Ante la inminente entrada en vigor del Reglamento General sobre Protección de Datos (RGPD), y en calidad de responsable de Cumplimiento en mi empresa, me planteo la pregunta señalada.
Para implementar dentro de la organización, los postulados del RGPD, toca ponerse manos a la obra con los requisitos que nos vienen impuestos por la normativa europea en materia de protección de datos personales. Uno de los principios básicos es el de la Responsabilidad proactiva o Accountability, es decir, la obligación de llevar a cabo un control y supervisión del cumplimiento del Reglamento. La empresa ha de tomar las medidas necesarias para que, tras un análisis completo del proceso de gestión de los datos, se articule un escenario en el que se reduzcan al máximo los riesgos y se garantice el cumplimiento de la norma y, además, hay que documentarlo, demostrando la trazabilidad de todo el proceso de gestión de datos, desde la obtención de los mismos con todos los requisitos adecuados (consentimiento, información, etc.) hasta su eliminación si fuera el caso (Art. 30 RGPD Record of processing activities)
Prevención antes que reparación. La responsabilidad proactiva exige, entre otras materias, que se evalúen los riesgos que entrañan aquellas actividades susceptibles de incumplir la normativa de protección de datos, y que se apliquen las medidas preventivas necesarias para minimizar dichos riesgos. Si esto no es una actividad idéntica a la del análisis de riesgos que exige un Plan de Prevención de Riesgos Penales en el ámbito de la empresa, no sé yo qué puede serlo…
El artículo 24 del RGPD establece la obligación del Delegado de Protección de Datos de implantar las medidas técnicas y organizativas necesarias para garantizar que la empresa cumple con los requerimientos del Reglamento, así como los mecanismos de control y actualización de las mismas. El Compliance Officer tiene entre sus funciones la de mantener una constante vigilancia sobre la vigencia y actualización de las medidas implantadas por el Plan de Prevención de Riesgos Penales, y proponer correcciones en caso de que éstas hayan quedado obsoletas o ineficaces.
El Delegado de Protección de Datos tiene que evaluar el impacto de la operaciones de tratamiento en la protección de datos personales, tal y como prevé el art. 35 del RGPD. Es decir, en aquellos casos en los que exista un riesgo de incumplir la normativa, se tendrá que evaluar el potencial impacto que dicho incumplimiento tendría, caso de producirse, en los derechos y libertades de las personas físicas afectadas.
Esta obligación reglamentaria se complementa con lo recogido en el artículo 39 del RGPD:
Las semejanzas entre las funciones del Delegado de Protección de Datos recogidas en el Reglamento y las del artículo 131bis del Código Penal respecto del Compliance Officer, son notorias. Las responsabilidades también lo son. El Delegado de Protección de Datos debe aplicar las medidas de protección en función del riesgo, atendiendo a la naturaleza, alcance, contexto y finalidades del tratamiento de datos, así como las medidas de seguridad que se determinen tras la evaluación del impacto que el incumplimiento pueda generar. El Compliance Officer debe velar por el cumplimiento en todas las jerarquías de la empresa, detectar el incumplimiento e informar sobre las consecuencias del mismo, proponiendo acciones correctivas.
La conclusión pues, a mi pregunta inicial sobre la posibilidad de compatibilizar las figuras del Delegado de Protección de Datos y la del Compliance Officer, no es otra que un sí. Y ello visto desde un planteamiento de estricto cumplimiento de la norma, de una aplicación responsable de la cultura del buen gobierno corporativo, y con una concienciación plena de que la ética en todos los procesos empresariales debe ser el principio básico de actuación de las mismas. Eso sí, el tamaño de la estructura de la empresa determinará si la convergencia de ambas figuras puede tener lugar en una misma persona o no.
Ramón Villot Sánchez
Legal Attorney en FacePhi Biometría
Entidad asociada a la WCA
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación