The Spanish D.P.O.

Publicado el 24 de noviembre de 2011 por Luis. 12 comentarios
Miniatura noticia

Parece ser, según se comenta en los mentideros de Dataland, que la tan citada futura reforma de la Directiva 95/CE/46, o el Reglamento o lo que quiera que modifique nuestro derecho regulador de la protección de datos de carácter personal, va a incluir la obligación de la asunción de la figura del Data Protection Officer, o lo que viene a ser la figura de una persona encargada de velar por el cumplimiento normativo dentro de las organizaciones. He escuchado también que esta figura, idealmente, debería estar situada en un “escalón” de la “cadena de mando” o en el organigrama de cada empresa que hiciera posible que su criterio y sus decisiones, tuvieran la debida independencia respecto de la dirección y el suficiente carácter ejecutivo como para surtir los efectos deseados en el cumplimiento normativo en el desarrollo del negocio.

Ahora bien, esta futura normativa no debe dejar de contemplar alguna dimensión que permita graduar –así se recogía de hecho en el Informe del Parlamento Europeo- e incluso exonerar –imagino y añado yo- en determinados casos, de lo que sería una obligación que aparejaría unos “costes inasumibles” para determinadas empresas o negocios. Y llegado este caso, en Dataland, se apunta a que esos criterios o esas dimensiones que deberían fijar los límites del ámbito subjetivo, o contemplar la opción, por ejemplo, de subcontratar esta función, podrían basarse en “el tamaño” de las empresas, medido, seguramente según el concepto de PYME que se maneja en la UE, el cual atiende al número de trabajadores, al volumen de activo o a la cifra de negocio.

Si en los mentideros de Dataland aciertan en sus predicciones, me vienen a la cabeza posibles paralelismos con otras normas y su cumplimiento que he vivido de cerca, y mi mente me lleva a una experiencia pasada en cumplimiento de la Directiva 2002/96/CE de Residuos de Aparatos Eléctricos y Electrónicos. El objetivo perseguido por dicha norma, es promover el reciclaje, la reutilización y la recuperación de los residuos de estos equipos para reducir la contaminación que generan, lo cual, si bien no es en sí la protección de un derecho fundamental como lo pueda ser el de la intimidad o el de la protección de datos de carácter personal, no deja de tener mucha relación con otros de esos derechos fundamentales. Pues bien, dicha Directiva, permite que, en función de la variables de dimensión citadas, las empresas se acojan a Sistemas de Gestión Integrados para el cumplimiento de la norma. Entiendo que si la norma se cumple, el objetivo que esta norma persigue, sin duda se alcanzaría, y no me cabe duda que el objetivo que la norma persigue es acabar con la contaminación que suponen determinados residuos de equipos electrónicos.

La realidad, al menos la que yo percibí en esa experiencia pasada, fue otra muy distinta. La Directiva aplica el principio de “quien contamina paga”, persiguiendo que por ello, el fabricante rediseñe su producto para eliminar sustancias contaminantes. No sé si esto realmente se da, ya que en mi experiencia pasada, el sujeto obligado no era el fabricante, sino un importador, así que poco tenía que decir en la fase de diseño del producto (y la verdad, en la elección del catálogo, y más cuando se compra a grandes fabricantes, suelen mandar ellos y, todo lo más, los consumidores finales), pero lo que desde luego yo viví es que ese importador tenía la obligación, por mandato de la Directiva, de “gestionar” los residuos que generaban los productos que importaba y comercializaba, aunque por su número de empleados, volumen de activos y cifra de negocio, es decir, por su condición de PYME, podía hacerlo “subcontratando dicho cumplimiento” a un Sistema Integrado de Gestión, que no venía a ser sino un “ente” que anualmente cobraba una cantidad en función de autodeclaraciones y que se supone que destinaba a la financiación o co-financiación de la construcción de puntos limpios que gestionarían los ayuntamientos o entes supramunicipales y a campañas de publicidad para concienciar al usuario final de la necesidad de cerrar el círculo del consumo con el reciclaje de sus productos de desecho… La teoría no parecía mala, pero lo que yo veía es que la cuota que aquel importador pagaba, no se traducía en la existencia de puntos limpios en el lugar donde radicaba este importador, no se traducía en que los pocos puntos limpios que había fueran correctamente gestionados –más bien lo contrario-, y no se traducía en campañas de publicidad abundantes y eficientes…. Por tanto, la sensación que me producía aquella extraña forma de cumplimiento normativo, era de un cumplimiento –si acaso- meramente formal: seguía contaminándose una barbaridad…

