El 25 de mayo de 2018, entró en vigor el nuevo
Reglamento europeo sobre protección de datos personales (en adelante, GDPR - Reglamento general de protección de datos). Este reglamento es conocido por su efecto extraterritorial: es obligatorio para su uso en todos los países de la UE y, bajo ciertas condiciones, extiende su efecto a empresas no europeas o les obliga a alinear sus actividades con el RGPD para no perder a su socio europeo. En consecuencia, los negocios rusos también pueden verse afectados por una nueva ley, cuyo análisis general está disponible
aquí . El RGPD fortalece el régimen previamente establecido para la protección de datos personales, e introduce nuevas obligaciones para las organizaciones que procesan dichos datos.
En particular, la regulación modernizó la profesión ya existente responsable de la protección de datos (en adelante DPO - Oficial de Protección de Datos). Esta publicación también se incluyó en la
directiva marco de 1995 , que fue reemplazada por un nuevo texto. La legislación anterior regulaba las actividades de dicho especialista, pero no insistió en su nombramiento sin falta.
¿Cuándo se debe prescribir DPO?
Hoy, en la era de GDPR, el nombramiento de un DPO se ha convertido en obligatorio en los siguientes casos (
Artículo 37 del GDPR ):
- En las empresas que realizan un monitoreo sistemático y regular de individuos a gran escala (la mayoría de las veces es monitoreo con el propósito de publicidad contextual);
- En empresas que llevan a cabo el procesamiento a gran escala de categorías especiales de datos personales, como datos de salud, etc.
- En cualquier autoridad pública que procese datos personales.
En todos los demás casos, el nombramiento de DPO sigue siendo opcional. Sin embargo, los reguladores europeos instan unánimemente a no descuidar a dicho especialista y delegar la autoridad para proteger los datos personales a un profesional en este campo.
Tal innovación del legislador europeo se explica fácilmente por la filosofía de la regulación en sí: un régimen mejorado de protección de datos; mayor responsabilidad de los procesadores de datos; enormes sanciones en caso de violación de las disposiciones del GDPR. Para alinear sus actividades con los nuevos requisitos, las empresas necesitan el apoyo de especialistas altamente especializados.
Déficit en el mercado de servicios DPO
Es cierto que los parlamentarios no tomaron en cuenta o simplemente ignoraron el hecho de que el mercado actual de servicios de protección de datos personales no está listo para soportar una afluencia de nuevos clientes que se ven obligados a reclutar DPO. A pesar de que esta profesión ha existido durante más de un día, el número de especialistas deja mucho que desear incluso en el mercado europeo. Entonces, según una
investigación realizada por IAPP (Asociación Internacional de Profesionales de la Privacidad), se deberían contratar 28 mil especialistas en 2018 solo en la UE y los EE. UU. Y en todo el mundo, esta cifra está creciendo hasta 75 mil.
Obviamente, tal demanda no puede ser satisfecha exclusivamente por profesionales internos (empleados internos de las empresas). En este sentido, muchas empresas recurren a organizaciones de consultoría externas que brindan servicios DPO. Por ejemplo, para las pequeñas y medianas empresas, esto puede ser mucho más fácil que contratar a un nuevo empleado. En cualquier caso, el estado externo o interno casi no tiene efecto en las actividades de DPO en sí.
DPO - abogado o especialista en TI?
En primer lugar, debe comprender que DPO debe tener conocimiento legal. Esta conclusión se desprende directamente del
artículo 39 del Reglamento Europeo, que enumera las tareas y misiones del OPD. En mayor medida, esto, por supuesto, es un abogado. Además, debe ser un abogado que tenga fuertes habilidades de gestión y experiencia técnica adecuada, es decir, un gerente.
Con menos frecuencia, el papel de DPO es desempeñado por especialistas en el campo de la tecnología de la información, que solo tienen ideas básicas sobre la ley. Es cierto que esta situación es característica de los países occidentales. En el mercado interno para la protección de datos personales, dominan los especialistas en TI, y no los abogados en absoluto. El GDPR, que ya ha entrado en vigor, debería inclinar la balanza del lado de los juristas en Rusia, más precisamente, juristas especializados.
De una forma u otra, las grandes corporaciones, por supuesto, prefieren contratar algunos especialistas para garantizar la seguridad de TI y otros para los datos personales. Las pequeñas y medianas empresas están tratando de tomar una decisión a favor de un empleado que sea competente en ambas áreas.
¿Por qué está pasando esto? La respuesta radica en la superficie: el RGPD tiene demasiadas responsabilidades para las empresas.
Por un lado, es necesario garantizar la seguridad de los datos personales, para responder correctamente en caso de fuga. Esto generalmente lo hacen personas de TI. Por otro lado, es necesario celebrar acuerdos legalmente correspondientes a los requisitos de la regulación, mantener registros especialmente provistos, contactar a las autoridades de supervisión y cumplir con otras obligaciones "en papel". Y los abogados, a veces incluso los gerentes, generalmente están involucrados en esto.
