Está en la página 1de 36

El modelo europeo: la privacidad un

derecho fundamental. El modelo de


la Unión Europea
[7.1] ¿Cómo estudiar este tema?

[7.2] Protección de datos personales y ejercicio profesional

[7.3] El Chief Privacy Officer

[7.4] El Chief Security Information Officer

[7.5] Un enfoque profesional. Las competencias


del Data Protection Officer

7 TEMA
El Derecho Fundamental a la Protección de Datos

Esquema

TEMA 7 – Esquema © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

Ideas clave

7.1. ¿Cómo estudiar este tema?

Para estudiar este tema lee las «Ideas clave» que se desarrollan a continuación.

Una vez asimilados los contenidos ahí expuestos, lee:

«Protección de datos como reto y oportunidad empresarial». Recuperado de:


http://lopdyseguridad.es/proteccion-de-datos-como-reto-y-oportunidad-
empresarial/

«De abogado tradicional a abogado digital». Recuperado de:


http://www.unir.net/derecho/revista/noticias/de-abogado-tradicional-a-abogado-
digital/549201454990/

«Cómo ser un data protection officer (DPO) o delegado de protección de datos


personales». Recuperado de:
http://www.unir.net/derecho/revista/noticias/como-ser-un-data-protection-
officer-dpo-o-delegado-de-proteccion-de-datos-personales/549201455219/

«Los profesionales de la privacidad: una profesión para el futuro». Recuperado de:


http://lopdyseguridad.es/los-profesionales-de-la-privacidad-una-profesion-para-el-
futuro/

En este tema analizaremos los elementos fundamentales que definen el ejercicio


profesional en materia de protección de datos. Ello nos permitirá ser capaces de:

Identificar los requerimientos metodológicos para el desempeño profesional.


Establecer los perfiles, capacidades y competencias de un profesional de la
privacidad.
Conocer el ámbito de responsabilidad profesional

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

7.2. Protección de datos profesionales y ejercicio profesional

En los últimos años los responsables de seguridad y de privacidad de distintas


empresas han adquirido un enorme protagonismo público al menos en medios
sectoriales y especializados. Algunos de ellos, los de grandes corporaciones como
Google y Microsoft aparecen con cierta frecuencia en medios de comunicación
generalistas y se acercan al gran público. De algún modo, los conceptos de
privacidad y seguridad van integrándose en el imaginario colectivo de los
usuarios de Internet y consolidándose como valores susceptibles de afectar
significativamente la reputación empresarial en el corto plazo. Con el tiempo
los valores de seguridad y privacidad adquirirán solidez como parte del paquete de
prestaciones que todo proveedor de servicios de la sociedad de la información deba
incorporar y garantizar.

El jurista que pretenda afrontar las tecnologías de la información y las comunicaciones


se enfrenta a la necesidad de operar algún que otro cambio en su estructura mental, en
su percepción de los hechos. El primer reto al que se enfrentará es puramente cultural
conceptos como log, cookie, o fuentes RSS, por citar algún ejemplo, resultan
imprescindibles en este nuevo territorio del Derecho. No será este el único obstáculo, el
jurista bien entrenado en el procedimiento silogístico de la subsunción puede
encontrarse perdido ya que aquí no bastará con actuar mecánicamente. Resultará
indispensable definir los hechos antes de establecer el Derecho aplicable, si es que este
existe.

Por ello, frente a los problemas que puedan derivarse de la aplicación de las
tecnologías de la información y las comunicaciones se requiere una óptica
abierta que parta de considerar la textura abierta de muchas normas, de
localizar criterios normativos que resuelvan problemas y no los creen. Se trata de
encontrar un enfoque que pueda equilibrar el respeto a los derechos fundamentales con
el uso de la tecnología sin que para garantizar los primeros se caiga en una suerte de
ludismo jurídico.

En este sentido, los hechos demuestran algo tan obvio como que lo que las tecnologías
de la información y las comunicaciones, lo que habitualmente llamamos la informática,
procesa no es otra cosa que información. El código binario, las múltiples
combinaciones sucesivas de ceros y unos, tratan información de todo tipo e

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

incluso de la mano del lenguaje de metadatos, información acerca de la


información.

Y el profesional de la privacidad debe ser capaz de abordar estos tratamientos e


insertarlos en un marco de cumplimiento normativo respetuoso con los derechos
fundamentales. En la práctica, en la mayor parte de los casos resulta evidente que las
repercusiones en las libertades y derechos se produce en dos etapas,
consistiendo la primera en el tratamiento de información personal o
colectiva. Esto permite en una segunda fase incidir sobre el derecho
ulteriormente afectado. Siempre se parte de una repercusión en el derecho
fundamental a la protección de datos personales. Pero no puede obviarse que la vida
privada constituye el presupuesto y soporte necesario en el que se desarrolla la
personalidad y el pensamiento del individuo y, por tanto, mantiene una relación
instrumental en las lesiones a los demás derechos.

La tarea de los profesionales de la privacidad nunca se ha caracterizado por su sencillez.


Es sobradamente conocido, y así lo estudiaremos a lo largo de este máster, que la
legislación se caracteriza por un intenso nivel de exigencia. En primer lugar, el
desarrollo del derecho fundamental a la protección de datos ha consolidado su
naturaleza prestacional. Dicho de otro modo los derechos del afectado comportan
un conjunto de deberes positivos de actuación que se proyectan
directamente sobre el responsable.

Al conjunto de principios, deberes y derechos legislados en materia de protección de


datos personales se añade un régimen sancionador muy gravoso y de aplicación
asimétrica, de modo que mientras que cualquier ente privado se arriesga a una
sanción máxima de 600.000€, nuestras administraciones públicas son severamente
amonestadas, pero sin soportar coste económico alguno, y en muy escasas ocasiones se
exige responsabilidad al funcionario infractor. Todo ello probablemente ha justificado
algunos lugares comunes cuando se trata de la aplicación de la legislación en esta
materia.

El primero de ellos, y uno de los elementos disuasorios para una adecuada


implementación de las normas, reside en que las organizaciones, especialmente en el
entorno de las PYMES, la conciben como algo extraordinariamente
gravoso. Y ello se debe a diversas razones que no siempre les son imputables. Existe
un desconocimiento absoluto de modo que únicamente se viene a entender que es algo

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

obligatorio y que puede imponerse, cuando al responsable en su entorno de actividad se


le imponen sanciones. Sin embargo, en la mayoría de los casos para cumplir con
las normas sobre protección de datos basta el sentido común, la aplicación
del tradicional principio de la buena fe a la relación con clientes y trabajadores y la
traslación de las conductas de seguridad del mundo físico al virtual.

Sin embargo, el responsable no tiene en cuenta los aspectos positivos de la aplicación,


de la implementación de las normas sobre protección de datos. Estas:

Proporcionan un conocimiento cabal de los riesgos y vulnerabilidades y


también, en muchas ocasiones permiten identificar los modos en los que se tratan
los datos, suprimir tratamientos innecesarios o centralizar aquellos que lo requieran.
Contribuyen a garantizar la corrección de las decisiones de la organización
ya que se basan en información confiable y no manipulada y asegura el
funcionamiento normal de la organización.
Ofrecen confianza al titular de los datos: su perfil informativo será el adecuado
y no variará arbitrariamente.
Ayudan a garantizar la integridad y confidencialidad de la información, y
a restaurar los sistemas ante cualquier evento imprevisto facilitando la respuesta
ante crisis, incluso ante las catástrofes, de modo beneficioso para la organización.

