USO DE COOKIES

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra Política de cookies

Cargando. Por favor, espere

Primeras experiencias de los DPO en l...

Primeras experiencias de los DPO en la implantación del RGPD

  • 14-12-2018 | Wolters Kluwer
  • Una reciente jornada organizada por APEP ha permitido conocer de primera mano las primeras experiencias y dificultades con que se están encontrando los delegados de protección de datos en el ejercicio de su cargo, tras el comienzo de la plena aplicabilidad del Reglamento europeo.
Portada

El DPO no es un cargo cualquiera en las organizaciones, por el contrario, es una figura necesaria y fundamental, porque aporta valor en términos de reputación y fiabilidad para sus usuarios. Y aunque a veces pueda parecer un cargo un tanto solitario, sus misiones fundamentales son la de ser un evangelizador de la importancia de respetar la normativa de protección de datos y la de aportar soluciones a los problemas que se puedan presentar.

Por otra parte no se trata de un puesto fácil de cubrir pues el candidato no solo debe contar con un buen conocimiento jurídico de la materia. También debe estar dotado

de sentido común, pragmatismo y diplomacia; virtudes todas ellas necesarias para hacer que el puesto tenga un contenido real y no sea un mero ejercicio formal.

Estas son algunas de las ideas más relevantes expuestas en la jornada “Luces y sombras del rol del DPO en la implementación del RGPD”, organizada recientemente en

Madrid por la Asociación de Profesionales de la Privacidad, APEP.

El acto, moderado por Marcos Judel, vicepresidente de APEP, contó con la participación de Cecilia Álvarez , presidenta de la misma, Carlos García-Mauriño, Responsable de Proteccion de Datos EMEA en General Electric Healthcare y Enrique Peloche, DPO de La Liga.

Todos ellos presentaron su experiencia durante los primeros meses de vigencia de RGPD, aunque en todos los casos su práctica de adaptación a la nueva norma europea ya venía de tiempo atrás.

El encaje del DPO en las organizaciones

Cecilia Álvarez destacó el carácter evangelizador de la cultura de protección de datos del DPO, que requiere importantes dotes de diplomacia, tanto interna, hacia dentro de la organización, como externa, principalmente en relación con la autoridad de control. Y ello tanto con un carácter activo que permita prevenir las incidencias, como reactivos, en el momento en que estas se produzcan.

Y es que, destacó, es más fácil hablar con la autoridad de control cuando esta conoce previamente al DPO y sabe de sus dificultades pero también de su empeño por cumplir con la normativa, que simplemente cuando se ha producido una incidencia, como una brecha de seguridad.

Por eso recomendó a los DPO que nunca dejen de buscar al ocasión de que ser conocidos y de difundir que su organización se preocupa por la privacidad.

Desde el punto de vista interno Álvarez destacó que el DPO no es un policía ni un chivato, sino que debe realizar un trabajo en equipo.

El necesario pragmatismo del DPO

Carlos García-Mauriño recalcó en este sentido que el DPO suele encontrarse con que el claro manual de instrucciones que le proporciona la ley, topa frecuentemente con una realidad abierta. Por ello, el DPO, además de disponer de sentido común y de dotes de diplomacia, ha de ser pragmático, para no convertirse en un cargo meramente formal de la empresa.

El DPO debe ganarse su sitio en las organizaciones, y para ello el pragmatismo es fundamental. No se trata con ello de buscar la trampa a la norma sino, de ser capaz de encontrar soluciones a los problemas que se plantean, siempre con la vista puesta en el negocio.

Además García-Mauriño destacó la importancia de la formación permanente del DPO pues, destacó “nunca se sabe lo suficiente ni de la norma ni de la tecnología”. Pero también es importante contar con otras habilidades o soft skills del DPO como la curiosidad y la humildad, que son herramientas claves para seguir aprendiendo.