Como resultado, un buen especialista en el campo de los datos personales es una especie de combinación de todas estas profesiones.
¿Qué hace DPO?
En cuanto al perímetro de DPO, dicho empleado hará todo lo necesario para que la empresa cumpla plenamente con las regulaciones europeas y otros actos en el campo de la protección de datos personales y, por lo tanto, evite sanciones importantes, así como riesgos contractuales con los socios.
DPO llevará a cabo una auditoría general de la actividad, identificará todas las categorías de datos personales procesados por la empresa, propondrá medidas para garantizar su seguridad, así como una estrategia de desarrollo general para el uso legítimo de los datos. También negociará con el supervisor si es necesario. También ayudará a responder adecuadamente a las solicitudes de personas cuyos datos son procesados por la empresa. En general, casi todo lo relacionado con datos personales estará bajo el perímetro de DPO.
En caso de que se descuide a dicho empleado en la era de GDPR, así como en medio de los principales escándalos con la filtración de datos personales, depende de las propias empresas. Pero nuevamente, esto solo es necesario para aquellos que no tienen la responsabilidad directa de designar un DPO.
Características de la provisión de servicios DPO
Cuando una organización piensa en reclutar DPO, es importante comprender que hay dos tipos principales de servicios en esta área: los mencionados internamente y los de consultoría. En el primer caso, el empleado es contratado en virtud de un contrato de trabajo, en el segundo, una empresa de consultoría externa proporciona servicios DPO en virtud de un contrato de derecho civil. Independientemente de la opción elegida, la empresa seguirá siendo la persona legalmente responsable. En ningún caso DPO será responsable por el incumplimiento de la empresa con las disposiciones de GDPR.
Además, la normativa europea establece estrictamente la independencia total de un especialista en la protección de datos personales. En el caso de la empresa, el DPO solo puede ser responsable ante la persona que ocupa el puesto más alto en la jerarquía. En el caso de consultoría externa, DPO no debe encontrarse en una situación de conflicto de intereses, lo que a menudo ocurre si se trata, por ejemplo, de un abogado.
En cualquier caso, el conflicto de intereses y la independencia del DPO siempre son controlados por el supervisor en el campo de la protección de datos personales. Este es un proceso obligatorio y cualquier asignación de DPO debe declararse al regulador. En otras palabras, cada vez que se nombra un DPO, el supervisor debe ser notificado de esto.
Puede obtener más información sobre las diversas sutilezas asociadas con el nombramiento de DPO, tanto obligatorias como opcionales, así como sus funciones y misiones en la
Guía del
grupo de trabajo WP29 . Esta organización existió en la era de la directiva marco de 1995, y su tarea principal era interpretar la legislación en el campo de la protección de datos personales. Con la entrada en vigor del GDPR, el grupo de trabajo fue reemplazado
por el Consejo Europeo de Protección de Datos, pero el trabajo del WP29 no ha perdido su importancia.
Algunas ideas sobre la profesión DPO
Hoy en día, es completamente incomprensible qué tipo de antecedentes debería tener un solicitante de empleo para un OPD en Rusia. Las instituciones educativas casi no ofrecen programas especiales en el campo del derecho digital o la protección de datos personales. Por supuesto, la demanda en el mercado interno es muchas veces menor que en el europeo, pero no es suficiente para justificar esa brecha. Las grandes facultades de derecho apenas comienzan a introducir cursos especiales en TI.
Muchas organizaciones internacionales han proporcionado durante mucho tiempo diversos métodos de certificación. Por ejemplo, el
IAPP mencionado anteriormente ofrece un curso preparatorio sobre GDPR y certifica a quienes aprobaron el examen con éxito. Este curso es accesible para todos los interesados y la acreditación IAPP es muy apreciada en todo el mundo.
En cuanto a la rentabilidad de la profesión, si cree, por ejemplo, la asociación francesa de responsables de la protección de datos personales, el DPO promedio en Europa gana de 2.5 mil a 4 mil euros. Este enchufe corresponde aproximadamente al ingreso promedio de un programador europeo. Como conclusión, podemos esperar una igualdad aproximada entre los ingresos de estas dos profesiones en el mercado interno.
En resumen, debe enfatizarse que el Oficial de Protección de Datos es una profesión joven que ha recibido un impulso significativo para el desarrollo gracias a la entrada en vigor de la nueva regulación europea GDPR. Hoy, la protección de datos personales en GDPR es una tendencia científica a la que las empresas de todo el mundo deberían prestar atención, y no solo en Europa. Pronto, la plena cooperación con los socios europeos será posible solo si se respeta GDPR, lo cual es difícil de imaginar sin integrar la profesión de DPO en el sector de servicios de consultoría, al menos.