Por lo tanto, resulta evidente que la aplicación normativa no solo puede concebirse
desde una perspectiva de costes ya que se trata de algo valioso en sí mismo.

Pese a ello, el desarrollo de políticas de implementación de la Ley española en muchas


ocasiones puede resultar ser algo meramente epidérmico. Si cumplir la LOPD
consiste en inscribir unos ficheros, redactar una cláusula informativa,
firmar un contrato de prestación de servicios cuyo contenido es mera repetición
del artículo 12 LOPD y finalmente reducir la seguridad a un archivador cubierto de
polvo en cuyo lomo figura el título «documento de seguridad», el resultado es
desalentador.

El cumplimiento normativo exige convencimiento y un compromiso activo. Una


organización que se someta a un proceso de implantación de la normativa sobre
protección de datos debe transmitir verticalmente, desde el equipo directivo, al
último de los trabajadores una idea de compromiso. Diseñar una arquitectura de
cumplimiento normativo que funcione sin fisuras obliga a comprometerse con un

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

análisis riguroso y transparente del modelo de gestión y su incidencia en el


tratamiento de información personal. Los resultados de una auditoría de
cumplimiento normativo no tienen por qué afectar estructuralmente al modelo de
gestión pero pueden requerir adaptaciones que, sin el compromiso del que aquí se
habla, podrían resultar traumáticas. La experiencia de muchos profesionales de
privacidad acredita que las organizaciones cada vez tienen más en cuenta el
cumplimiento normativo como algo valioso o incluso como una ventaja competitiva.

El segundo problema es de percepción por parte de los destinatarios de nuestros


servicios. Evidentemente, la actitud del responsable deriva de la simple voluntad de
cumplir con la norma para evitar una multa no merece mayor consideración. Pero
incluso en aquellos casos en los que el profesional es bienvenido, o desarrolla su tarea a
tiempo completo en la organización, pueden apreciarse graves disfunciones.

La primera de ellas reside en percibir al experto en protección de datos, sea o no


un consultor externo, como el enemigo. Es quien de modo ineludible se opondrá a
las ideas o expectativas de las áreas de negocio, y perjudicará gravemente cualquier
idea empresarial mínimamente innovadora. Precisamente por ello, se recurre a sus
servicios in extremis y se espera de él que se limite a dar por bueno aquello
previamente decidido.

Por otra parte, es usual que los procesos de diseño e implementación de


procesos de gestión, de desarrollo de aplicaciones, de nuevos modelos de
negocio o actividad, no cuenten en su equipo de diseño con un experto en
privacidad desde el primer momento. Existe una manifiesta falta de cultura de diseño
basado en privacidad. Y ello comporta una dificultad añadida. El derecho
fundamental a la protección de datos es un derecho de naturaleza
instrumental de modo que no existe un cumplimiento «teórico» de la Ley,
es necesario ajustarse a la realidad concreta del sector y a las características específicas
de la organización.

Esta debe «cumplir la Ley» desde su concreta circunstancia. Las recetas


genéricas, generalmente, son de imposible aplicación o imponen costes inasumibles.
Por otra parte, el carácter instrumental del derecho a la protección de datos comporta
un alto grado de conocimiento jurídico de las normas sectoriales. Es imposible asesorar
en salud sin conocer cómo se regula la historia clínica, los análisis clínicos o la

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

investigación biomédica. En resumen, se requiere un conocimiento profundo


del ordenamiento jurídico que nos permita hallar soluciones integrales.

Además, el profesional de la privacidad debe realizar un esfuerzo de adquisición de


conocimientos complementarios que le permitan interactuar con otros profesionales. Si
se proviene del mundo jurídico no es posible asesorar en protección de datos
personales sin un mínimo de cultura informática. Y al revés, el experto en diseño
informático y seguridad no puede perder de vista los requerimientos jurídicos.

Y no basta con ello. El profesional de la


privacidad no actúa contra su
organización, ni siquiera le corresponde
tomar decisiones organizativas u
operativas. Debe empaparse del
contexto, conocer los procesos de
negocio y ofrecer soluciones
funcionales. Por todo ello, el
asesoramiento respecto del derecho de las tecnologías de la información y de las
comunicaciones se está convirtiendo en un sector de alta especialización y el rigor de
estos profesionales resulta estratégico en los procesos de implementación de la
normativa.

A este respecto existe un problema que debería destacarse, de entre los muchos a los
que se enfrentan los profesionales de la privacidad. Se refiere al propio reconocimiento
de las capacidades profesionales. El asesoramiento en privacidad sea jurídico o
técnico carece de regulación y reconocimiento. Incluso en aquellos casos, como
la auditoría del artículo 96 RLOPD donde la profesionalidad debería acreditarse, la
realidad práctica es que no se exige normativamente formación alguna. Nótese que
cualquiera, sin titulación o capacidad acreditada alguna podrá emitir un informe de
auditoría que deberá dictaminar sobre la adecuación de las medidas y
controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y
proponer las medidas correctoras o complementarias necesarias e igualmente,
incluir los datos, hechos y observaciones en que se basen los dictámenes
alcanzados y las recomendaciones propuestas.

Desde un punto de vista profesional se produce así una situación paradójica.


Disponemos de una ley exigente e hipergarantista, inserta de modo complejo en el

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

conjunto del Ordenamiento Jurídico, con un nivel de exigencia técnica intenso, y con
un aparato sancionador verdaderamente gravoso. Sin embargo, el legislador y el
regulador reglamentario, tan precisos en otras cosas dejan en blanco el definir el rol del
profesional que contribuirá a fijar las condiciones de garantía de un derecho
fundamental. Como veremos a continuación, la opción podría ser, y será otra en un
futuro próximo.

7.3. El Chief Privacy Officer

Si tratásemos de definir esta figura, y también la del responsable de seguridad, desde el


punto de vista de los títulos habilitantes para el ejercicio profesional, y sobre todo desde
la regulación nacional, nuestra respuesta sería sencilla: cualquiera. Sin embargo, que
no exista un estatuto profesional definido por una norma en España, que no exista un
«Colegio de Profesionales de la Privacidad», no debe llevarnos a una conclusión
engañosa. La tarea de asesorar en materia de cumplimiento de la legislación
sobre protección de datos personales se ha convertido en una profesión
muy específica como acredita la presencia de asociaciones profesionales de
ámbito nacional, europeo, y algunas con vocación global.

Por otra parte, la propia presión del mercado ha conducido a la búsqueda de


metodologías que permitan acreditar capacidades profesionales pare el desempeño de
esta función ya sea, como es en el caso de este máster mediante un título oficial, ya sea
mediante la obtención de algún tipo de acreditación o certificación.

Más allá de la recogida de la figura del Delegado de Protección de Datos por el


Reglamento, no encontrará el lector previsión alguna. Y esto opera ciertamente como
un hándicap en la medida en la que si bien no cabe negar que el desarrollo de perfiles
profesionales es cada vez más abierto, no lo es menos que resultaría exigible definir un
corpus mínimo de conocimiento.