Cecilia Álvarez añadió que es precisamente desde el negocio desde donde mejor se puede conocer el inventario de los datos que se tratan y los supuestos que se requieren de la realización de evaluaciones de impacto o PIAs.

Para ello, además, es importante no pensar a corto plazo. La implantación de una adecuada política de privacidad es un proceso iterativo, en el que conviene aprender de los errores, según las necesidades de la organización.

Pero para esa implantación es importante apoyarse en los resortes de poder internos adecuados. Entre ellos, ayuda el conseguir que no se apruebe ningún presupuesto para un nuevo proyecto si no cuenta con el visto bueno del DPO. García-Mauriño añadió al respecto la utilidad de los incentivos para los empleados vinculados a objetivos relacionados con la implantación de una cultura de cumplimiento.

La importancia del Registro de actividades de tratamiento

Enrique Peloche, por su parte, puso énfasis en la importancia de trabajar mucho en el en Registro de actividades de tratamiento, como elemento para establecer un modelo de tratamiento del dato en la organización, que permita conocer todo lo que se está haciendo al respecto en la misma.

Una correcta identificación y registro de las actividades de tratamiento, añadió, permite diseñar y disponer de un sistema manejable. Y aunque conviene asumir que no se puede llegar a todo, nuevamente las dotes de diplomacia pueden colaborar en lograr el apoyo de las grandes áreas de la compañía para impulsar la política de privacidad.

Como apuntó Carlos García-Mauriño, el DPO no puede ser el “señor NO” al que todo el mundo trata de evitar dentro de la organización. Para llevar a ello debe encontrar los aliados necesarios dentro de la organización, acudiendo a sus dotes de diplomacia, porque su trabajo es un trabajo en comunidad.

Y todo ello sin olvidar en ningún momento que el DPO no es responsable de la protección de datos de la organización, pero que se puede hacer casi todo si se sabe cómo.

Lo más difícil de cumplir

A pregunta de un asistente, los ponentes explicaron cuáles son, de acuerdo con su experiencia, los puntos más críticos con los que se han encontrado.

Enrique Pedroche citó a este respecto integrar la privacidad en los procesos de las organizaciones, apoyándose para ello tanto en la funcionalidad como en el aspecto económico.

Carlos García-Mauriño se refirió a la dificultad de identificar los incidentes de seguridad que deben reportarse. Y citó a este respecto la gran cantidad de incidentes que se han notificado en el Reino Unido a lo largo de los últimos meses, no todos ellos necesariamente considerables como tales.

Cecilia Álvarez, por su parte mencionó cuatro aspectos problemáticos. Por un lado la de definir las políticas de retención de datos y la disponibilidad de sistemas preparados para ello. Por otro, la gestión de los derechos de acceso de los interesados. En tercer lugar la justificación de la procedencia del interés legítimo como título legitimador del tratamiento y, finalmente, el riesgo de las auditorías externas como arma para ejercer una competencia desleal entre organizaciones.

La situación de las Administraciones Públicas

Finalmente, otro de los aspectos abordados por los ponentes fue la específica de los DPO de los organismos públicos. Y en este sentido fue unánime la percepción de que, en términos generales, parecen bastante perdidos ante sus nuevas obligaciones, por lo que necesitan de ayuda para asumir las mismas.

Tradicionalmente el sector público se ha sentido poco concernido por la protección de datos y por ello Carlos García-Mauriño destacó el hecho de que carecen de precedentes internos.

#NuevaLOPD

Tras el RGPD la nueva LOPD. Libros, herramientas, formación o congresos… Wolters Kluwer pone a tu disposición todo lo que necesitas para cumplir con la nueva regulación de la protección de datos.

Llega a España el Primer Congreso de Delegados de Protección de Datos. Wolters Kluwer asume el reto de organizar el Primer Congreso Nacional de Delegados de Protección de Datos. Un congreso de DPO para DPOs. Accede en este enlace a toda la información.

Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll