Reconocimiento Profesional y el nuevo Estatuto Jurídico del Data Protection Officer
Juan José Talens Llinás
Director Jurídico Iuristec
Desde 1999, o incluso antes, hemos coincido en jornadas, congresos y conferencias. Abogados, Ingenieros Informáticos, pero también, economistas, diplomados en relaciones laborales, en marqueting, etc, nos interesamos por saber más acerca del Derecho a la Protección de Datos de Carácter Personal, Derecho Fundamental reconocido, casi unánimemente por la doctrina (algún civilista hay que aún mantiene lo contrario) y consagrado en ese estatus, definitivamente, en 2000 por el Tribunal Constitucional; pero, probablemente, aún hoy, sea uno de los más desconocidos de cuantos comparten este adjetivo.
Desde la entrada en vigor de la LO 15/1999 “nuestro” derecho ha vivido la consideración máxima. El rango “oficial” de derecho fundamental le permitía generar expectación y llenar salas en congresos, jornadas y seminarios de quienes acudíamos ávidos de conocer más acerca del “nuevo” derecho. Conocida su transversalidad, resultaba que todo era “protección de datos”.
Pero debe decirse que también hemos sufrido el desprestigio social, provocado, entre otras razones, por la reducción del concepto de protección al hecho de haber notificado algunos ficheros, la prestación de servicios profesionales de dudosa calidad o adaptaciones a la ley simuladas bajo acciones formativas subvencionadas, pero también por una profunda exageración del alcance de la norma, la banalización de lo realmente relevante y la entronización de cuestiones supérfluas, accesorias o meramente formales de la regulación actual.
Ahora nos sentimos más cómodos si hablamos de privacidad para referirnos a un ámbito más amplio del derecho, del que la protección de datos de carácter personal es sólo una parte. Privacidad la hay corporal, de las comunicaciones, territorial, física y cuando la relacionamos con la información personal es cuando nos referimos a “protección de datos”. El futuro inmediato definirá el lugar que debe ocupar el profesional de la privacidad de la información.
La Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (Comisión LIBE) en fecha 21 de Octubre de 2013 aprobó el texto que viene a reformar el primer borrador del Reglamento Europeo de Protección de Datos.
El texto en su redactado actual impone la obligatoriedad de contar con un responsable o delegado de protección de datos (Data Protection Officer o DPO) en empresas u organizaciones del sector público; en empresas u organizaciones del sector privado que traten datos de carácter personal de 5.000 o más individuos de forma consecutiva durante un periodo de 12 meses y en empresas u organizaciones del sector privado que dediquen sus actividades básicas al tratamiento de datos personales que requieren seguimiento periódico y sistemático.
La obligación de contar con un Profesional de la Privacidad ya no dependerá del tamaño de la empresa sino del mayor o menor volumen de tratamiento de información personal y también de la naturaleza de esa información.
La función del DPO será la de supervisar el cumplimiento de la norma, además, estos profesionales deberán ser consultados antes del diseño, adquisición, desarrollo y creación de sistemas para el tratamiento automatizado de datos personales al objeto de que puedan garantizar la adecuación de los procesos a los principios “privacy by design” y “privacy by default“.
Estamos ante un nuevo tiempo para esta profesión. De aprobarse definitivamente el Reglamento, será éste el estatuto jurídico que sirva de base para la consolidación de esta profesión en Europa, pero sólo será así, si lleva aparejado el dotar al DPO de suficiente autoridad e independencia para el eficaz desempeño de sus competencias.