Por otra parte, esta figura fue expresamente reconocida por el artículo 18 de
la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de
octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos. En la práctica
este precepto obligaba a los Estados Miembros de la Unión Europea a escoger entre un
sistema de notificación de ficheros a la autoridad de protección de datos

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

personales, vía escogida por España, o a contar con un profesional dedicado a


la materia. Este profesional debía:

«- Hacer aplicar en el ámbito interno, de manera independiente, las


disposiciones nacionales adoptadas en virtud de la presente Directiva,
- Llevar un registro de los tratamientos efectuados por el responsable del
tratamiento, que contenga la información enumerada en el apartado 2 del
artículo 21, (los inscribibles) garantizando así que el tratamiento de los datos
no pueda ocasionar una merma de los derechos y libertades de los
interesados».

España optó por no crear esta figura y establecer en el artículo 26 de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) un
procedimiento obligatorio de registro de ficheros a través del Registro General de
Protección de Datos es el órgano de la Agencia Española de Protección de
Datos. Otros países sin embargo, optaron por un modelo regulador que contempla
esta figura y han ido definiendo sus roles y funciones.

Países de la UE que han adoptado la figura del DPO u otras afines. Fuente:
http://www.cnil.fr/english/topics/dpo-in-europe/

Para percibir hasta qué punto es necesario contar con profesionales expertos es
fundamental entender la naturaleza jurídica de la privacidad. Para empezar, como se ha
estudiado, resulta un concepto de textura abierta que admite diversas acepciones y
denominaciones según en qué idioma y en qué país nos encontremos: privacidad,

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

intimidad, protección de datos personales, privacy, vié privée, protection des données,
riservatezza. De hecho, y sin ir más allá del Ordenamiento Jurídico español, la
noción de vida privada se proyecta sobre los derechos al honor, la
intimidad personal y familiar, la propia imagen, la inviolabilidad del
domicilio, el secreto de las comunicaciones y el derecho fundamental a la
protección de datos personales.

Pero la complejidad de la tarea de un experto en privacidad no acaba aquí, además de


ser un bien jurídico de naturaleza compleja cada una de sus manifestaciones se
proyecta de modo diverso sobre la realidad de las organizaciones. En privacidad, las
preguntas y los problemas poseen siempre una mayor profundidad de la esperada. La
tarea del responsable de privacidad tiene que ver con el tratamiento de información y
este no se da en un vacío, sino en un contexto y con una finalidad determinados.

Por tanto, y en particular en lo relativo al derecho fundamental a la protección de datos


personales, la garantía de la privacidad será sectorial y abierta al conjunto del Derecho.

Por ello, no basta con manejar la conocida LOPD, habrá tantos perfiles de
privacidad como sectores del Derecho y áreas de actividad. Sin afirmar de
modo categórico que el CPO deba ser jurista, lo cierto es si su formación jurídica
no es profunda no poseerá las competencias que le permitan encarar de
modo flexible los problemas de cumplimiento normativo a los que se enfrente.
Sin esta formación las soluciones acaban siendo lineales, de mera aplicación de la
LOPD y, en muchos casos, simplemente restrictivas.

El CPO, debe ser un facilitador o si prefiere el catalizador que permita que la simbiosis
entre los objetivos del negocio, la tutela de los derechos del cliente y la garantía de la
seguridad sea posible. Y debe desempeñar su tarea no alterando los procesos de
gestión, o recomendando hacerlo solo en lo indispensable

7.4. Chief Security Information Officer

Con esta denominación se define al profesional cuyo rol consiste en adoptar


decisiones sobre gobernanza de la información que se gestiona en una
organización y, en su caso, articular políticas de seguridad ordenadas a evitar riesgos
y proteger aquella. No obstante, en nuestro sistema, esta figura con frecuencia se

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

desgaja funcionalmente, y suele ser más conocida la noción o función de «responsable


de seguridad».

Desde la óptica del conocimiento «popular» de la figura es necesario situarse en el


contexto de la aparición del primer Reglamento de Medidas de Seguridad. Esta
norma lo definía como la «persona o personas a las que el responsable del fichero ha
asignado formalmente la función de coordinar y controlar las medidas de seguridad
aplicables». En este momento hubo que preguntarse quién podía ser el «responsable de
seguridad» sin que la respuesta resultase evidente. La cuestión de determinar el perfil
profesional óptimo para esta función podía incardinarse en las capacidades y
competencias teóricas de los titulados o ejercientes en informática. Sin embargo, no
existía una titulación curricularmente homologable al 100% y fue el contexto de origen
norteamericano de las certificaciones CISA-ISACA el que con el tiempo
consolidaría en el sector la figura del auditor de seguridad.

El sector perdió una importante batalla cuando el regulador pese al aluvión de


peticiones recibidas se negó a incorporar una definición de la figura que incorporase un
perfil profesional claro al Reglamento de 2007. Sin embargo, este Reglamento como
referente resulta manifiestamente insuficiente ya si tomamos como paradigma la
regulación de la auditoría de seguridad, esta, como es lógico, es una tarea revisora y
reactiva. La que corresponde al CISO posee una dimensión mayor que no solo afecta a
los valores estrictamente ligados a la seguridad. De hecho, no podemos entender sus
competencias si no se pone el acento en su dimensión informacional y lo
interrelacionamos con la idea de privacy by design.

Es necesario atender a otra norma, el Esquema Nacional de Seguridad (ENS),


para acabar de completar un dibujo sobre las capacidades o cualidades de esta figura, si
acumula ambas funciones, y/o de cada área de especialización. El ENS señala que la
seguridad de los sistemas estará atendida, revisada y auditada por
personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida:
instalación, mantenimiento, gestión de incidencias y desmantelamiento. Esta seguridad
debe diseñarse y configurarse de forma que se garantice por defecto.

Para el ENS en los sistemas de información se diferenciará el responsable de la


información, el responsable del servicio y el responsable de la seguridad. El
responsable de la información determinará los requisitos de la información
tratada; el responsable del servicio determinará los requisitos de los servicios

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

prestados; y el responsable de seguridad determinará las decisiones para satisfacer


los requisitos de seguridad de la información y de los servicios. Además, la política de
seguridad de la organización detallará las atribuciones de cada responsable y los
mecanismos de coordinación y resolución de conflictos.

Cuando se conciba en una organización la existencia de un responsable de la


información separado o no de la competencia de la seguridad, existirá un
requerimiento ineludible: debe ser un profundo conocedor de los procesos de gestión
de la organización, de los flujos de la información y del valor que esta posee para la
entidad.

Por tanto, no se trata de un mero análisis de riesgos sino de una labor


mucho más profunda que comienza con el diseño de las aplicaciones y de
los procesos de gestión. Y tampoco se refiere de modo exclusivo a que en estos se
garantice la privacidad. Hay que añadir a ello valores como el de la calidad de la
información o la definición de perfiles funcionales adecuados, y no solo jurídicamente.
Por otra parte, en el ámbito de la protección de datos-seguridad el concepto nuclear del
Privacy Impact Assesment pone de relieve hasta qué punto la tarea de estos
profesionales poseerá un contenido complejo que acompaña al negocio desde su
gestación.

Por otra parte, el concepto de privacidad no puede nublar el juicio impidiendo ver el
papel central del estos profesionales en la gestión de la información corporativa. La
relevancia que ha adquirido el derecho fundamental a la protección de datos oculta
muchas veces la criticidad que puede poseer toda la información sea o no personal.

