¿Qué debe saber si quiere formarse como delegado de protección de datos?
Este profesional será obligatorio en empresas y las Administraciones No es una función que sólo puedan ejercer abogados Los expertos recomiendan certificar los conocimientos y habilidades
Con la entrada en vigor en toda Europa del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, todas las Administraciones y muchas empresas tendrán que contratar un delegado de protección de datos (DPO, por sus siglas en inglés: data protection officer). La creación de esta figura en el seno de muchas organizaciones se presenta como una gran oportunidad laboral y, aunque el perfil, las competencias y las capacidades que requerirá no están definidos del todo, ya existen elementos que permiten a los interesados enfocar su formación.
No es una profesión limitada a los abogados
Aunque se trata de una profesión que requerirá conocimientos jurídicos, la titulación en la carrera de Derecho no es un requisito imprescindible. De hecho, en numerosas empresas el responsable de la privacidad no es jurista. "El DPO tiene que tener, sin duda, competencia jurídica, pero no es la única", según Paloma Llaneza, presidenta la sección TIC del Colegio de Abogados de Madrid (ICAM).
De hecho, Alejandro Kress, especialista en privacidad y Associate Director en SSQ recomienda a los juristas "no quedarse atrás" y "formarse desde ya". "Desde la parte tecnológica, y estoy pensando en los ingenieros, por ejemplo, nos van a comer el terreno", augura.
Imprescindible: formación tecnológica
Los expertos coinciden en que para el ejercicio de las funciones del DPO es imprescindible la formación tecnológica que le permita entender los procesos de tratamiento de datos y, a su vez, comunicarse de forma más efectiva con los departamentos que participan en el mismo. En este sentido, Manuel Díaz, Cyber Security & Data Protection Officer en Huawei asegura que al trabajar con gente muy técnica, "ellos agradecen mucho que puedan hablar contigo en su lenguaje" porque, además, "a los técnicos las leyes les parecen horrorosas".
El Reglamento europeo impone la figura del DPO a todas aquellas empresa que traten datos "a gran escala", es decir, operaciones que se realizan, en todo caso, con ficheros informáticos. Ningún aspirante a esta profesión, por lo tanto, podrá ser ajeno a los procesos técnicos sobre los que deberá aplicar las obligaciones contenidas en la legislación europea.
La certificación como prueba de las competencias
No existe un título o un certificado obligatorio para el ejercicio de las funciones de delegado en el seno de las empresas, por lo que cualquiera podría desempeñarlas. Sin embargo, el incremento de las exigencias en materia de privacidad, el cambio a un modelo de responsabilidad activa de la organización y, sobre todo, el endurecimiento de las sanciones (que pueden llegar hasta el 20 millones de euros o al 4% del volumen de negocio total anual global del ejercicio financiero anterior) hará que los órganos directivos confíen esta responsabilidad en profesiones de valía acreditada.
En este sentido, los expertos recomiendan acudir al respaldo de una certificación que demuestre unos conocimientos y habilidades. Muchas organizaciones, entre ellas la Asociación Profesional Española de la Privacidad (APEP), ya prepara su propio certificado.
El certificado no será obligatorio, tal y como ha informado la Agencia Española de Protección de Datos (AEPD), sin embargo las condiciones del mercado pueden hacerlo imprescindible.
La Entidad Nacional de Acreditación (Enac) recuerda a los profesionales que estén buscando una organización o entidad a través de la cual certificar sus conocimientos, competencias y habilidades, que acudan a una acreditada. "Cualquiera puede decir que es una entidad de certificación", explica Ignacio Pina, su director técnico, "pero si no está acreditada, nadie sabe qué hay detrás de esta certificación. La única manera de obtener certidumbre y que ese certificado genere confianza es a través de la acreditación".
La certificación, explica Pina, no es un título. Un título es una foto fija que permanece en el tiempo. El certificado debe renovarse y actualizarse, por lo que acredita que las competencias y habilidades del profesional se actualizan de acuerdo a las novedades legislativas, técnicas y tecnológicas. "Es irrelevante si el profesional tiene carrera o no, lo que se tiene que demostrar son unas competencias, de las cuales hacemos un seguimiento".
Habilidades personales y comunicativas
Una de las tareas que tendrá que desarrollar el DPO en el seno de la organización es lograr que cale la cultura de la privacidad tanto entre los directivos como entre los empleados. Para ello se exigirá, más allá de los conocimientos, habilidades personales y comunicativas: saber explicar los requisitos legales con un lenguaje sencillo, lanzar mensajes concretos, lograr que se aprecie el respeto a la privacidad como un generador de valor, etc.
"Yo reporto directamente al CEO de mi empresa y tengo 30 segundos para hablarle de protección de datos", explica Manuel Díaz, de Huawei, "durante esos 30 segundos tengo que competir con cinco llamadas de teléfono y tres interrupciones. Es decir: me quedan cinco segundos y tengo que concretar. Si le digo 'el riesgo es de 20 millones de euros' voy a conseguir que se vaya pensando que esto es algo para tomarse en serio".
Carme Sánchez Ors, vicepresidenta de la APEP y responsable de privacidad de la Diputación de Barcelona explica que es fundamental lograr que los empleados de la organización vean al DPO como un aliado y no como un enemigo. "Al principio era yo la que iba detrás de los empleados y directivos, ahora son ellos los que vienen a buscarme para preguntarme dudas. Se ha visto la ventaja de tener un solucionador de problemas. En la medida en que hemos ofrecido formación, ha ido calando la conciencia".
El DPO en la Administración Pública
Las dudas en torno a la figura del delegado de protección de datos en el sector público son aún mayores. La certificación que prepara al AEPD sólo está dirigida al sector privado. Los expertos, además, señalan que la formación de estos profesionales exigirá un plus por la necesidad de que conozcan las especificidades que de la legislación administrativa: procedimientos especiales, garantías, mayores exigencias en materia de transparencia, etc.
"No sabemos cómo se va a articular el DPO de la Administración?, explica Andrés Calvo Medina, responsable de la Unidad de Evaluación y Estudios Tecnológicos de la AEPD, "si uno para para toda la Administración o uno en cada una. Y tampoco descartaría que algunos organismos contraten uno externo. En todo caso, debería ser un puesto funcionario y, además, de cierto nivel para interactuar con la dirección del organismo".
Según las cuentas realizadas por la APEP...LEER NOTICIA COMPLETA.