Se busca delegado de protección de datos
La aplicación del RGPD obliga a incorporar un nuevo perfil profesional en las administraciones públicas y en muchas empresas
El Reglamento General de Protección de Datos (RGPD) que entró en vigor el 25 de mayo ha creado una nueva profesión, la de delegado de protección de datos, figura que están obligadas a incorporar todas las administraciones públicas y muchas empresas privadas, lo que abre nuevas oportunidades laborales. Según estimaciones de la International Association of Privacy Professionals (IAPP), el nuevo requisito legal se traducirá en la creación de unos 70.000 puestos de trabajo directos en toda Europa
En el caso de España no se han facilitado cifras, pero la Agencia Española de Protección de Datos (AEPD) ya ha recibido notificación del nombramiento de más de 8.000 delegados. Los especialistas en la materia aseguran que el tejido empresarial español, donde predominan las microempresas, sumado a la escasez de profesionales en la materia, hace prever un despliegue más lento de esta nueva figura.
“Es difícil prever el volumen de empleos nuevos que se crearán porque el reglamento pone nombre a un trabajo que ya existía y que ya ejercían algunos consultores, aunque la obligación de que todas las administraciones contraten un delegado de protección de datos –interno o externo– sí que crea sin duda nuevas oportunidades”, asegura el jefe de la unidad de evaluación y estudios de la AEPD, Andrés Calvo.
LOS REQUISITOS Una persona con conocimientos de derecho e informática
El RGPD no establece titulación específica ni especialización en ninguna disciplina académica para quienes ejerzan como delegado de protección de datos. Sí plantea que tiene que ser alguien con conocimientos legales, aunque no sea abogado, y conocimientos técnicos sobre software y sistemas de datos.
Félix Haro, abogado especialista en protección de datos en la consultora Sage, asegura que también hacen falta algunos conocimientos empresariales. “Pueden llegar a este puesto de trabajo gente del ámbito informático, del derecho y del mundo empresarial; si se trata de un abogado deberá ser alguien interesado en la tecnología y que se forme en gestión de sistemas de información y sepa qué es un CRM –software que permite incluir datos de los clientes, sus características, sus pedidos, etcétera–, además de cómo se vehicula la información en la empresa; si es un informático, tendrá que aprender cómo funcionan las empresas por dentro y el negocio donde va a ejercer, además de la legislación sobre protección de datos; y si se trata de alguien con formación empresarial, deberá adquirir los conocimientos técnicos y legales mencionados”, detalla.
LAS FUNCIONES Asesorar sobre la normativa y supervisar su cumplimiento
El delegado de protección de datos tiene que informar y asesorar a los responsables y encargados del tratamiento de datos personales de la empresa o administración para quien trabaje (y a sus empleados) de sus obligaciones.
También los asesora sobre cómo tratar los datos, supervisa que cumplen la normativa y actúa como interlocutor con la autoridad de control –la AEPD– en caso de denuncia, inspección, comunicación de una brecha de seguridad. Además puede ejercer de mediador entre los ciudadanos y los clientes y la entidad para la que trabaja si se producen reclamaciones, ejercitan derechos o solicitan indemnizaciones.
Algunos expertos aseguran que se trata de una figura que se asemeja al auditor, al defensor del cliente y al delegado sindical, puesto que la empresa no le puede destituir ni sancionar por motivos relacionados con el ejercicio de sus funciones.
LAS EXIGENCIAS No en todas las empresas ni siempre en plantilla
La normativa obliga a disponer de un delegado de protección de datos a cualquier entidad, autoridad o funcionario que desempeñe funciones públicas, lo que según los expertos afecta a todos los ayuntamientos y resto de administraciones, a entidades como los colegios profesionales y a funcionarios públicos como notarios o registradores, pero no a los jue- ces. También están obligados a contratar a este profesional las empresas o profesionales que hacen un tratamiento masivo de datos de personas, que elaboran perfiles con datos de sus clientes, o que manejan datos sensibles, como los relacionados con la salud, condenas, infracciones, opiniones políticas, convicciones religiosas, datos genéticos o biométricos, entre otras cuestiones.
En cambio, no es obligatorio para aquellas empresas pequeñas que sólo conservan los datos de sus proveedores, clientes y empleados sin hacer perfilados ni un tratamiento masivo de ellos. “Todas las empresas tienen que implementar la normativa de protección de datos y tener un responsable y una política al respecto, pero no todas necesitan disponer de un delegado, y eso debe quedar claro para evitar fraudes, porque estamos detectando gente que vende sus servicios como imprescindibles a nivel legal a empresas que no están obligadas a ello”, coinciden Haro y Calvo.
En cuanto a las empresas que sí necesitan contar con delegado, pueden incorporarlo en plantilla como empleado o contratarlo como asesor externo, así que un mismo profesional puede ser delegado de varias entidades, públicas o privadas.
A este respecto, la AEPD ha propuesto a los colegios profesionales que faciliten este servicio al conjunto de sus colegiados, puesto que los problemas que puedan tener serán muy parecidos entre ellos. “Y en el caso de los ayuntamientos, creemos que pueden ser las diputaciones provinciales quienes ofrezcan el servicio”, indica Calvo.
LAS GARANTÍAS Certificado opcional de calidad, autonomía y deber de secreto
Aunque la normativa no exige titulación alguna, la AEPD –en colaboración con la Entidad Nacional de Certificación (ENAC)–, ha creado un sistema de certificación que establece una serie de prerrequisitos para quienes quieran convertirse en un delegado de protección de datos certificado, es decir, legitimado por la autoridad competente. El certificado no es obligatorio para trabajar, pero se considera recomendable a modo de garantía.
“Es una herramienta que permite garantizar a quienes contratan que ese delegado reúne unos mínimos de calidad, que ha demostrado que dispone de ciertos requisitos y conocimientos que un comité de expertos considera imprescindibles para ese trabajo”, explica el jefe de la unidad de evaluación y estudios de la AEPD.
Por otra parte, los expertos enfatizan la autonomía e independencia con que ha de trabajar el delegado de protección de datos dentro de la compañía. Aunque debe ser nombrado por el máximo nivel jerárquico de cada organización –junta general, patronato, asamblea...– y reporta a ese mismo cargo, no puede recibir instrucción alguna respecto al ejercicio de su trabajo ni ser destituido ni sancionado por motivos relacionados con el desempeño de sus funciones salvo en caso de negligencia grave. Y además, tiene obligación de guardar secreto sobre su actividad profesional, como los auditores.