Desde este punto de vista, la gestión de los flujos de información y la garantía


de su seguridad va más allá de la privacidad y requiere de gestores con una
visión integral que supere el estricto prisma de la protección de datos. Sin
desconocer hasta qué punto en muchas organizaciones la asunción del carácter
estratégico de la seguridad ha llegado de la mano de la LOPD resultaría temerario
confundir una cosa y otra. La gestión de toda la información corporativa, el análisis de
los riesgos que se afrontan y su buen gobierno van mucho más allá de la garantía de la
privacidad y debe permear toda la cultura corporativa. Y esta cualidad es predicable
también del que hemos llamado CPO o DPO.

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

Chief Privacy Officer Vs. Chief Security Information Officer

Es necesario considerar si la figura del responsable de privacidad y la del


responsable de la seguridad de la información, resultan excluyentes o
complementarias. Para ello, puede resultar particularmente ilustrativa la figura del
delegado de protección de datos, traducción desafortunada donde las haya, que
incorpora el Reglamento General de Protección de Datos planteado por la Comisión
Europea. En principio la Propuesta indica que la designación de este profesional se
realizará atendiendo a sus cualidades profesionales y, en particular, a sus
conocimientos especializados de la legislación y las prácticas en materia de protección
de datos, y a su capacidad para ejecutar las tareas que le asignará la futura norma.

¿Pero cuáles son estas tareas? La verdad es que se trata de tareas bastante variadas que
pueden ser atendidas desde perfiles diversos. La primera consiste en una labor de
asesoramiento respecto de las obligaciones que la normativa imponga y
documentar esta actividad y las respuestas recibidas. Asimismo, se ocupará de
supervisar la implementación y aplicación de las políticas de cumplimiento
normativo en todos los ámbitos incluidas la atención de los derechos de acceso,
rectificación cancelación y oposición, la formación del personal y las auditorías.

Esta labor de supervisión se extiende al cumplimiento de los principios de


privacidad en y desde el diseño, la protección de datos por defecto, la
seguridad de los datos y las evaluaciones de impacto (PIA-Privacy Impact
Assessment). Velarán por una adecuada documentación de todos los procesos en los
términos fijados por la norma y supervisarán la documentación, notificación y
comunicación de incidentes de seguridad. Por último, se erigen en el órgano de relación
con las autoridades de protección de datos personales.

Así pues la figura se dibuja con perfiles tan amplios que aunque pudiera encajar con la
definición de chief privacy officer gran parte de sus tareas poseerían un grado tal de
especialización en materia de análisis de riesgos y gestión, de las políticas y medidas de
seguridad que difícilmente podrá realizar su labor sin una asistencia técnica de alta
calidad. Pero el fenómeno se produce de igual modo a la inversa si el perfil del delegado
es técnico.

Como decíamos antes, el derecho fundamental a la protección de datos, o si se prefiere


el derecho a la privacidad, es un derecho de contenido complejo y altamente imbricado

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

con la regulación específica del sector en el que se desenvuelva la actividad de la


organización. Ello es tan cierto que, aunque resulte obvio, hay que recordar que uno de
los mayores riesgos para cualquier organización es el que se vincula al cumplimiento
normativo, pero también desde el punto de vista de la reputación. A medida que la
población madura y se adentra en la sociedad de la información, mientras
que de un lado puede banalizar la privacidad en ámbitos como las redes
sociales, de otro, nadie duda que pueda reaccionar muy desfavorablemente
cuando un impacto en su vida privada pueda afectar a aspectos íntimos o a
su seguridad personal o financiera.

Si a lo anterior añadimos que aspectos nucleares en el diseño del negocio y sus procesos
de gestión dependen en más de una ocasión del sentido que quepa atribuir a un
conjunto de disposiciones integradas en una maraña normativa que conviene
desbrozar, solo podemos concluir que la idea CISO v. CPO induce a una falsa
confrontación y deberíamos más bien hablar de la sociedad CISO & CPO. Por ello,
cuando las capacidades de la organización lo permitan deberíamos recuperar la figura
del comité, la task force o el grupo de trabajo que integre profesionales de estos dos
perfiles junto con gestores, pero sin perder de vista la identificación funcional
individual de cada uno de ellos.

La reflexión respecto de estas figuras resultaría incompleta si no se considera algo que


podríamos la tentación de excluir desde el sentido común. Es evidente que CPO y
CISO son profesionales que se integran en organizaciones con una
envergadura suficiente como para soportar sus costes y necesitar
ineludiblemente de sus servicios. Y sin embargo, en la sociedad de la información
cada segundo que pasa el tamaño pierde importancia si atendemos a elementos
cualitativos. Por ejemplo, una búsqueda de las expresiones Big Data y PYMES da un
total de 2850.000 entradas en el buscador, de las cuales 132.000 en España. Nuestra
pequeña y mediana empresa debe digitalizarse a pasos forzados y desembarcará en el
mundo internet necesariamente. Uno y otro caso explican hasta qué punto la necesidad
de asesoramiento experto resulta estratégica.

En este sentido, cabe reconocer


que en organizaciones de tamaño
medio, y ante la imposibilidad de
soportar los costes laborales, es
altamente probable que tanto el

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

responsable de informática o TI como el responsable del área jurídica


deban desarrollar un esfuerzo de especialización que les conduzca a
asumir e integrar las funciones de estas figuras en su respectivo perfil
funcional. Por tanto, en la medida en la que los procesos intensivos en el uso de
información de todo tipo crecen lo hace paralelamente la necesidad de disponer de un
modelo adecuado de gestión de la misma que asegure su certeza, integridad,
disponibilidad y confidencialidad. En este sentido, probablemente los servicios
externos de consultoría deban evolucionar para ser capaces de proporcionar en
condiciones económicas adecuadas este tipo de servicios.

Otro tanto sucede en el seno de las administraciones públicas. La repercusión en estas


organizaciones de la legislación sobre protección de datos personales ha ido creciendo
lentamente y poniendo en valor tanto los requerimientos de privacidad como los de
seguridad. Este impacto que resultó relativamente bajo con la LORTAD, remontó con
fuerza de la mano de la LOPD y se consolidó con la Ley de Administración Electrónica
que resulta imposible de aplicar si no se han resuelto previamente las necesidades en
materia de privacidad. Lo mismo sucede en materia de seguridad.

Si bien la metodología que incorporaba MAGERIT aparece a finales de los noventa del
pasado siglo, la generalización de las metodologías ordenadas a disponer de normativas
y políticas de seguridad integrales se generaliza con el Esquema Nacional de Seguridad.
Esta evolución normativa favorece un escenario en el que las organizaciones con
cierta capacidad y/o tamaño como ministerios, consejerías, diputaciones,
ayuntamientos de medio y gran tamaño o universidades deben plantearse
disponer de CISO y CPO, así como de prestar soporte a aquellas entidades
administrativas que por su capacidad económica o poblacional carecen de recursos
para ello.

Por otra parte, estos profesionales requieren del apoyo comprometido de su


organización. El creciente interés que los medios generalistas ponen en las
noticias sobre privacidad ha puesto a muchos chief privacy officer de
multinacionales en la primera página de los periódicos. Del mismo modo, las
cuestiones vinculadas a incidentes de seguridad son tratadas con una espectacularidad
rayana en el amarillismo y ponen bajo el foco la labor del CISO. Desde este punto de
vista pudiera parecer que una y otra categoría de profesionales están marcadas por un

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

éxito público arrollador y una influencia interna determinante. Y sin embargo, no es


así.

