El Libro Blanco del DPO refleja, desde sus inicios, cómo la figura del Delegado de Protección de Datos (DPO) se ha consolidado como un profesional clave para la gestión de la privacidad en las organizaciones. En el seno del Data Privacy Institute, entidad que forma parte de ISMS Forum y dirigida por el vicepresidente de esta organización, esta publicación se ha convertido en la hoja de ruta para estos profesionales, responsables de gestionar las políticas de privacidad en entidades públicas y privadas, y de mantener un diálogo constante con los reguladores.

Javier Lomas, abogado experto en privacidad, ha desarrollado una parte importante de su carrera profesional como abogado in-house en el Grupo Codere, operador internacional en el ámbito del entretenimiento y el juego, con más de cuarenta años de experiencia y presencia en siete países de Europa y Latinoamérica. En la actualidad, además de ser el Delegado de Protección de Datos (DPO) de la compañía, asume también su rol en la Dirección de Cumplimiento IA del Grupo Codere.

Como uno de los primeros profesionales impulsores del Libro Blanco del DPO en su primera edición, Lomas apunta que, con la consolidación del RGPD y la entrada en vigor del Reglamento de Inteligencia Artificial (RIA), “la figura del DPO se ha convertido en una pieza estratégica clave en las organizaciones, por su contribución a la reducción de riesgos y a garantizar algo tan importante como la protección de datos personales”.

Añade que “esta segunda edición recoge la evolución de nuestro colectivo, incorporando casos prácticos, lecciones aprendidas y estrategias de reporte para gestionar la privacidad, analizando además el impacto de la IA en el rol del DPO”.

Lomas, un profesional acreditado dentro del sector, fue ponente en las XXVII Jornadas Internacionales de Seguridad de la Información de ISMS Forum para debatir sobre la interoperabilidad normativa que se observa en un entorno global cada vez más complejo. Compartió mesa con Xabier Alberdi, EU Head of Data Protection y DPO Iberia de Cabot Financial Spain, moderados por Montse Carrera, Delegada de Protección de Datos de Naturgy y miembro del Comité Operativo del Data Privacy Institute de ISMS Forum. En esta mesa, este jurista apuntó el reto que supone para los DPO afrontar las nuevas exigencias normativas y el valor que aportan iniciativas como el Libro Blanco del DPO y el resto de las guías impulsadas desde el ISMS Forum para interpretar y gestionar estos hitos.

En su opinión, “el contexto en el que se mueve la figura del DPO de hoy, no sólo se ha visto impactado desde el punto de vista normativo o judicial. La transformación digital, el crecimiento exponencial de los volúmenes de datos y la irrupción de la IA han redefinido los retos a los que se enfrentan los DPO. Por ello, hoy resulta imprescindible hablar de la madurez de los programas de privacidad y de la necesidad de integración real de la protección de datos en el modelo de gobernanza corporativa. De hecho, muchas organizaciones ya se han definido con mayor claridad las obligaciones, límites y expectativas asociadas a la figura del DPO”.

Desde esta perspectiva, “el Libro Blanco del DPO ofrece pautas claras sobre cuestiones críticas como la gestión de su independencia, los conflictos de interés, la dotación de recursos adecuados y la diligencia exigible en el cumplimiento de las funciones del DPO, así como sobre los riesgos derivados de una gestión deficiente de la protección de datos”.

Para Lomas, “el papel del DPO ya no es una incógnita. La experiencia acumulada, junto con las resoluciones de las autoridades de control y la jurisprudencia europea, han permitido perfilar con mayor precisión su rol y responsabilidades. Sin embargo, se trata de una realidad en constante evolución, marcada por laaparición de nuevas normas, entre las que la IA destaca por su impacto en la protección de datos personales. Esto sitúa al DPO en una posición clave para garantizar un desarrollo responsable y alineado con los principios de privacidad y gobernanza”.

Certificación, la clave de la profesionalización del DPO

Para entender la evolución del trabajo del DPO, ha sido clave el Esquema de Certificación de Delegados de Protección de Datos de la Agencia Española de Protección de Datos (Esquema AEPD-DPD), que permite a las organizaciones seleccionar profesionales cuyas competencias como DPO han sido certificadas por entidades acreditadas por ENAC. Esta certificación ofrece a las organizaciones un criterio objetivo para evaluar la idoneidad del DPO y contribuye de manera decisiva a la profesionalización y al reconocimiento de la función dentro de las organizaciones.

Lomas coincide con otros profesionales al señalar que “la continua entrada en vigor de nuevas normativas de la Unión Europea – como el RIA, Data Act o el Data Governance Act – ha introducido nuevos retos en la gestión del tratamiento de datos personales, exigiendo una mayores niveles de supervisión y medidas adicionales de cumplimiento, lo que refuerza aún más el papel del DPO”. En este contexto, añade, “será necesario seguir actualizando el Libro Blanco para incorporar los nuevos desafíos y las mejores prácticas que vayan surgiendo en los próximos años”.

