la función de DPD voluntariamente, para los casos en los que no sea obligatorio.
Finalmente, si ha analizado los puntos anteriores y determinado que su organización no requiere de un DPD, igualmente debería documentar las consideraciones que lo llevaron a tomar esa decisión.
¿Cuáles son los requerimientos de un DPD?
Un DPD debe tener «conocimiento experto en leyes y prácticas de protección de datos”. Más allá de eso, la persona seleccionada debe ser capaz de realizar las tareas detalladas anteriormente.
¿Qué tengo que hacer por mi DPD?
Su DPD necesita contar con el poder necesario para cumplir con su trabajo. Eso puede consistir en una oficina o una computadora, pero también significa acceso a toda la información necesaria, incluyendo proyectos confidenciales o secretos.
Usted no debe interferir con el trabajo del DPD, evitando que analice alguna actividad. Para evitar conflictos de intereses, un DPD no suele ser un miembro del directorio, a menos que su posición en el directorio esté limitada a las funciones de DPD.
El DPD debe estar involucrado activamente en cualquier nuevo proyecto que tenga un mínimo contacto con datos personales.
El DPD es siempre una sola persona, pero si es necesario, puede contar con un grupo que lo asista en su trabajo. En empresas pequeñas, el DPD debe revisar los reportes de cumplimiento, descripciones de proyectos, y los resultados de auditorias de seguridad. En una empresa de mayor tamaño, puede contar con la ayuda de otros para analizar esa información y proporcionarle una versión resumida.
¿El DPD puede ser externo?
Sí, el DPD puede ser un proveedor de servicios externo. De hecho, como estimó la Asociación Internacional de Profesionales de Privacidad, RGDPR creará una demanda global de alrededor de 75.000 DPDs en todo el mundo, y es poco probable que todos sean seleccionados de entre los empleados de las organizaciones.
Si no nos gustan las opiniones del DPD, ¿podemos despedirlo?
Solo si puede demostrar que el DPD no está haciendo bien su trabajo. Si le dice que su organización está fracasando en el cumplimiento de los estándares de RGPD, tal vez esté haciendo un excelente trabajo, por lo que no debe deshacerse de él.
Si mi organización fracasa en el cumplimiento de RGPD, ¿podemos culpar a nuestro DPD?
No. El rol del DPD es señalar lo que está bien o mal en relación al cumplimiento de RGPD. Hacer el seguimiento y trabajar en esos aspectos, depende de su organización.
¿Cuál es el beneficio para mi organización?
Más allá de que la obligación de designar un DPD y proveerle los poderes necesarios parezca un costo, su organización se verá beneficiada con los siguientes aspectos:
- Un experto propio en protección de datos
- Un “segundo par de ojos» para su Seguridad Informática
- Reducción de las preocupaciones de cumplimiento
- Para las grandes empresas, un solo responsable de interactuar con las autoridades de protección de datos
- Una revisión de sus flujos de datos, sin costo extra
- Identificación de problemas de protección de datos antes de que puedan causar daño a sus clientes y su reputación
- Más confianza por parte de clientes y potenciales clientes