No resulta extraño encontrar debates en los medios especializados y en la blogosfera


respecto de cuál deba ser la ubicación y ante quien responde o reporta cada figura. Que
estas cuestiones se discutan expresan una realidad más profunda y a la vez
preocupante. La relación de CISO y CPO en el seno de muchas organizaciones
es fundamentalmente reactiva. De aquí su creciente visibilidad pública como
«apagafuegos».

Como se señaló antes, la tarea de una y otra figura son instrumentales y facilitadoras.
Son profesionales cuya labor contribuye a mejorar significativamente los
procesos de gestión y gobierno de las tecnologías de la información en
todas las organizaciones. Pueden desarrollar tareas de control/calidad
esenciales respecto de la provisión de servicios externos relacionados con su área de
influencia. Y cuando la organización posee el suficiente músculo deben integrarse y
contribuir al negocio desde los estadios iniciales de los proyectos. Por el contrario, si no
obtienen un adecuado reconocimiento y respaldo pueden acabar por convertirse en un
molesto voceras.

El análisis de las figuras del CISO y del CPO pone de manifiesto, la necesidad de una
aproximación holística a la seguridad y la privacidad que ponga en valor la información
sea esta personal o no. Por otra parte, lejos de plantearse la cuestión en términos de
«quién debe hacer qué», —o quien debe liderar—, la experiencia práctica apunta a la
exigencia de una interacción multidisciplinar que sepa diferenciar tareas y a la vez
identificar objetivos compartidos. Ello es particularmente relevante en el contexto
nacional, e incluso europeo, en los que a la tradicional regulación de los derechos a la
intimidad y a la protección de datos se superpone la normativización de la seguridad,
sea esta como mero objetivo genérico de obligado cumplimiento, ya sea con la
presencia directa de regulaciones específicas.
Sin embargo, el reto fundamental que ambas figuras enfrentan es el del reconocimiento
interno. Las organizaciones deben entender que CISO y CPO son un elemento
fundamental en su equipo, el catalizador que garantizará la necesaria
confianza en la seguridad y legalidad de nuestras acciones. No parece ofrecer
dudas que, los profesionales de la seguridad y la privacidad se abren camino en todos
los ámbitos como perfiles que necesariamente deben existir. Pero las organizaciones no
pueden limitarse a su contratación, deben crear un campo de juego que les permita

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

desarrollar una labor creativa al servicio de los intereses del empleador. De lo contrario
se convierten en un recurso manifiestamente desaprovechado, en agentes reactivos a
los que muy a su pesar solo queda constatar los incumplimientos y las carencias.

7.5. Un enfoque profesional. Las competencias del Data


Protection Officer

No existe un referente nacional que nos permita definir en términos cuál debería ser el
perfil profesional y competencial de un Data Protection Officcer (DPO) o Delegado de
Protección de Datos (DPO) en el Reglamento general de protección de datos publicado
en mayo de 2016. Sin embargo, una primera aproximación a la legislación vigente nos
conduciría a afirmar la separación funcional a la que acabamos de referirnos en los
epígrafes anteriores. En este sentido, y como se aprenderá en asignaturas posteriores,
podría decirse que en el caso del DPO el desempeño profesional se alinea más
con lo que podríamos denominar auditoría LOPD que con la seguridad,
pero sin renunciar a un conocimiento intenso de esta última materia.

En este sentido, y con independencia del origen profesional de quien ejerza estas
tareas, debe afirmarse que el peso de la formación jurídica es determinante para
cualificar un DPO. Puede observarse el peso de los conocimientos jurídicos,
marcados en azul, en las competencias fijadas para la certificación ACP-DPO.

C‐ACP2 Ser capaz de definir el ámbito de aplicación de la legislación vigente, identificar


ficheros, responsables y encargados, tratamientos y flujos de información
sujetos a la misma.
C‐ACP3 Informar y asesorar al responsable o al encargado del tratamiento de las
obligaciones que les incumben.
C‐ACP5 Ser capaz de auditar las necesidades de privacidad de una organización
teniendo en cuenta el ordenamiento sectorial.
C‐ACP6 Conocimiento profundo de la legislación aplicable en materia de protección de
datos.
C‐ACP7 Conocimiento profundo de los aspectos técnicos de la seguridad.
C‐ACP8 Ser capaz de evaluar y verificar el cumplimiento de los objetivos de seguridad
definidos por el Título VIII del Real Decreto 1720/2007, de 21 de diciembre,
por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999,
de 13 de diciembre, de protección de datos de carácter personal.

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

C‐ACP9 Ser capaz de integrar en su análisis los requerimientos derivados de la


regulación específica en sistemas afectados por el Esquema Nacional de
Seguridad y otras normas.
C‐ACP10 Ser capaz de implementar los requerimientos de seguridad establecidos por el
Título VIII del Real Decreto 1720/2007, de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal y normativa sectorial
aplicable.
C‐ACP12 Ser capaz de verificar el grado de cumplimiento normativo en materia de
protección de datos de una organización.
C‐ACP13 Ser capaz de aplicar metodologías de protección de datos desde el diseño y
protección de datos por defecto.
C‐ACP14 Ser capaz de implementar modelos de gestión documental del cumplimiento de
las obligaciones en materia de protección de datos (accountability).
C‐ACP15 Ser capaz de desarrollar evaluaciones de impacto (Privacy Impact
Assessment‐PIA) y de determinar la necesidad en su caso de aplicar el
procedimiento de consulta previa
C‐ACP16 Ser capaz de diseñar procedimientos de monitorización y evaluación de los
eventos de seguridad en tiempo real y de notificación y comunicación de las
violaciones de datos a la autoridad de control o los afectados.
C‐ACP17 Ser capaz de establecer procedimientos de cooperación con la autoridad de
control a solicitud de esta o a iniciativa propia.
C‐ACP18 Ser capaz de liderar procedimientos de formación y sensibilización interna del
personal, en particular en relación con las medidas y los procedimientos
técnicos y organizativos.
C‐ACP19 Ser capaz de trabajar en equipos multidisciplinares.
C‐ACP20 Ser capaz de tramitar tutelas de derechos y procedimientos sancionadores ante
las autoridades de control.

No obstante, puede buscarse un referente normativo en la Sección Octava del


Reglamento que regula la protección de datos en las instituciones y los organismos
comunitarios que regula la figura del responsable de la protección de datos, que no
debemos confundir con la figura del responsable del tratamiento, como un precedente
próximo de la figura del DPO.

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

Se trata de una persona nombrada por cada institución y cada organismo comunitario
al se atribuyen las siguientes funciones:

Garantizar que los responsables del tratamiento y los interesados sean


informados de sus derechos y obligaciones de conformidad con el
Reglamento.
Responder a las solicitudes del Supervisor Europeo de Protección de
Datos y, en el marco de sus competencias, cooperar con el Supervisor
Europeo de Protección de Datos a petición de este o por iniciativa propia.
Garantizar de forma independiente la aplicación interna de las
disposiciones del presente Reglamento.
Llevar el registro de aquellas operaciones de tratamiento realizadas por el
responsable del tratamiento.
Notificar al Supervisor Europeo de Protección de Datos las operaciones de
tratamiento que pudieran presentar riesgos específicos.
Velar por que el tratamiento no tenga efectos adversos sobre los derechos y
las libertades de los interesados.

