Designan a un DPO pero acaso ¿Alguién controló que no haya conflicto de intereses?

En Bélgica recientemente un banco ha sido sancionado bajo el Reglamento General de Protección de Datos (RGPD) con una multa de 75.000 euros por designar a un Oficial de Cumplimiento de la Privacidad o DPO (por sus siglas en inglés Data Privacy Officer) resultando en un conflicto de intereses.

Sin duda que los criterios expuestos en esta resolución deben ser considerados, aún en el ámbito local, al momento en que las organizaciones decidan instaurar esta posición.

El DPO es aquel funcionario encargado de velar por los derechos de los titulares de aquellos datos personales (clientes, proveedores, empleados) cuyo tratamiento es responsabilidad de la organización. Al presentar dicha función varias similitudes con el rol del oficial de cumplimiento, primordialmente en lo que hace a su independencia en la toma de decisiones y conocimiento de la materia a su cargo, es probable, que al menos en el contexto local, se suela asignar el rol de DPO al oficial de cumplimiento. 

Dicha superposición de roles en una persona, no solo no está vedada sino expresamente autorizada por el RGPD, al sostener en el artículo 38(6) que el DPO podrá cumplir otras tareas u obligaciones. Pero dejando bien en claro que el responsable o encargado del tratamiento deberá asegurar que esas tareas u obligaciones no resulten en un conflicto de intereses. 

De lo expuesto recomendamos: 

i) ser coherente en la ubicación del DPO dentro del organigrama, no asignando dicho rol a alguna gerencia o dirección, a la cual el DPO deba reportar bajo el organigrama, como sucedió en el caso analizado. i

ii) no asignar el rol del DPO a cualquier funcionario que tenga a su cargo el rol de tratamiento de datos personales (ya sea en la selección de medios o fines de dicho tratamiento) o que tenga poder decisión en la selección de la tecnología a emplear por la organización (sistemas informáticos, de ciberseguridad, recursos humanos, etc), ya que dicho funcionario deberá rendir cuentas al DPO sobre la injerencia que dichas tecnologías pueden tener sobre la privacidad.  

iii) Otorgarle cierta independencia y una línea directa con el Directorio o la alta gerencia para poder contar con acceso a los activos informáticos sobre los cuales deba controlar el cumplimiento de la protección de datos, y de esta forma afianzar aquellos valores asociados con la protección de datos personales a través de una concientización de los altos mandos y capacitación para el resto de la organización. 

Desde Crearis-Latam podemos ayudarte a instaurar dentro de tu organización la figura del DPO que es exigido por casi todas las legislaciones del mundo que aplicables a tus actuales o potenciales negocios con el exterior.   

Comentarios
* No se publicará la dirección de correo electrónico en el sitio web.