Fuente: LuisJa Sánchez, Confilegal

Delegados de Protección de Datos (DPD) de entidades públicas y privadas acudieron a la llamada de ISMS Forum y la Asociacion Española de la Privacidad (APEP) en un encuentro organizado en la sede de la AEPD donde se debatió sobre esta figura, su alcance legal y el futuro en el seno de las organizaciones.

Los DPO de las grandes empresas tal y como señalo Francisco Torres, DPD del Banco de Sabadell y de sus cincuenta sociedades “lo hemos revisado todo ante las ultimas sanciones de la AEPD. Se trata de minimizar riesgos y evitar en los posible una sanción de este tipo”.

Según datos publicados por Confilegal recientemente en España se ponen muchas más sanciones que en cualquier país de la UE, no son las más cuantiosas, pero si las más frecuentes. En el 2021 se pusieron 183 sanciones, el segundo país es Italia cercana a la treintena. 

En la sala DPD de entidades como Banco de Santander, Telefónica, BBVA o abogados como Alejandro Padín, socio del área mercantil de Garrigues y responsable de privacidad del despacho; Miguel Recio, abogado y DPD de CMS Albiñana &Suárez Lezo, asentían ante el comentario de Torres.

Recio, ahora en la junta directiva de APEP, explicaba a Confilegal que “nuestro trabajo como DPD es parecido al de otras empresas, regulado por el RGPD europeo y la LOPDGDD española, aunque prestamos atención a tratamientos de datos personales específicos que hay en los despachos y que algunos pertenecen a nuestros clientes”.

Este experto confiesa que uno de los temas claves de cualquier DPD es la relación con la AEPD ante cualquier requerimiento o necesidad de consulta “somos el punto de contacto con el regulador y en algunas ocasiones debemos ofrecer la información que nos piden en los plazos establecidos”.

CMS como despacho internacional publica periódicamente un estudio a nivel global de las sanciones de los reguladores en protección de datos “en el último informe publicado hay que resaltar que la AEPD es la entidad que más sanciones en estos momentos en la UE. Desde nuestra página https://www.enforcementtracker.com/ se pueden seguir todas las sanciones a nivel europeo de los reguladores”.

Torres intervino en un debate moderado por Carlos Sáiz, vicepresidente de ISMS Fórum Spain, director del Data Privacy Institute y socio de Ecix Group, donde tuvo como contertulios a Marta Cañas, DPD de Iberia y a Josep Bardallo CISO y DPD del Grupo Recoletas de ámbito sanitario quienes coincidieron en que han revisado todos los procedimientos.

Estos expertos resaltaron el papel de sus respectivos Comités de Protección de Datos que tienen una conexión directa con la dirección de la compañía “este es un trabajo en el que parte de tu tiempo es explicar a otros departamentos de la empresa la importancia de la privacidad como valor añadido” apuntó Cañas.

Desde Iberia se sigue de cerca la actividad sancionadora de la AEPD “eso ha hecho que hayamos revisado nuestro modelo de privacidad, en especial lo relacionado a las PIAS, elementos claves para realizar la evaluación de impacto así como todos los tratamientos de datos que gestionamos”. Por su parte, Bardallo, profesional de un grupo sanitario de primer nivel, recordó la necesidad de revisión de los tratamientos “porque en nuestro caso los datos de salud son datos sensibles como dice el RGPD. A este respecto impulsar políticas de formación en la organización son necesarias para concienciar a nuestros profesionales de la importancia de la privacidad”.

Código de Conducta en estudio

En este sentido, la propia Mar España, directora de la AEPD, comento en su intervención que el DPD era garante de las políticas de privacidad en las empresas por su papel de gestión y supervisión de los datos personales. “Es un elemento que genera por su labor confianza en las organizaciones Sobre el resto estamos dispuestos evitar estas prácticas fraudulentas”.

Según datos de la AEPD en la actualidad hay 95.736 DPD, de los que 86.841 trabajan en la empresa privada el resto 8.895 en el sector público.

Para España, esta figura está por desarrollar en el sector público pese a los contenidos que ha mantenido la AEPD con entidades públicas, ministerios y otras organizaciones.

En otro momento de su intervención comentó que sus técnicos se habían reunido con el sector de las telecomunicaciones y finanzas , unos de los más castigados a nivel de sanción “, estudiamos la idea de crear un Código de Conducta en el sector donde se impulse la figura de la mediación”.

La idea que tiene Mar España es que muchas de estas reclamaciones se gestionen de otra manera a la habitual “que el DPD ayude en esa gestión y si se resuelven de forma satisfactoria no se conviertan en expediente sancionador para la propia empresa”.

Esta iniciativa caso de cuajar y de funcionar adecuadamente podría llevarse a otros sectores de la actividad económica.

La figura de los DPD, como profesionales según explico Julián Prieto, Subdirector General del Registro General de Protección de Datos “viene reflejada en el articulo 37 del RGPD, obligatorio para los organismos públicos o empresas que traten datos sensibles o en gran escala. Nuestra LOPDGDD en el articulo 34 deja claro qué entidades deben contar con él y comunicarlo a la AEPD”.

Para Prieto “la relación que mantiene el DPD con la AEPD, a través del canal que habilitamos de comunicación es mejorable. Pedimos a estos profesionales que vengan ya con la consulta clara y definida para que cuando contacten con nosotros podamos ayudarles”

Cuidado con los DPD fraudulentos

A pregunta de este periodista, explico que el régimen de certificación de la AEPD para las figuras de los DPD había generado ciertos problemas “estamos revisando el modelo porque pensamos que hay que darle una vuelta y actualizar. No es obligatorio estar certificado por ninguna entidad pero es evidente que de cara a terceros tener esa certificación avala tus conocimientos y tu prestigio en este terreno”.

Fue este experto quien introdujo en el debate la figura de los DPD ficticios, un comentario que luego Marcos Judel, presidente de APEP, y moderador de otra mesa redonda sobre el papel de los DPD en el entorno digital que se avecina también confirmo. “Sabemos que hay tres entidades que gestionan como DPD cerca 12.000, 9.000 y 5.000 empresas y algún particular que puede llevar unas novecientas empresas. Ese servicio que se da es fraudulento”, dijo Judel.

Judel introdujo el debate sobre la normativa digital que se avecina y cuál debe ser el papel del DPD en este contexto. En el participaron Luis Ariza, DPD de Randstad, Maria Suárez, abogada y experta en privacidad de Andersen e Ignacio Ramos, Director Corporativo de RRHH, Instalaciones y Sistemas del grupo tecnológico GMV que coincidieron en los nuevos retos que se derivan para el DPD de la implementación de esa tecnología y normativa digital.

A este respecto María Suárez recordó que “la tendencia es que las empresas tengan su DPD con el apoyo externo de abogados especializados en protección de datos porque el entorno y la normativa que llega esta siendo cada vez más compleja”.

Desde su punto de vista, es evidente que cuestiones como “ la privacidad es un elemento muy transversal que afecta a todos los sectores económicos pero desde cada empresa en función de su actividad se da una respuesta especifica. Es importante que este tipo de asuntos este en manos de profesionales para evitar que cualquier incidente dañe la reputación corporativa de cualquier organización”.

Accede a la crónica aquí