Las claves del Delegado de Protección de Datos (DPO)
El DPO o Delegado de Protección de Datos no sólo debe ser tenido en cuenta desde el punto de vista de la obligatoriedad según el Reglamento General de Protección de Datos (RGPD) o el artículo 34 de la nueva Ley de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) dónde se nombran tipologías de organizaciones que están obligadas a nombrarlo, sino que también hay que verlo desde un punto de vista reputacional. Por ejemplo, una quiebra de seguridad producida por una brecha en la misma puede tener ese efecto. De hecho, tenemos muchos ejemplos recientes de grandes empresas en este sentido.
Organizar los procesos internos
El DPO en las organizaciones debe estar concepcionado como una figura que ayude a organizar procesos internos desde un punto de vista amplio de cumplimiento normativo, no sólo de protección de datos, sino de organización de procesos en departamentos como marketing, comercial, recursos humanos…
Aliarse con otros departamentos para asegurar el cumplimiento
Dentro de la organización el DPO debe buscar alianzas con los jefes del resto de departamentos, entre ellos del departamento de IT. Asimismo, debe tener una comunicación y acceso fluido a los altos cargos de la organización para que adopten, entre otras las medidas técnicas y organizativas necesarias. También debe tener dotados recursos suficientes para poder realizar sus funciones.
El DPO debe hacer cumplir la normativa en las organizaciones, esa es su función, es la organización la que debe ejecutar sobre lo que el DPO asesore.
Formarse de forma adecuada
Recordar que el DPO no puede ser cualquiera, que tiene que tener una formación o una cualificación profesional específica, es decir, se debe abandonar la práctica de determinadas empresas en las que se escoge al azar casi a una persona y se le añade ese título de DPO sin más a la tarea que normalmente desempeña en la empresa, o incluso se le añade también el título de Responsable de Protección de Datos, que recordemos que no es lo mismo que DPO (el Responsable lo es la empresa u organización).
Esto no puede ser así, la persona que ostente estos cargos tiene ser conocedora de la normativa de Protección de Datos, de los procedimientos a controlar en las empresas, por dónde vienen las amenazas o posibles problemas, etc….
Notificar el nombramiento a la AEPD
Por último, comentar que el DPO debe ser notificado ante la Agencia Española de Protección de Datos (AEPD) quien ya ha anunciado que las notificaciones que se han producido hasta ahora son de todo punto insuficientes para todas las organizaciones que están obligadas a ello.