El mejor DPD para mi empresa
En este artículo se indagará sobre el perfil que debe tener un DPD para una empresa de 50 trabajadores, las ventajas que aporta tener el Delegado como empleado, o si resulta más conveniente subcontratarlo mediante una empresa externa.
El objetivo principal de este artículo será establecer, mediante un análisis, los requisitos primordiales que debe tener un Delegado de Protección de Datos.
Como primer adelanto, y ya encargándonos de la materia, es claro mencionar que ya ha pasado casi un año desde que se implementó definitivamente la RGPD en Europa. A causa de esto, se han designado casi 25000 delegados de protección de datos en la Agencia Española de Protección de Datos. Sin embargo, todavía hay muchas empresas que están obligadas a ello (muchas de ellas PYMES) que, sin saberlo, deben designar un Delegado.
Antecedentes
Para comenzar, se debe aclara que la contratación de un DPD no se puede hacer en cualquier momento; previamente, la empresa deberá tener implantada la normativa de protección de datos, debido a su obligatoriedad desde 1999. El propio RGPD en sus considerandos indica que la figura del DPD aparece una vez que la empresa ya está adaptada, y ese es el espíritu de un Delegado: supervisar y recomendar a la empresa, y para hacer esas funciones, obviamente, no se puede empezar desde cero.
Si por alguna circunstancia no contamos con los recursos necesarios para adaptar la empresa al RGPD y/o LOPDGDD, lo habitual será contratar a una consultora especializada. Esta, después de proceder con un análisis de la empresa, entregará las indicaciones necesarias para realizar la adaptación. Luego de implementadas y adaptadas las pautas, es cuando entra en marcha el DPD; no antes.
De igual modo, se deberá tener precaución con las consultoras que también nos ofrecen ser DPD al mismo tiempo, porque son dos figuras diferentes con funciones similares, pero no iguales. La consultora, en primer lugar, está regida por un contrato mercantil; por otro lado, las funciones de un DPD están establecidas por ley, entre ellas la de supervisar. Si quien redacta una cláusula legal es a la vez Delegado, pierde eficacia en sus funciones.
Hecho esta salvedad,
todavía en España la Agencia no se ha metido en estas incompatibilidades. Sin embargo, la ICO (equivalente de la AEPD en Reino Unido) sí lo ha hecho.
Llegó la hora
Con la tarea anterior ya realizada, los siguiente será seleccionar nuestro Delegado de Protección de Datos. La primera duda que tienen todas las empresas con pocos recursos, es si deben nombrar un miembro del personal propio o subcontratar esta función.
Esto es comparable a si se debe contratar un contable o subcontratar este servicio a una gestoría. Lo primero, en este caso, es saber si existe una carga de trabajo considerable como para tener una persona haciendo tal labor y que esta sea rentable. Así mismo ocurre con el Delegado de Protección de Datos: ¿existe, entonces, suficiente carga de trabajo?
El problema es que un Delegado no es un contable, sino que es comparable a un Auditor. Cuando una empresa supera un umbral de facturación es necesario que un auditor independiente audite las cuentas. De la misma forma, cuando se tratan datos personales sensibles, se requiere de un Delegado.
Entonces, si la carga de trabajo es baja y disponemos de un miembro del personal que pueda tener un perfil compatible -facilitándole la formación correcta-, se puede nombrar DPD a esta persona. Pero siempre tendremos que vigilar que no haya una incompatibilidad como las que se abordarán más delante. También hay que tener en cuenta el coste económico de la formación, mantenimiento y materiales necesarios para que pueda realizar sus funciones.
Por otro lado, se deberá vigilar siempre que los conocimientos y experiencia del DPD que vayamos a nombrar sean suficientes. Este es uno de los puntos que más pasan por alto las empresas pequeñas: el simple hecho de hacer un curso de 250 horas no da la experiencia como para tratar una inspección de la AEPD y una posible sanción. Ser abogado tampoco es suficiente para ser Delegado de Protección de Datos, tal como establece el Artículo 37.5 del RGPD.
Veamos, ahora, la otra opción: la de subcontratar mediante una consultora. En este caso, será idóneo para las empresas que tienen poca carga de trabajo. Según mi experiencia profesional, no sale rentable a una empresa formar un Delegado interno, si no hay más de 50 horas de carga de trabajo al año.
Por consiguiente, al disponer de este servicio mediante una empresa externa (ya sea persona jurídica o física, ambas están admitidas), tendremos una reducción de costes cercana al 95% en comparación al coste de un empleado. Esta deberá ser, y para lograr tal deducción, una carga de trabajo baja, ya que la mayoría de consultoras que ofrecen este servicio a precios asequibles ponen límites, ya sea en cantidad como en tiempo dedicado.
Se debe añadir que la ventaja principal es que la empresa no debe encargarse de nada; con una cuota puede suplir la obligación de disponer de un DPD en la empresa. Otro beneficio es que la empresa especializada podrá disponer de herramientas y personal que pueden no estar al alcance de la empresa (la mayoría de licencias de software RGPD pueden subir a 1000€ al año, por no decir personal especializado en seguridad informática, o servicios jurídicos).