Se señala de modo específico que «será seleccionado en razón de sus cualidades


personales y profesionales y, en particular, de su experiencia en la protección de
datos». Se le atribuye un estatus de independencia y se le debe dotar de los
necesarios medios para desarrollar su labor, además cada institución u
organismo comunitario adoptará normas complementarias definiendo sus tareas,
obligaciones y competencias.

Gran parte de las consideraciones anteriores han sido incorporadas a la reforma del
sistema europeo de protección de datos operada por el Reglamento (UE)
2016/679 del Parlamento Europeo y Del Consejo de 27 de abril de 2016
relativo a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos, y por el que se deroga
la Directiva 95/46/CE, en adelante Reglamento general de protección de datos o
GDPR.

El punto de partida de la norma, en lo que aquí interesa cualifica al responsable del


fichero o tratamiento que «debe estar obligado a aplicar medidas oportunas y eficaces y
ha de poder demostrar la conformidad de las actividades de tratamiento con el presente
Reglamento, incluida la eficacia de las medidas» (Considerando 74). Esta acreditación

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

de responsabilidad, la accountability, implica desarrollar un conjunto de labores


de diseño basado en la privacidad y también de minimización de los datos
o privacidad por defecto. Además, debe disponer de una adecuada documentación,
políticas de seguridad, realizar evaluaciones de impacto, obtener cuando procedan
autorizaciones o realizar consultas previas a la autoridad de protección de datos, y en
determinados casos disponer de un delegado de protección de datos.

Es evidente que tareas de esta complejidad difícilmente podrían ser desarrolladas por
personal no experto. No obstante, el GDPR parte de establecer un conjunto de
exenciones destinadas a favorecer la actividad de las pequeñas y medianas empresas, lo
que significa que la obligación de contar con profesionales de privacidad, el
llamado delegado de protección de datos, se limitaría a supuestos específicos
cuando:

« a) El tratamiento lo lleve a cabo una autoridad u organismo público, excepto


los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines,
requieran una observación habitual y sistemática de interesados a gran escala,
o
c) las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categorías especiales de datos personales con
arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a
que se refiere el artículo 10».

Los artículos 37 a 39 de la Propuesta, definen una figura que ha ido difuminando sus
contornos en las distintas versiones. Su primera característica es la de una
profesionalidad basada en el conocimiento y las competencias. El legislador europeo
subraya este aspecto en la exposición de motivos:

«(97) […] El nivel de conocimientos especializados necesario se debe


determinar, en particular, en función de las operaciones de tratamiento de
datos que se lleven a cabo y de la protección exigida para los datos personales
tratados por el responsable o el encargado. Tales delegados de protección de
datos, sean o no empleados del responsable del tratamiento, deben estar en
condiciones de desempeñar sus funciones y cometidos de manera
independiente».

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

No obstante, el párrafo quinto del artículo 37 es algo más preciso:

«El delegado de protección de datos será designado atendiendo a sus


cualidades profesionales y, en particular, a sus conocimientos especializados
del Derecho y la práctica en materia de protección de datos y a su capacidad
para desempeñar las funciones indicadas en el artículo 39».

El perfil de estos profesionales requiere, por tanto, disponer de conocimientos


funcionales al tipo de tratamiento y en particular de naturaleza jurídica.
Ello en estos momentos solo podría acreditarse mediante la exhibición de un título
universitario habilitante, acreditando experiencia previa o presentando algún tipo de
certificación. Por otra parte, la acreditación de la capacidad dependerá de aspectos
como la experiencia profesional acumulada, pero también de exhibir formación
orientada a competencias, como es el caso de este máster.

En cuanto a su desempeño profesional hay que considerar distintos aspectos.


En primer lugar, en versiones anteriores del GDPR se previó un nombramiento
específico por un periodo mínimo de 4 años renovables con una destitución
causal vinculada a mantener las condiciones requeridas para el ejercicio de sus
funciones. Ello se relacionaba de algún modo con un estatuto de independencia
relativa ya que el responsable o el encargado del tratamiento debían velar por que el
delegado de protección de datos desempeñase sus funciones y tareas con
independencia y sin recibir ninguna instrucción en lo que respecta al ejercicio de sus
funciones.

En el GDPR se ha previsto finalmente una visión más flexible desde el punto de


vista de los intereses del responsable que de algún modo define una relación
laboral o funcionarial más usual en lo laboral y sin sujeción a un mandato. Y además
permite la externalización mediante contratos de prestación de servicios. Por otra
parte, no se concibe necesariamente como una dedicación a tiempo completo ya que
puede desempeñar otras funciones y cometidos siempre que no exista un conflicto de
intereses.

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

En cualquier caso, el estatuto del DPD definido por el artículo 38 GDPR se caracteriza
por las siguientes notas:

» Debe garantizarse que participe de forma adecuada y en tiempo oportuno en todas


las cuestiones relativas a la protección de datos personales. Concepto que en su
momento deberemos relacionar con los conceptos de accountability y protección de
datos desde el diseño y por defecto.
» Debe ser respaldado materialmente en la propia organización, —facilitando los
recursos necesarios para el desempeño de dichas funciones y el acceso a los datos
personales y a las operaciones de tratamiento—, y garantizando su acceso a
formación continuada para el «mantenimiento de sus conocimientos
especializados».
» Funcionalmente se integra en la estructura de dirección ya que rendirá cuentas
directamente al más alto nivel jerárquico del responsable o encargado.
» En ejercicio de sus funciones no recibirá ninguna instrucción ni será destituido ni
sancionado por el responsable o el encargado por desempeñarlas.
» Debe mantener el secreto o la confidencialidad en lo que respecta al desempeño de
sus funciones, de conformidad con el Derecho de la Unión o de los Estados
miembros.
» Debe ser diligente y desempeñar sus funciones prestando la debida atención a los
riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza,
el alcance, el contexto y fines del tratamiento.
» El GDPR lo erige en punto de conexión con los afectados o titulares de los datos y las
autoridades de protección de datos.

Por otra parte, se impone el deber de implicar al delegado en todas las cuestiones que
afecten a su materia y bajo la dependencia directa de la dirección ejecutiva y
con pleno apoyo de la organización que deberá respaldar al delegado de
protección de datos en el desempeño de sus tareas y facilitar todos los medios,
incluidos el personal, los locales, los equipamientos y cualesquiera otros recursos
necesarios para el desempeño de las funciones y tareas.

Por último, sus funciones —aunque definidas de modo genérico— son amplísimas y
determinantes:

«a) Informar y asesorar al responsable o al encargado del tratamiento y a los


empleados que se ocupen del tratamiento de las obligaciones que les incumben

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

en virtud del presente Reglamento y de otras disposiciones de protección de


datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de
otras disposiciones de protección de datos de la Unión o de los Estados
miembros y de las políticas del responsable o del encargado del tratamiento en
materia de protección de datos personales, incluida la asignación de
responsabilidades, la concienciación y formación del personal que participa en
las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto
relativa a la protección de datos y supervisar su aplicación de conformidad con
el artículo 35;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones
relativas al tratamiento, incluida la consulta previa a que se refiere el artículo
36, y realizar consultas, en su caso, sobre cualquier otro asunto».