Para este jurista, “el enfoque práctico que ha guiado la elaboración de esta guía se traduce en la incorporación de herramientas y metodologías orientadas a optimizar la función del DPO”. Destaca “la relevancia del apartado dedicado a las metodologías de reporte y al uso de indicadores clave de rendimiento (KPIs), como mecanismo eficaz para evaluar el grado de cumplimiento, supervisar la función yproporcionar a la alta dirección información clave para la toma de decisiones”.

Contar con un DPO es necesario

Lomas subraya que “la consolidación de modelos organizativos claros, la definición precisa de funciones y la interacción del DPO con otras áreas estratégicas de la organización son elementos esenciales que el Libro Blanco analiza a partir de la experiencia de múltiples entidades”.

Añade que “en esta edición, se profundiza especialmente en los mecanismos de independencia del DPO, como una condición indispensable para que pueda desempeñar sus funciones de manera efectiva y sin interferencias”. Este análisis, explica, “se ve reforzado por resoluciones recientes de autoridades en protección de datos y jurisprudencia europea que han clarificado la importancia de preservar dicha independencia”.

En este contexto, Lomas destaca también la publicación el pasado diciembre de la Supervisory Guidance on the role of DPO, por el Supervisor Europeo de Protección de Datos (EDPS). “Aunque se trata de una guía dirigida a las instituciones, órganos y agencias de la Unión Europea, su análisis resulta muy útil si se contrasta con el contenido del Libro Blanco del DPO. Ambas publicaciones coinciden en aspectos esenciales como la garantía de independencia, la necesidad de recursos adecuados, el acceso directo a la alta dirección, la formación continua y la medición de la eficacia de la función. Esta convergencia refuerza la idea de que el rol del DPO ya está sólidamente definido y alineado a nivel europeo”.

Por todo ello, concluye que “la experiencia acumulada en todos estos años en la aplicación de la normativa de protección de datos nos sitúa a los DPO en una posición de vanguardia ante la expansión de la IA, pues llevamos años aplicando marcos éticos y regulatorios equivalentes, lo que convierte a los DPO en pieza clave para garantizar un desarrollo tecnológico responsable y alineado con los derechos fundamentales”.

DPO, entre lo jurídico y lo tecnológico

Tras más de siete años de aplicación del RGPD, Lomas considera que “el perfil del DPO se sitúa claramente en un punto de equilibrio entre lo jurídico y lo técnico, lo que exige una formación continua, especialmente en ámbitos emergentes como la inteligencia artificial y el RIA, que presenta paralelismos evidentes con el RGPD”.

La formación constituye, por tanto, uno de los pilares fundamentales en la evolución de la función del DPO. “En un entorno marcado por la incorporación progresiva de nuevas tecnologías, y con la IA ya integrada en muchos procesos empresariales, el conocimiento tanto de la tecnología como de su marco normativo resulta esencial para fomentar una cultura interna de responsabilidad, que es la mejor herramienta para la prevención de riesgos y la identificación temprana de problemas”.

En este sentido, Lomas subraya la importancia de que los DPO mantengan una actualización constante, no solo desde el punto de visto normativo, sino también práctico. “La reciente publicación de las guías elaboradas por la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), constituye un buen ejemplo de cómo las autoridades están ayudando a las organizaciones a trasladar el RIA a la operativa real, facilitando criterios claros para abordar su cumplimiento de forma gradual y ordenada”.

Para este jurista, “el RGPD y el RIA persiguen objetivos coincidentes y se configuran, en gran medida, como marcos normativos complementarios”. De ahí, en su opinión, “los profesionales de la protección de datos personales se encuentren en una posición privilegiada para aportar su experiencia y conocimientos especializados en la implementación del Reglamento de Inteligencia Artificial”.

En este línea, los circuitos, estructuras, procedimientos y roles definidos con motivo del cumplimiento del RGPD pueden y deben servir como punto de partida para la implantación del RIA. “Crear estructuras paralelas en organizaciones con un uso intensivo de datos personales no solo puede resultar redundante, sino generar incoherencias internas y externas. Precisamente, la posición que el RGPD otorga al DPO permite situar la implementación del RIA en el nivel de la alta dirección y obtener su necesario compromiso”.

Finalmente, Lomas quiere destacar que esta segunda edición del Libro Blanco del DPO “es fruto de la generosidad y el compromiso de muchos profesionales que, pese a la falta de tiempo, han compartido su experiencia y que, gracias a su enfoque práctico y a la riqueza de sus contenidos, se ha convertido en una herramienta imprescindible para quienes asumen responsabilidades en materia de privacidad”.

El Libro Blanco del DPO de ISMS Forum, se consolida de nuevo como una referencia clave para los profesionales del sector, con el objetivo de promover la privacidad y fortalecer la gobernanza de datos a nivel internacional, contando con una versión en inglés que recientemente se ha puesto a disposición en su web.