Requisitos y recomendaciones entre DPD / Empresa
Vamos a analizar, a continuación, los requisitos que deberán cumplir tanto el DPD y como la empresa para que el nombramiento sea correcto. Tanto si es un miembro de nuestro personal como una empresa externa, se deberá realizar un nombramiento en el primer caso, o un contrato en el segundo, donde se establecerán las funciones del DPD. Cuando se realice el nombramiento en la Agencia de Protección de Datos, deberemos aportar el nombramiento o contrato para que sea aceptado.
A la hora de determinar si un DPD es idóneo para nuestra empresa, debemos poner especial atención a los siguientes requisitos tanto para el DPD como para la empresa, extraídos tanto del RGPD como de la LOPDGDD.
1.- Poseer cualidades profesionales, conocimientos y práctica en protección de datos
Dentro de las cualidades profesionales y conocimientos que debe tener un Delegado de Protección de Datos se debe contemplar la experiencia. No estamos hablando de conocimientos obtenidos desde formación. En este caso, se refiere a trámites con la Agencia, denuncias tramitadas, implantaciones realizadas, etc. Es imperativo que el DPD esté familiarizado con todos estos campos para así tener una mayor probabilidad de éxito.
2.-Debe tener capacidad para desarrollar la función
En este punto se contempla la capacidad personal de la persona designada como DPD para desarrollar tal función. Si se nombra como DPD a un trabajador que tiene un contrato temporal de pocos meses, o padece de un impedimento para poder trabajar, es probable que a medio plazo tengamos que cambiar de DPD, o tener que designar a varios para que puedan hacer la función de Delegado.
3.-Acreditar conocimientos especializados
Este punto es uno de los más candentes en el mundo de los DPD. ¿Puede un trabajador sin conocimientos jurídicos ser designado como DPD? ¿Cómo se renuevan esos conocimientos? La respuesta la podemos encontrar en los requisitos impuestos a las entidades certificadoras: si la renovación de una acreditación de DPD requiere de 15 horas anuales, el DPD de nuestra empresa deberá disponer de una formación equivalente de 15 horas anuales de materia específica. Si la obtención de la acreditación de DPD requiere entre 60 y 250 horas, nuestro DPD deberá cursar ese mínimo de 60 horas. Implica como punto de partida, por lo tanto, que la empresa deberá ofrecer al trabajador “sin experiencia” un curso mínimo de 60 horas, que pueden no ser suficiente, si la empresa es grande o la complejidad del tratamiento de los datos también lo es. En efecto, la existencia de datos sensibles o tratamientos a gran escala hacen que en la práctica sea imposible que un trabajador sin experiencia pueda asumir estas funciones.
4.-Capacidad para emitir recomendaciones, detectar vulneraciones y aportarlas
La capacidad para emitir recomendaciones es el asunto que más problemas dan a las empresas, por dos motivos: en primer lugar, y por norma general, una consultora especializada ya tiene implantada la protección de datos y se encarga de estos cometidos, y cualquier recomendación que haga el DPD será mal vista; El segundo motivo, será la ejecución del cambio recomendado, pues resulta que a las empresas no les gusta hacer cambios, y mucho menos si este es algo propuesto por otro empleado. Cuando designamos nuestro DPD debemos evaluar, también, esa capacidad dentro de la empresa.
Además, el DPD debe tener capacidad de detectar vulneraciones. Según el RGPD, entre sus tareas, se incluyen localizar las violaciones de seguridad, fallas técnicas, pérdida de datos, entre otros. Implica, por lo tanto, una posesión de conocimientos técnicos que nuestro DPD deberá tener, y competencias adicionales a la formación como Delegado de Protección de Datos.
Finalmente, nuestro DPD deberá tener la capacidad propia para reportar tanto las recomendaciones como las vulnerabilidades a la dirección de la empresa. Esto implica acceso directo a la cúpula.
5.-Será independiente dentro de la organización
Este punto habla de la independencia en la estructura organizativa de la empresa. Con esto, nos referimos a que no podrá existir un puesto con tal poder de decisión que pueda interferir sobre la protección de datos que se está llevando a cabo. Y es que la Agencia ya se ha pronunciado varias veces sobre este tema, rechazando nombramientos de socios, directivos, incluso en mandos intermedios. No tendría sentido, entonces, que un DPD realice una recomendación de gastar miles de euros, si esa misma persona debe elegir, posteriormente, si gastarlos o no.
6.-La función puede ser atribuida a una persona o empresa con un contrato
Tal y como se ha mencionado, el servicio de DPD puede estar prestado por personal interno de la empresa o subcontratado, mediante un acuerdo de servicios. Si el volumen de trabajo es bajo, la subcontratación es una alternativa que ahorrará mucho a la empresa.
7.-Dedicación exclusiva en la empresa en base a volumen, riesgos o categorías especiales
En consecuencia del apartado anterior, se debe facilitar al DPD interno el tiempo suficiente para realizar sus funciones. Esto implica dejar de hacer otras tareas en la empresa. Para ello, deberemos estar preparados para afrontar tal cambio.