Como puede apreciarse el grado de complejidad de las funciones asignadas sitúa al


profesional de la privacidad en un lugar central para el desarrollo de tratamientos de
datos personales. Y ello, retomando cuestiones anteriormente abordadas obliga a una
cierta reflexión sobre cuál deba ser el papel del delegado de protección de datos. En
privacidad, las preguntas y los problemas poseen siempre una mayor profundidad de la
esperada. La tarea del delegado tiene que ver con el tratamiento de información y este
no se da en un vacío, sino en un contexto y con una finalidad determinados.

Por tanto, y, en particular, en lo relativo al derecho fundamental a la protección de


datos personales, la garantía de la privacidad será sectorial y abierta al conjunto del
Derecho. Por ello, no basta con manejar la ley nacional, habrá tantos perfiles de
delegado de protección de datos como sectores del Derecho y áreas de actividad.

Si su formación jurídica no es profunda, no poseerá las competencias que le permitan


encarar de modo flexible los problemas de cumplimiento normativo a los que se
enfrente. Sin esta formación las soluciones acaban siendo lineales, de mera aplicación
de la LOPD y, en muchos casos, simplemente restrictivas. El delegado, debe ser un
facilitador o si prefiere el catalizador que permita que la simbiosis entre
los objetivos del negocio, la tutela de los derechos del cliente y la garantía
de la seguridad sea posible. Y debe desempeñar su tarea no alterando los procesos
de gestión, o recomendando hacerlo solo en lo indispensable.

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

Por otra parte, se avizora la figura nace en un contexto de coincidencia funcional con lo
que la norma española denomina responsable de seguridad y en la jerga se conoce
como Chief of Information and Security Officer o CISO a la que aludíamos
anteriormente.

Amén de la definición funcional del delegado de protección de datos existe un conjunto


de referencias específicas en la Propuesta de Reglamento que sirven para profundizar
en la naturaleza funcional de la figura del delegado de protección de datos.

En este sentido, el deber de documentar un registro interno de las


actividades del tratamiento y la seguridad, la protección de datos desde el diseño y
por defecto, o las evaluaciones de impacto en la protección de datos constituyen
actividades de un profundo contenido material. Del mismo modo, las labores
de relación con la autoridad de protección de datos en trámites de comunicaciones
previas sobre riesgos detectados o en la notificación de violaciones de seguridad
exigirán contar con profesionales altamente cualificados. Por último, en una lista que
no pretende ser exhaustiva la llamada accountability y la evolución del esquema de
derechos de los titulares de los datos definen un papel muy relevante para el delegado
en su papel de auxilio a responsable y encargado en su deber de actuar como garantes
del DPD en los tratamientos que realicen.

No obstante nos enfrentamos a un


escenario incierto. Si en el repaso del rol
que han ido jugando los profesionales de
la privacidad se aprecia una constante
evolución positiva, el GDPR ha rebajado
las expectativas. De versión en versión, el
delegado de protección de datos ha ido
adelgazando hasta prácticamente perder
su perfil. En el planteamiento del Consejo esta figura llegó a plantearse
como obligatoria solo cuando así lo estableciera la ley nacional o una
norma de la Unión Europea

Pasaría de ser instrumento de garantía de cumplimiento a personal de soporte para


este, desapareciendo la obligación expresa de proveerle de medios. Por otra parte, en el
marco de sus funciones se relajaría el deber de documentar su actividad, desparecerían

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

sus funciones de control de cumplimiento normativo y, en particular, en relación con


los procesos de diseño basado en la privacidad y desarrollo de los Privacy Impact
Assessment. Afortunadamente esta postura no prosperó.

No es el único escenario de riesgo al ser limitados los supuestos en los que hay que
nombrar un delegado. La ausencia de delgado en muchas PYME junto con la supresión
del deber de inscripción apunta a un escenario patrio particularmente complicado. En
España el deber de inscripción ha sido el principal motor de cumplimiento,
si este desaparece deberemos confiar en que la cultura de privacidad haya calado lo
suficiente como para mantener un nivel de cumplimiento adecuado.

No obstante, su carácter no necesariamente imperativo ni desmerecería su función, ni


su necesidad. Por ello, el fortalecimiento de la figura y la definición funcional
del delegado de protección de datos constituye una medida esencial a fin de
intensificar el cumplimiento. No es necesario «obligar» a contratar un profesional
a tiempo completo. Bastará con que las organizaciones entiendan la necesidad por
apostar por un modelo de geometría variable. Cuando la organización por su entidad lo
requiera contará con un DPO, porque de hecho ya lo está haciendo. En el resto de los
casos, podría concebirse la tarea del profesional como una intervención puntual o
estratégica. Frente a la deriva actual, el futuro Reglamento debería prever incentivos
para que los responsables y encargados que designen delegados no estando obligados a
ello, obtengan ventajas de los Estados miembros.

En la experiencia española los profesionales de la privacidad se han erigido en un


elemento esencial que contribuye significativamente a la garantía del derecho
fundamental a la protección de datos, se trata de una figura irrenunciable e
imprescindible.

TEMA 7 – Ideas clave © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

Lo + recomendado

No dejes de leer…

El rol del DPO

Se trata de un documento estratégico para entender la concepción del DPO en el seno


de la Unión Europea en sus características, capacidades y funciones.

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/E
DPS/Publications/Papers/PositionP/05-11-28_DPO_paper_EN.pdf

No dejes de ver…

Deal Harvey: protecting privacy at Twitter

Esta breve pero intensa intervención de la responsable de seguridad y confianza de


Twitter nos permite entender, incluso con humor, algunos de los problemas de
privacidad a los que se enfrenta el responsable de privacidad de una gran compañía.

Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.ted.com/watch/ted-institute/ted-bcg/del-harvey-protecting-privacy-at-
twitter

TEMA 7 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

La importancia de la privacidad

La línea entre lo público y lo privado se ha ido difuminando en la última década, tanto


en línea como en la vida real, y Alessandro Acquisti está aquí para explicar qué significa
esto y por qué es importante. En esta charla sugerente y un poco escalofriante,
comparte detalles de las investigaciones recientes y en curso. Presenta un proyecto que
muestra lo fácil que es cotejar la foto de un extraño con su información personal.

Accede al discurso a través del aula virtual o desde la siguiente dirección web:
http://www.ted.com/talks/alessandro_acquisti_why_privacy_matters?language=es

TEMA 7 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

+ Información

Webgrafía

Asociación Profesional Española de Privacidad

Página web de la asociación de los profesionales españoles de la privacidad.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http://www.apep.es/certificacion

Bibliografía

Confederation of European Data Protection Organistations. Comparative analysis of


data protection officials role and status in the EU and more. Recuperado de:
http://www.novosite.nl/editor/assets/cedpo/European_DPO_Comparative%20Analys
is_6-feb-2012_AFCDP_CEDPO.pdf

Network of Data Protection Officers of the EU Institutions and Bodies. Professional


standards for data protection officers of the EU institutions and bodies working under
regulation (EC) 45/2011. Recuperado de:
https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/E
DPS/DataProt/10-10-14_DPO_Standards_EN.pdf

Olavsrud, T. (2012). Data protection officer role will be key if you opérate in the EU.
Recuperado de:
http://www.cio.com/article/2395511/legislation/data-protection-officer-role-will-be-
key-if-you-operate-in-the-e-u-.html

TEMA 7 – + Información © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de


2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a
efectos del EEE). Recuperado de:
http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679.

Rallo, A. y García, R. (2015). Hacia un nuevo derecho europeo de protección de datos.


Valencia: Tirant lo Blanch.

