La figura del DPO (Data Privacy Officer u Oficial de Cumplimiento de Privacidad) es un nuevo recaudo incorporado por el Reglamento General de Protección de Datos (RGPD)[1] de la Unión Europea a partir de mayo de 2018. Con anterioridad al RGPD regía la Directiva 95/46 que no exigía esta figura ni tampoco lo hacían las leyes de los estados miembros. Se estima que en la actualidad ya existen 700.000 organizaciones que cuentan con DPOs registrados en el continente europeo.
El RGPD exige la designación de un DPO para supuestos taxativos como cuando: i) cualquier autoridad pública procese datos personales, excluyendo al Poder Judicial, ii) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o iii) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (datos sensibles) o de datos relativos a condenas e infracciones penales.
Sus funciones radican en asesorar en todo aquello vinculado a la privacidad y datos personales gestionados por la organización que lo designe, yendo desde el monitoreo del compliance en data privacy hasta servir de punto de contacto de los titulares de los datos personales y la autoridad de aplicación, pasando por la realización de evaluaciones de impacto de privacidad, capacitaciones y concientización a los miembros de la organización.
Las particularidades de esta función radican en la independencia exigida para el ejercicio de su rol, que impiden que sea despedido o sancionado por las medidas que recomiende ni que se le nieguen los suficientes recursos para realizar su tarea sumado a contar con una línea directa con la principal autoridad de la organización. Las necesarias cualificaciones, la carencia de conflicto de interés así como la flexibilidad en su elección ya sea internamente en la organización o consultoras especialistas externas.
El reporte recientemente emitido por el CEPD (basado en la experiencia recabada de sus países miembros) ha considerado que:
i) Frente a la reciente sanción de numerosas leyes europeas en el campo digital (Ley de Datos, Proyecto de Regulación de Inteligencia Artificial, Ley de Servicios Digitales, Ley Mercados Digitales, Ley de Gobernanza de Datos) el rol del DPO está cambiando puesto que en muchas organizaciones está asumiendo roles relevantes bajo estas nuevas legislaciones asociados a la inteligencia artificial, ética, gobernanza de datos y espacios de datos que acrecientan las preocupaciones vinculada a los conflictos de interés que se pueden presentar y la insuficiencia de recursos asignados al DPO para realizar las vastas tareas a su cargo.
ii) La función de DPO, aún cuando resulte mandatoria, se suele compartir en la organización con la realización de otros roles como Legales o Compliance o IT y eso dificulta el cumplimiento de la obligación específica impuesta por el RGPD respecto a dotar al DPO de suficientes recursos para realizar su rol. Asimismo esta circunstancia puede propiciar el conflicto de intereses, si el DPO tiene un rol o posición dentro de la organización que implica determinar los propósitos y medios del tratamiento de datos personales cuando a la vez como DPO debe evaluar, controlar y tal vez objetar dichos tratamientos en forma independiente.
iii) La falta de la necesaria capacitación continua y experta del DPO para cumplir su rol cada vez más dinámico frente a las continuas novedades que aportan las nuevas tecnologías.
Sin duda que estas pautas interpretativas por parte de la autoridad europea en protección de datos personales devienen relevantes para nuestro país recientemente ratificado por la Comisión Europea, junto con otros diez países,[2] en su condición de país con legislación en protección de datos personales considerada adecuada a los fines de la transferencia internacional de datos personales desde la Unión Europea.
Asimismo, la Agencia de Acceso a la Información Pública estableció[3] recomendaciones para una Política Modelo de Protección de Datos Personales para organismos públicos, donde expresamente recomienda la designación de un agente de planta permanente como delegado de protección de datos personales a quien se le asigna la implementación y control del cumplimiento interno de la política de protección de datos personales. Asimismo el proyecto de ley de modificación de Ley 25.326 de protección de datos personales, elevado por el Poder Ejecutivo Nacional en el 2023, bajo el anterior gobierno, se encuentra en tratamiento de la Cámara de Diputados de la Nación, y resulta relevante desde el momento que la Comisión Europea recomienda su impulso para su sanción dado que recepta los principios e institutos del RGPD, bajo el cual se acaba de ratificar la consideración de legislación adecuada otorgada hace más de 20 años bajo la vigencia de la Ley 25.326 que ahora se pretende reformar.
Dicho proyecto de Ley también incorpora la figura del DPO para los organismos públicos y para los responsables y encargados de actividades de tratamiento de datos personales que requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades conforme lo determine la reglamentación y/o la autoridad de aplicación.
En la región la figura del DPO ya ha sido adoptada por Uruguay[4], Colombia[5], Brasil[6], Ecuador[7] y México[8] para tratar de alcanzar los estandares internacionales impuestos por el RGPD a partir del 2018. Otros países cuyas leyes de protección de datos personales también preveen la figura del DPO son China, Nigeria, Canadá, Nueva Zelanda, Egipto, Flipinas, Singapur y Sudafrica.
Frente a la cada vez más habitual presencia del DPO en los organigramas de gran cantidad de empresas de la región resulta muy conveniente atender a las visicitudes que surgen de la mayor experiencia de la UE en el funcionamiento de esta figura en los diferentes países que la conforman.
Atento que el rol de DPO puede ser asumido por un ejecutivo de la organización como ser tercerizado en expertos, desde Crearis Latam seguimos las novedades que impactan sobre este rol primordial en la gestión de datos personales para brindar dicho servicio específico de asesoramiento a tu organización con la mayor solvencia.
Link al informe en inglés https://edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf
[2] Andorra, Uruguay, Israel, Canadá, Nueva Zelanda, Suiza, Isla de Man, Guernsey, Islas Faroe y Jersey. Todos estos países fueron reconocidos bajo la vigencia del Directiva 95/46 anteriormente vigente al RGPD. Bajo la vigencia del RGPD se le reconoció dicho carácter a Corea del Sur, Japón, Reino Unido y Estados Unidos.
[6] Lei Geral Protecao de Dados (LGPD) Art 41
[7] Art 48 de Ley Orgánica de Protección de Datos Personales de Ecuador
[8] Art.30 Ley Federal de Protección de Datos Personales en poder de personas privadas