8.-Derecho a participar en todas las cuestiones relacionadas en la protección de datos de la empresa
Este punto es otro que genera bastante discusión, ya que las empresas son reticentes a compartir las decisiones empresariales con empleados o terceros. Cuando se toman decisiones que impliquen tratamientos de datos personales deben ser comunicadas al DPD para su aprobación, pero no existen límites marcados, ¿qué sucede, por ejemplo, si se decide hacer una evaluación de los trabajadores factibles a ser despedidos en un ERE? ¿Qué pasa si el DPD determina que esa evaluación no se ajusta a derecho y se lleva a cabo el ERE? Por ello, es crucial que tenga el derecho a participar y dar su opinión en tópicos relacionados con la protección de dato de la empresa.
9.-Disponer de los recursos necesarios para desempeñar sus funciones
Si bien parece evidente que la empresa debe proporcionar al DPD los recursos necesarios como tiempo y formación para desarrollar sus funciones, es un punto a considerar en nuestra elección. Por otro lado, y de forma indirecta, también están los costes de software, subcontratación de auditorías, seguridad informática, asesoramiento externo. Un mayor número de tratamientos, conlleva a una complejidad superior y, por tanto, un aumento en los costes.
Cuando designemos nuestro DPD, debemos considerar, también, los costes implicados con esa decisión y destinar recursos adicionales. Impedir o dificultar su trabajo es uno de los motivos por el cual se puede multar la empresa.
10.-Acceso ilimitado a toda la información en la que se involucren datos personales
Este es otro tópico que posee controversia. El DPD, en este caso, tendrá acceso ilimitado a cualquier información y tratamiento de datos personales de la empresa. Como en el ejemplo anterior, se encuentran el listado de posibles despidos, listado de clientes, acceso a decisiones ejecutivas, juntas generales, video vigilancia, entre otros.
Cuando nombremos a nuestro DPD, debemos tener en cuenta que el acceso a información es ilimitado, aunque el Delegado tenga que guardar secreto.
11.-Evitar conflicto de intereses
Como se ha abordado anteriormente, el Delegado debe ser independiente dentro de la estructura de mando. Por otro lado, en este caso hablamos de que sus decisiones serán independientes dentro de la organización y para ello no puede entrar en conflicto con otras actividades o funciones de la empresa. Un ejemplo claro es: si se nombra al director de informática como DPD, existe una colusión en las decisiones que tomará para ambas funciones ¿Destino el presupuesto a comprar ordenadores nuevos o a un software de compliance? Lo mismo puede suceder si se nombra a un miembro del departamento legal de la empresa como DPD, ya que su función básica es defender los intereses de la empresa. Entonces, ¿es compatible defender los derechos de los clientes como DPD y al mismo tiempo defender los intereses de la empresa? Por ello, debemos evitar estas situaciones, siempre que sea posible.
12.-No puede recibir instrucciones sobre su cometido
Si ya sabemos que no puede estar integrado en la estructura de mando de la empresa y que no puede ejercer otras tareas que puedan interferir sobre sus decisiones, en este caso se trata de la independencia del mando. Nuestro DPD no podrá recibir órdenes de cómo hacer su trabajo con todas las consecuencias que conlleva. Si es una empresa subcontratada, parece más lógico que no reciba instrucciones de cómo hacer su trabajo. Sin embargo, en el caso del personal interno de la empresa puede haber situaciones “complicadas”, que ahora no se desarrollarán.
Otro aspecto que se incluye en este apartado es que la empresa no podrá interferir sobre las comunicaciones del DPD y la Agencia o con los usuarios.
13.-Puede desempeñar otras funciones que no impliquen conflicto de intereses
Si los puntos 5, 11 y 12 no se ven afectados, nuestro DPD podrá hacer otras tareas.
14.-Capacidad de interlocución e intermediación
Esta es una de las capacidades inherentes del cargo; el DPD deberá tener la idoneidad de ser el interlocutor entre la Agencia, nuestros clientes y la empresa. Si no puede llevar a cabo esta función, no se debe designar al individuo para el cargo de DPD y se deberá ir en búsqueda de otra alternativa. Un ejemplo de utilidad para este punto sería la posibilidad de un trabajador que viaja mucho, ya que algunos plazos son cortos (por ejemplo, el derecho de rectificación que debe ser inmediato), y debemos contemplar si puede tener tiempo para desarrollar no solo la función de DPD, sino la de interlocutor con la Agencia (aunque las comunicaciones con la agencia son 30 días).
También la LOPDGDD atribuye una función no-definida a los DPD en su artículo 37.1 en la que “el DPD comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación”. El artículo 37.1 no deja claro si se refiere a comunicar la decisión de la empresa, o la decisión del DPD. Lo mismo sucede con el apartado 37.2, el cual no especifica si lo que se debe notificar es una decisión independiente del DPD, a modo de intermediación.
15.-Debe estar disponible para los clientes
Otra de las funciones del DPD es que este debe poseer una cantidad considerable de tiempo disponible para los clientes. Debemos, por lo tanto, indicar en nuestra web formas asequibles de contactar con el Delegado. Consecuentemente, hay que tener en cuenta que la disponibilidad debe ser efectiva, no teórica.
