Quién es el delegado de datos, el 'delator' que llega a tu empresa en mayo

El próximo mes de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD), una normativa que incluye la creación de una nueva figura: el delegado de protección de datos (DPO). "Será el encargado de asesorar sobre todos los asuntos en materia de protección de datos", explica Rodrigo González, Senior Manager del departamento mercantil de EY.

Este nuevo cargo deberá también supervisar el cumplimiento de la normativa aplicable y, si se diese el caso, cooperar con las autoridades y actuar como punto de contacto en caso de que se plantee alguna cuestión relacionada con la privacidad. Y es que todo apunta a que el DPO será una figura clave en muchas organizaciones en los próximos años, de ahí que su puesto cuente con una protección especial.

"EL DPO no podrá recibir instrucciones en lo que respecta al desempeño de sus funciones ni será destitutido o sancionado por hacer su trabajo", explica González. "Esta garantía tiene cierta similitud con las garantías ofrecidas a los representantes legales de los trabajadores". Pese a todo, este abogado considera que los responsables sindicales tienen un régimen de garantías "bastante más extenso" que el del delegado de protección de datos.

Dado que no todas las empresas manejan datos, el DPO no será siempre necesario. Será obligatorio en las administraciones y organismos públicos

Para Isabel Martínez Moriel, asociada sénior de Andersen Tax & Legal, la figura que más se le asemeja "es la del 'whistleblower' o delator de irregularidades de los sistemas de cumplimiento de normativas, un cargo muy asentado en los sistemas anglosajones".

Sobre las garantías laborales de este cargo, Martínez Moriel recuerda que "la mera pérdida de confianza en la persona que ostenta el puesto no puede ser razón para su destitución y, menos aún, para el despido, que sería improdecente, en el mejor de los casos, o nulo por razón de derechos fundamentales". En opinión de esta jurista, esta protección es una "garantía" para evitar situaciones negligentes o de "corrupción privada" en las empresas, ya que si el delegado detecta una irregularidad interna, debe denunciarla.

Dado que no todas las empresas manejan datos, el DPO no será siempre necesario. Ambos abogados explican que será obligatorio en las administraciones y organismos públicos (excepto tribunales que actúen en ejercicio de su función judicial) y en las compañías que requieran el tratamiento de datos a gran escala. Pese a todo, González señala que todavía existen dudas sobre qué empresas exactas necesitan esta figura. En este sentido, el anteproyecto de la ley orgánica que lo regulará ya enumera un listado de supuestos. Por su parte, Martínez Moriel precisa que el espíritu del reglamento es que todas las mercantiles, incluso las pymes, cuenten con esta figura para normalizarla.

Un cambio de paradigma

Dentro del sector, el nuevo reglamento se ha convertido en uno de los asuntos más seguidos por los despachos de abogados. "No se trata de una mera actualización de medidas para adaptarlas a la era digital", explica Martínez Moriel. "Este reglamento conlleva un cambio estructural y cultural en el tratamiento de los datos".

Sobre sus principales novedades, ambos abogados destacan los nuevos derechos en favor de los titulares de los datos, las adhesiones a códigos de conducta específicos o las nuevas (y elevadas) sanciones por incumplimiento, entre otros asuntos.

Las empresas españolas se ponen las pilas

¿Y qué están haciendo las empresas españolas con este tema? "Solo el 60% de las empresas en la Unión Europea ha empezado a adaptarse a la normativa, aunque desde nuestra experiencia percibimos que las empresas españolas se lo están tomando en serio", señala González.

Martínez Moriel recuerda que, de no adaptarse a tiempo, las compañías se enfrentan a sanciones que pueden alcanzar los 20 millones de euros o el 4% de su facturación anual. Recientemente, el Consejo de Ministros recibió un informe del Ministerio de Justicia sobre el Anteproyecto de Ley Orgánica de Protección de Datos y ya trabaja en la implantación de la nueva normativa europea.