redseguridad 076

especial red seguridad primer trimestre 2017 63 DPD monográfico A rtículo La formación, clave para el DPD A frontar una adaptación total a una norma es, como mínimo, una tarea compleja. Pero si esa adaptación es requerida por una norma totalmente nueva, que trae cambios en algunos principios de fondo, impone descono- cidas obligaciones, modifica cuestio- nes de forma y que, además, no solo requiere de un profundo conocimien- to, sino que obliga a reestructurarse, e incluso a transformar la forma de trabajar, se pasa a otro plano de com- plejidad. El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos de la Unión Europea (RGPD), que supone precisamente una vuelta de tuerca al modelo de cumplimiento normativo al que estábamos acostum- brados. De una forma resumida, cabe indicar que trae una gran cantidad de novedades en lo que se refiere al la recogida de información personal, su tratamiento y su protección, pero tam- bién un cambio más profundo, pues se avanza hacia una cultura focalizada en la responsabilidad proactiva o accoun- tability . Y es que el modelo no puede ser más distinto al que estábamos acos- tumbrados en España: una regulación bastante concreta y clara, con un listado muy bien definido de obligacio- nes jurídicas, organizativas y técnicas, así como un compendio taxativo de incumplimientos que nos permitían conocer específicamente las sancio- nes leves, graves o muy graves. Ahora pasamos a una nueva legis- lación más centrada en la persona y en que se garanticen resultados para su protección según la naturaleza del tratamiento; a una norma, por cierto, cuyo régimen sancionador sólo tiene dos categorías: gravísimas y terribles. Eso sí, con márgenes muy amplios para la graduación de la sanción en base a esa responsabilidad proactiva, a las medidas que se hubieran ideado y adoptado en el momento de diseño de los procesos de recogida o trata- miento de datos ( privacy by design y privacy by default ), a las evaluaciones de impacto de privacidad, a la fluida comunicación con las autoridades de control... El DPD Al respecto, una de las novedades más destacadas en el sector de los profesionales de la privacidad es el reconocimiento por parte del legis- lador europeo de que se tenga que nombrar a un delegado de protección de datos (DPD). Aunque no siempre, sí será obligatorio el nombramiento de este profesional en el seno de las empresas en las que sus actividades principales impliquen el tratamien- to habitual y sistemático de datos personales a gran escala, cuando se traten datos especialmente pro- tegidos, así como en el seno de las administraciones públicas. Y es que esta figura, aun si no fuera obligatoria, sería igualmente necesaria habida cuenta de la gran complejidad del nuevo escenario. Las empresas han de asumir la privacidad como pie- dra angular de sus negocios y adap- tarse rápidamente, pues ya casi ha pasado un año desde que se aprobó el RGPD; y para ello requieren de pro- fesionales que controlen legislación, tecnología y desarrollo de negocio. El DPD asumirá esta ingente tarea y será una pieza fundamental del modelo de asesoramiento en protección de datos y privacidad. Aunque tendremos que esperar la modificación de la Ley Orgánica de Protección de Datos para la adapta- ción de la nueva norma europea, el RGPD trae consigo un estatuto pro- pio para el DPD. Lo cierto es que el Reglamento ya establece importantes funciones y responsabilidades como la de asesorar sobre las evaluaciones de impacto en privacidad, supervisar el cumplimiento normativo y que se realicen las prácticas de privacidad desde el diseño, reportar al más alto nivel jerárquico o ser el interlocutor con la autoridad de control; todo ello bajo un halo de independencia. Y para ello, el DPD deberá contar con un conoci- miento especializado del derecho y en la practica en materia de proteccion de datos según el tipo de tratamientos que realice la empresa. Desde la Asociación Profesional Española de Privacidad, pensamos que los profesionales españoles están muy preparados para asumir el rol de DPD en Europa, pues muchas de las obligaciones de la nueva norma euro- pea llevamos años aplicándolas, por lo que el grado de complejidad general puede ser reducido al menos en uno o dos puntos. Por ello pensamos que la formación es fundamental, y ahondar en el conocimiento y la práctica con circuitos formativos de actualización y capacitación o contar con una certifi- cación específica para DPD serán puntos clave para los profesionales. Marcos Mª. Judel Meléndrez Vicepresidente de la Asociación Profesional Española de Privacidad (APEP)