Mucho se está escribiendo últimamente sobre la figura del DPO (Data Protection Officer o Delegado de Protección de Datos) contemplada en el nuevo Reglamento General de Protección de Datos Europeo (RGDP); especialmente sobre la formación y cualidades que ha de reunir. No he podido resistirme a dar mi visión del tema, basada en varios años de experiencia como DPO en una gran multinacional del sector financiero.
Cualidades profesionales y personales básicas
En este sentido, está claro que el candidato al puesto de DPO debe tener un conocimiento experto de las leyes y principios de protección de datos; no es imprescindible que sea abogado, pero esto puede ser un punto a su favor; por otro lado, el candidato al puesto debe tener un conocimiento profundo del negocio y de las actividades de la empresa u organismo en donde ejercerá su actividad. Finalmente, debe ser experto en los métodos y técnicas de seguridad de la información. En cuanto a las cualidades personales, las más básicas son la honestidad, el rigor y la integridad y unas buenas capacidades de comunicación y de relación con personas de distinto nivel y perfil dentro y fuera de la organización. Como puede verse, se trata una figura «híbrida» que puede ser difícil de encontrar; por ello, en organizaciones más grandes y complejas la opción más factible es que el DPO se rodee de un equipo multidisciplinar.
Certificaciones
El DPO debe estar en un proceso de formación continua y se está debatiendo mucho sobre las posibles certificaciones que puedan ser requeridas. En este sentido, en mi caso concreto me fue de mucha ayuda y recomiendo como referencia fundamental los «Estándares Profesionales para los DPO de los Cuerpos e Instituciones Europeas» (Professional Standards for Data Protection Officers of the EU institutions and bodies
working under Regulation (EC) 45/2001).
En este estándar se refieren las certificaciones de la IAPP (International Association of Privacy Professionals), como las más relevantes. En especial, la combinación de las certificaciones CIPP/E (Certified Information Privacy Professional/Europe) y la CIPM (Certified Information Privacy Manager) constituyen en mi opinión un buen punto de partida. Mi opinión personal es que la IAPP está haciendo un magnífico trabajo y avalo la calidad de sus certificaciones.
Además, para completar este «arsenal» de conocimientos, se consideran como recomendables, otras certificaciones como la CISSP (Certified Information Systems Security Professional), en el ámbito de Seguridad de los Sistemas de Informacion; la CISA (Certified Information Systems Auditor) de Auditoría de Sistemas de Información o la CISM (Certified Information Security Manager).
Estatus e Independencia
Para que la figura del DPO pueda ser efectiva, debe gozar de un determinado nivel dentro de la organización, con reporte directo a la dirección general, quién debe apoyar esta figura y dotarle del presupuesto y recursos necesarios.
Es muy importante tener en cuenta que el DPO no es la persona responsable de la implantación de las medidas de protección de datos en la organización, ésta responsabilidad recae en los administradores de la misma. El papel del DPO es el de proporcionar asesoría experta y cómo supervisor, facilitando y ayudando a la organización en el proceso de implantación; debe servir además como punto de contacto e interlocutor con las autoridades de protección de datos y las personas cuyos datos personales hay que proteger.
Conflictos de interés
En organizaciones más grandes y complejas, el rol de DPO puede requerir una dedicación a tiempo completo y un equipo de personas (constituyendo la llamada Oficina del DPO) que le ayudan a cumplir su misión. En el caso de tratarse de una responsabilidad compartida es imprescindible que rol de DPO no entre en conflicto de intereses con la otra responsabilidad; por ejemplo, un director de márketing o uno de ventas (por usar unos ejemplos extremos muy gráficos) no serían buenos candidatos al rol de DPO, pues sus objetivos de ventas o de obtener contactos comerciales pueden estar en conflicto con el deber de supervisar e impulsar la defensa de los derechos de privacidad. En alguna ocasión he llegado a oír que el responsable de la asesoría jurídica tampoco sería un buen candidato en este sentido, ya que su deber de defender y proteger a la organización ante posibles reclamaciones podría entrar en conflicto con la necesidad de mantenerse neutral frente a la organización y los individuos afectados por el tratamiento de datos personales; de alguna manera, el rol del DPO es semejante al del defensor del cliente. En mi opinión personal, la mejor ubicación del DPO es en el departamento de Riesgos o de Cumplimiento (Compliance) de la organización.
Independencia: la cualidad más difícil
La organización donde el DPO desempeñe su actividad, debe garantizar que ésta pueda ser ejercida con independencia, de modo que el DPO esté libre de presiones o instrucciones sobre cómo ejercer su actividad. Además la organización debe proporcionar al DPO la autoridad para poder acceder a la información que necesite en el desempeño de su actividad y para poder iniciar investigaciones cuando lo necesite sin que se le presenten obstáculos al respecto. Se trata esta de la obligación de la organización de establecer las condiciones para que el DPO pueda actuar con independencia, lo que de por sí es ya bastante retador; sin embargo, y esta es la cualidad más difícil, la persona idónea para ejercer el rol de DPO debe ser capaz de ejercer ésa independencia. Esto está muy bien descrito en el referido estándar profesional de los DPO de las instituciones europeas, que en una traducción un tanto libre por mi parte dice algo así como que un DPO que reporta a un superior jerárquico y que es obviamente evaluado por éste en su trabajo, puede sentir presión y sentirse inclinado a cooperar y a llevarse bien, evitando conflictos con el resto de directivos de la organización, si tiene la impresión de que lo contrario podría ser perjudicial para su carrera profesional en la organización e incluso suponer el despido (aunque sobre el papel, el DPO no pueda ser legalmente despedido por realizar su cometido).
El ejercicio efectivo de las tareas del DPO puede requerir que éste mantenga posiciones firmes y contrapuestas a veces a las de directivos de peso en la organización que pueden no entender muy bien la naturaleza del rol de DPO y considerar que sus posiciones son en cierta medida un «freno» para el desarrollo del negocio, «burocráticas» o que «crea problemas». Esto puede suponer una fuerte presión que el DPO debe saber manejar y reducir. Para ello es importante que la organización le ayude en esta tarea, haciendo que su labor sea evaluada por un superior funcional independiente, que sea consciente de estas situaciones y pueda evaluarlas de manera objetiva, garantizando que su carrera profesional no se verá afectada negativamente por ejercer sus responsabilidades.
Como digo, y lo se por experiencia, esta es sin duda una de las cualidades más importantes y más difíciles para un responsable de protección de datos o de seguridad de la información. Es algo a tener en cuenta al seleccionar una candidatura para el puesto o a la hora de aceptar el puesto.
Negocios bajo control 