Después de toda esta biblia, y cuando seguramente el lector se estará preguntando si leía un post sobre protección de datos, o se habría ido sin darse cuenta al “Muy Interesante”, trato de cerrar mi opinión sobre el riesgo que correríamos en España, donde no nos olvidemos, el 99% de las empresas son PYMES, y el 95% MICROPYMES y AUTÓNOMOS (empresas con menos de 5 trabajadores) si finalmente esa obligación de creación de la figura del DPO se materializase, y se fijaran los aludidos criterios de “descargo o relajación” basados exclusivamente en el tamaño de la empresa… El riesgo de quedarnos en un mero cumplimiento formal –en el mejor de los casos- de la normativa (y que actualmente ya es de por sí elevado…), en mi opinión pondría en serio peligro el cumplimiento de los objetivos de la misma, los cuales, sin lugar a duda, deben ser una mayor protección sobre el derecho fundamental a la protección de datos de carácter personal….

Por eso cuando el Parlamento Europeo en su informe de 6 de julio, afirma en relación con la regulación de la futura figura del DPO … que debe ser evaluada cuidadosamente en el caso de las pequeñas y micro-empresas con miras a evitar gastos excesivos o carga sobre ellas deberían más bien, en mi humilde opinión, pensar en el tipo de datos que las empresas traten, en el volumen de los mismos, en los colectivos afectados, en el riesgo que puedan suponer los tratamientos que efectúen, en la relación del negocio que se desarrolle con el tratamiento de los datos, y en otras variables similares, más que en el coste que pueda representar la protección de ese derecho fundamental, salvo que quiera aplicar el principio de “quien paga, puede tratar los datos de cualquier forma”. A nadie se le ocurriría pensar en rebajar, por ejemplo la necesidad legal de que un cocinero de un pequeño restaurante –por pequeño que fuese- tuviera una formación, al menos básica, en manipulación de alimentos tal y como establece la normativa sanitaria, o que una pequeña empresa constructora –por pequeña que fuese- fuera eximida de cumplir con la normativa de prevención de riesgos laborales atendiendo a su tamaño, sino que el criterio que les obligará a cada una de estas empresas-ejemplo a cumplir con las mencionadas normativas, vendrá del análisis de los riesgos que el propio desarrollo del negocio lleva implícito, no del coste que ello conlleve.

Por último, recordar que estamos en España, y quizá por ello, se me hace extraño creer que la figura de un asesor subcontratado en una empresa de menos cinco trabajadores pueda ocupar un “escalón” de la “cadena de mando” o en el organigrama que haga posible que su criterio y sus decisiones tengan la debida independencia respecto de la dirección y el suficiente carácter ejecutivo como para surtir los efectos deseados en el cumplimiento normativo en el desarrollo del negocio. Serán cosas mías…

Buenos días.

Imagen © Rpongsaj

12 comentarios

  1. Muy interesante tu reflexión. Lo cierto es que yo tengo muchas dudas de que se vaya a exigir un DPO en todo caso y sobre todo a las pequeñas empresas. Es más, en muchos casos incluso lo veo completamente excesivo.

  2. Realmente interesante Luis tu artículo…La verdad es que se desconoce como quedará la figura del DPO en nuestro ordenamiento, pero creo que va a ser obligatorio para “cierto tamaño” de empresas y, espero, que a las Administraciones Públicas. Quizás en un futuro se “afine” un poco más esta figura.
    De todas maneras, pienso que es un avance la obligatoriedad de esta figura para avanzar en una mejor gestión de la privacidad.

    • Luis dice:

      Yo también, Gontzal, pero siempre que se imponga de una forma “efectiva”, no como un mero requisito formal y que se acabe nombrando otra figura inoperante y consumidora de recursos -que está “muy mala la cosa”… a eso mismo es a lo que me refiero en la entrada 😉

      Me voy, que tengo kilómetros por delante.

      Si no puedo pasar por aquí antes de que os vayáis todos de fin de semana, hacedme un favor: ¡¡¡Disfrutadlo!!!

  3. AD EDICTUM dice:

    Oiga, a mí lo que me gusta es el diseño del blog!!! Como se nota donde hay pasta!

    • Luis dice:

      Mas que pasta, es muy buen gusto, y sobre todo, contar con un buen amigo que hace muy bien las cosas… Jose Ramon, que es el que tiene más mérito en el tema de diseño… Sin olvidarme del creador de la imagen corporativa, Spectre Advertising…otro buen amigo….

      Y hablando de buen gusto, no se olvide Usted de que por algo soy su lector número 1 😉

      Gracias por su opinión…

  4. fjavier_sempere dice:

    Muy buenas,

    Esta figura ya existe en grandes empresas o aapp -en algunas, claro- pero tengo mis dudas para pymes o por ejemplo, pequeños ayuntamientos.

    No necesariamente tiene que estar físicamente en la empresa: por ejemplo, un DPO que sea responsable, pongamos para 10 pymes.

    Ahora bien, mis dudas es si:

    a.-Debe ser obligatorio para todos.

    b.-Si no es obligatorio para todos, para los que así lo sea, en función de qué se establece la obligación…número de trabajadores o tipo de datos personales de los tratamientos?

    pd: Seguro que alguno es capaz de echar a un trabajador o dejar de recoger algun dato -digamos especialmente protegido- con tal de no tener DPO.

  5. Luis G dice:

    Mi opinión sobre la cuestión de fondo (no soy experto en PD), es que para que sea efectiva la protección de datos de carácter personal, debería adoptarse un mecanismo similar a la Prevención de Riesgos Laborales, con personas y entidades externas a la propia empresa que evaluaran, implantasen y mantuvieran los medios empleados en la protección de DP. Como bien señala Luis, el tejido empresarial español está constituido por microempresas que difícilmente cumplirán al 100% con lo establecido en la LOPD y su Reglamento, no ya por coste económico sino por su escasa infraestructura humana y técnica.
    Luis, te felicito por el post.

    • Luis dice:

      Pero sí que eres experto en gestión empresarial, y por ello, me agrada mucho más -aún- recibir tu opinión y felicitación…. Espero verte por aquí con frecuencia 😉

      Un abrazo fuerte, y nuevamente gracias por tu contribución.

  6. José Ramón dice:

    Gracias por este post tan estupendo, Luis. Tienes toda la razón. Los criterios para exigir o no el DPO deberían ser los que citas porque el tamaño sin más no aporta nada. No tratará los mismos datos un hospital, pequeño incluso,que una empresa que se dedica a hacer carreteras, por ejemplo, en la que puede haber 1000 empleados y no tratar más datos personales que los de sus empleados, con lo que ya me dirás qué sentido tiene exigirle a ésta un DPO y no al hospital. El criterio del tamaño puede ser operativo en cuanto a que se asume que si tienes ese tamaño te puedes permitir pagar a un DPO y si no, no. Sin embargo, desde el punto de vista de la protección de datos es absurdo el tamaño sin más y a lo que habría que atender es a la naturaleza de los datos tratados, volúmen, afectación a gran número de personas, a otros derechos fundamentales…etc. Saludos

Comentar





 
Se informa a los usuarios del portal que con el envío de un comentario, están aceptando de forma implícita la política de privacidad del sitio la cual declaran haber leído y aceptado. No obstante lo anterior, en cumplimiento del artículo 5 de la LOPD, se informa a los usuarios que al pulsar “enviar comentario”, aceptan que el titular del sitio incluya sus datos en un fichero de datos de carácter personal, debidamente inscrito en el RGPD de la AEPD, cuya única finalidad es la gestión y moderación de dichos comentarios y sus posibles respuestas, así como la medición de estadísticas referentes a las visitas de la web. Dichos datos comprenderán los incluidos en el formulario que el usuario rellena así como la dirección IP desde la que accede al sitio. Si no se facilitasen dichos datos por parte del usuario, el titular no podría administrar el comentario, por lo que dicho comentario no podría ser publicado. Así mismo se informa al usuario que puede ejercer sus derechos de acceso, rectificación, cancelación y oposición de acuerdo con el procedimiento incluido en la política de privacidad