TEMA 7 – + Información © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

Actividades

Trabajo: ¿Necesito un delegado de protección de datos?

Competencias

CB8. Que los estudiantes sean capaces de integrar conocimientos y enfrentarse a la


complejidad de formular juicios a partir de una información que, siendo incompleta o
limitada, incluya reflexiones sobre las responsabilidades sociales y éticas vinculadas a
la aplicación de sus conocimientos y juicios.
CB9. Que los estudiantes sepan comunicar sus conclusiones y los conocimientos y
razones últimas que las sustentan a públicos especializados y no especializados de un
modo claro y sin ambigüedades.
CG1. Integrar la normativa específica, la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal y sus normas de desarrollo, en el conjunto del
Ordenamiento Jurídico para adoptar soluciones sectoriales válidas.
CG4. Ser capaz de evaluar las necesidades sectoriales de protección de datos
interpretando de modo sistemático las necesidades del negocio.
CE1. Adquirir una comprensión detallada y fundamentada de los aspectos teóricos y
prácticos y de la metodología de trabajo en el ámbito de la protección de datos
personales.
CE5. Ser capaz de definir sus funciones y competencias cuando se inserte en el marco
de una organización como delegado de protección de datos o responsable de seguridad,
y dimensionar sus tareas cuando actúe como proveedor externo de estos servicios.
CE13. Capacidad para planificar, concebir, desplegar y dirigir proyectos de
implementación del cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal, liderando su puesta en marcha y su mejora
continua y valorando su impacto económico y social.
CE19. Capacidad para comprender el entorno de una organización y sus necesidades en
el ámbito de las tecnologías de la información y las comunicaciones desde el punto de
vista jurídico, informático y de gestión.
CE21. Informar y asesorar al responsable o al encargado del tratamiento de las
obligaciones que les incumben y documentar esta actividad.
CT3. Aplicar los conocimientos y capacidades aportados por los estudios a casos reales
y en un entorno de grupos de trabajo en empresas u organizaciones.

TEMA 7 – Actividades © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

Objetivos

Analizar el modelo hacia el que se dirige la protección de datos en la Unión Europea


(UE) y argumentar, de forma crítica, los desafíos actuales para garantizar que Europa
disponga de un modelo competitivo a nivel económico, pero respetuoso con los
derechos fundamentales de los individuos. Se persigue ser capaz de establecer las
identidades y diferencias entre los distintos sistemas de tutela de la privacidad.

Descripción de la actividad

La empresa Naturalia ha decidido desembarcar en el sector de los productos de


parafarmacia y en la medicina homeopática. La creación de una línea de productos se
acompaña con el lanzamiento de un servicio de medicina alternativa que se prestará
tanto en el contexto de las tiendas físicas de la empresa, como por medio de servicios de
telemedicina. El servicio incluirá:

Diagnóstico clínico.
Prescripción de medicamentos homeopáticos o naturales.
Venta de productos.
Mantenimiento y seguimiento de la evolución del paciente

En principio el ámbito de acción se alineará con la llamada «medicina de familia»,


incluidos los menores.

Nuestro despacho de abogados ha venido prestando servicios a Naturalia en el plano


del Derecho Mercantil, Laboral y Fiscal.

Debes elaborar una oferta de ampliación de servicios del despacho de abogados en


materia de protección de datos justificando la necesidad y determinando de modo
concreto el tipo de experto requerido, sus capacidades y tareas concretas y justificando
su necesidad (la necesidad de un delegado y la necesidad de las tareas propuestas).

TEMA 7 – Actividades © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

Criterios de evaluación:

Se evaluará la calidad de las aportaciones realizadas teniendo muy en cuenta la


estructura del trabajo, la justificación de la propuesta y la coherencia con los conceptos
aprendidos en este tema.

Extensión máxima: 3 páginas, fuente Georgia 11 e interlineado 1,5.

TEMA 7 – Actividades © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

Test

1. Para desarrollar adecuadamente las tareas de un delegado de protección de datos se


requiere:
A. Un conocimiento profundo de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal.
B. Ser capaz de integrar la normativa de protección de datos con las propias del
sector de actividad en el que se produzca el tratamiento.
C. Haberse graduado en informática o acreditar formación específica en la
materia.
D. Ser auditor de seguridad.

2. La seguridad de la información debe preocupar a CISO y DPO:


A. Para garantizar el derecho a la protección de datos.
B. Para garantizar la seguridad de la información corporativa estratégica sea esta
personal o privada o no.
C. Para garantizar la seguridad de los datos.
D. Para garantizar la seguridad de la organización.

3. La tarea del DPO empieza:


A. Antes de lanzar al mercado un producto.
B. En la evaluación de la versión del software previa a su lanzamiento.
C. Desde el inicio del diseño del producto o servicio.
D. En el momento de redactar los términos y condiciones legales y las políticas de
privacidad.

4. Un DPO debe ser capaz de:


A. Informar y asesorar al responsable o al encargado del tratamiento de las
obligaciones que les incumben.
B. Tener un conocimiento profundo de los aspectos técnicos de la seguridad.
C. Ser capaz de trabajar en equipos multidisciplinares.
D. Todas son correctas.

TEMA 7 – Test © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

5. En sus relaciones con una organización el DPO debe ser capaz de:
A. Hacer comprender que la aplicación de la legislación constituye una
oportunidad y resulta ventajosa.
B. Utilizar el argumento del importe de las multas para conseguir el
cumplimiento normativo.
C. Realizar una auditoría de seguridad.
D. Denegar el desarrollo de un producto o servicio.

6. Cuando una entidad diseña un nuevo servicio y se apoya en su DPO este debería:
A. Diseñar el servicio basándolo en un el cumplimiento en materia de privacidad.
B. Evaluar los posibles riesgos e impactos en la privacidad.
C. Considerar las medidas de seguridad aplicables.
D. Todas son correctas.

7. Si Vd. necesita un experto en gestionar la seguridad de la información capaz de


definir los usos de la misma creará un puesto de:
A. Chief Privacy Officer.
B. Chief Security Information Officer.
C. Chief Security Officer.
D. Data Protection Officer.

8. El DPO es:
A. Una figura obligatoria en el Derecho de la Unión Europea.
B. Una figura opcional para la legislación de los Estados Miembros.
C. Una figura obligatoria propia del Parlamento Europeo.
D. Una figura cuya obligatoriedad para los Estados Miembros depende de la
existencia o no de un sistema de notificación de los ficheros.

9. Nuestro amigo de la infancia titulado en informática en un grado de formación


profesional ha decidido ser DPO:
A. Podrá ejercer sin ningún tipo de cortapisa legal.
B. No podrá ejercer debido a que carece de la cualificación.
C. Para poder ejercer esta profesión, y a falta de regulación específica, sería
conveniente acreditar un alto grado de formación jurídica y alguna certificación.
D. Se requiere ser ingeniero en informática.

TEMA 7 – Test © Universidad Internacional de La Rioja (UNIR)


El Derecho Fundamental a la Protección de Datos

10. Un DPO:
A. Es independiente e inamovible.
B. Desde la independencia debe adoptar soluciones funcionales.
C. Debe limitarse a cumplir con la legislación.
D. Debe decidir cómo trata los datos personales la organización y esta debe
necesariamente ordenar su s procesos conforme a sus indicaciones.

TEMA 7 – Test © Universidad Internacional de La Rioja (UNIR)