Nace el delegado de protección de datos, una figura laboral imprescindible para las empresas

Ha sido el primer caso grave de exposición de datos de clientes desde la entrada en funcionamiento el pasado mayo del nuevo Reglamento general de protección de datos (RGPD), en vigor en los 28 estados miembros de la UE. Durante horas quedó al descubierto en la página web de Movistar información como el nombre, el domicilio, las direcciones de correo electrónico, el detalle de las llamadas y los números de teléfonos fijos y móviles de un número de clientes que la compañía aún no ha podido concretar. Un error que la asociación de consumidores Facua ha considerado «la brecha más importante de seguridad en la historia de las telecomunicaciones en España». Esta asociación ha presentado una denuncia contra Telefónica España y Telefónica Móviles ante la Agencia Española de Protección de Datos.

El caso pone de manifiesto la importancia de la nueva función laboral que exige la normativa vigente. Se trata de una figura que garantice el cumplimiento del Reglamento y que es obligatoria para todas las administraciones públicas y todas las empresas, organizaciones y entidades que trabajen con un alto volumen de datos de usuarios. Esto significa ayuntamientos, empresas de telefonía, aseguradoras, bancos, empresas eléctricas..., así como institutos, hospitales, partidos políticos y sindicatos, por ejemplo.

Aclaramos los interrogantes que se han originado en torno a la figura del delegado de protección de datos (DPD) con Josep Curto, experto en macrodatos y profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC, y Mónica Vilasau, directora del posgrado de Protección de Datos y Comercio Electrónico de la UOC, y profesora de Derecho civil.

Una figura obligatoria en hospitales, partidos políticos y gabinetes jurídicos

La presencia de este nuevo perfil profesional es obligatoria cuando el tratamiento de datos lo realiza una autoridad u organismo público, excepto los tribunales de justicia; cuando hay una observación habitual y sistemática de personas interesadas ​​a gran escala, y por lo tanto, un seguimiento y una clasificación (por ejemplo banca, seguros, empresas de vigilancia, empresas que elaboran perfiles de usuarios..); cuando hay datos de carácter personal relativos al origen étnico o racial, opiniones políticas, religiosas, afiliación sindical, datos de salud o de orientación sexual... (como partidos políticos, iglesias, sindicatos, hospitales, mutuas, institutos); y cuando los datos se refieren a condenas o infracciones penales (por ejemplo, gabinetes jurídicos).

El resto de las organizaciones —las que no entran en estos parámetros— también están obligadas a cumplir el nuevo Reglamento general de protección de datos, aunque la normativa no las obligue a tener la figura concreta del delegado.

¿Qué funciones desempeña?

Su tarea más importante es la supervisión del cumplimiento del Reglamento. Esto implica recopilar información de las actividades, analizar y verificar su cumplimiento, y tratar de aconsejar y emitir recomendaciones al consejo directivo de la organización. «Es importante recordar que el delegado no es el que aplica las medidas apropiadas para el cumplimiento del Reglamento sino quien supervisa su aplicación », explica Josep Curto.

Este cargo debe asesorar a las personas que tratan la información personal y cooperar y ser el punto de contacto con la autoridad de control, la Autoridad Catalana de Protección de Datos en el caso de Cataluña. «El DPD debe actuar teniendo en cuenta los riesgos que conlleva el tratamiento que se realiza, considerando su naturaleza, alcance, contexto y finalidades», remarca Mónica Vilasau.

No es una profesión limitada a abogados

Aunque se trata de una profesión que requiere conocimientos jurídicos, la titulación de Derecho no es un requisito imprescindible. «El Reglamento europeo no exige ningún título específico, sino que hay que acreditar unos conocimientos determinados especializados en derecho y en materia de protección de datos. «Esto significa que será el mercado el que decidirá quién es un buen profesional», explica Vilasau. «Ahora bien, el hecho de tener una titulación determinada o una formación específica en la materia lógicamente aporta mayores garantías para contratar a un especialista», añade. Precisamente, la UOC ha puesto en marcha un posgrado de Protección de Datos para formar en estas nuevas profesiones y dar salida a un mercado laboral con una demanda más alta de este tipo de perfiles.

«Esta función incluye conocimientos jurídicos, técnicos, de gestión de programas, de gestión de riesgos y habilidades de comunicación. Hablamos, por lo tanto, de un profesional y un equipo capaces de comprender la regulación y las medidas que se han de implantar en la organización», puntualiza Curto. Las organizaciones tienen varias opciones. Pueden disponer de un experto interno, especialmente útil en el caso de empresas de grandes dimensiones, o contratar un servicio externo, que deberá informar de su trabajo al consejo de administración.

Trabajos relacionados con los datos, una tendencia al alza

Los datos, y sobre todo la información que se desprende de ellos, desempeñan cada vez un papel más importante en los diferentes trabajos del mercado laboral. «Sin duda, cada vez es más necesario poder analizarlos. De hecho, el fenómeno de los macrodatos (big data) responde precisamente a la extracción de información de las cantidades ingentes de datos que se generan cada segundo», comenta Vilasau. Hasta el punto de que nacen nuevas figuras. «Ha aparecido también la figura del curador de datos: un experto que ayuda a los algoritmos a resolver escenarios complejos que requieren un conocimiento profundo del contexto de una empresa», explica Curto.

No tener DPD conlleva una sanción de 10 millones de euros

Uno de los aspectos que ha generado mayor interés sobre la nueva normativa de protección de datos son las sanciones. El Reglamento europeo establece dos niveles:

• Sanciones leves (nivel 1): 10 millones de euros o el 2 % del volumen de negocio total global anual del ejercicio financiero anterior (eligiendo la cifra de mayor cuantía). «En esta categoría entran, por ejemplo, situaciones en las que la empresa no pueda demostrar una seguridad adecuada, que no exista un delegado de protección de datos, que haya falta de cooperación con la autoridad de control o el hecho de no notificar en 72 horas una violación de seguridad o alteración, pérdida o destrucción —accidental o ilícita— de datos de personas», detalla José Curto.

• Sanciones graves (nivel 2): 20 millones de euros o el 4 % del volumen de negocio total global anual del ejercicio anterior (eligiendo la cifra de mayor cuantía). «En esta categoría entra el incumplimiento en el tratamiento de datos, por ejemplo de los principios básicos de tratamiento o de los requisitos de transferencia, el incumplimiento con la autoridad, como no permitir una investigación, el hecho de no informar a las personas interesadas en el momento en el que se obtienen los datos o no tener su consentimiento explícito», aclara Curto.