martes, 7 de enero de 2014

El ejemplo inglés

En Reino Unido, aunque no es obligatorio el nombramiento de un Data Protection Officer, resulta recomendable contar con esta figura en las empresas. 

El ICO, la autoridad inglesa de protección de datos, considera que el nombramiento de un DPO demuestra el compromiso de una organización por ir más allá del cumplimiento estricto de la ley. Éste es uno de los puntos incluidos en el compromiso “Personal Information Promise”, elaborado por la autoridad británica para aquellas empresas que quieren alcanzar un alto grado de cumplimiento en esta materia. 

Se trata, por tanto, de un plus para compañías en las que el tratamiento de datos personales (de trabajadores, clientes, usuario, etc) ocupa un lugar relevante en el negocio. Una entidad no incumple la ley por no haber nombrado un DPO, pero si quiere “presumir” de respetar la normativa de privacidad, debería contratar uno.

Por eso, muchos expertos recomiendan que se asigne a una persona dentro de las empresas la supervisión del control del cumplimiento de las obligaciones impuestas en este ámbito. Por ejemplo, lean lo que indica la guíaelaborada por Taylor and Wessing.

Las empresas que han nombrado un DPO, hacen público tal nombramiento. No debemos olvidar que contar con una persona que realiza estas funciones constituye una ventaja con respecto sus competidores,  una garantía de seriedad y responsabilidad de cara a sus clientes

Encontramos un ejemplo de esto en la Política de Privacidadque la compañía SIG ha publicado en su web. Por cierto, en este punto, no está de más recordar la diferencia entre Data Protection Policy y Data Protection Notice. Las primeras son documentos internos, dirigidos al personal de la compañía, que se pueden hacer públicos para reforzar el compromiso de una organización con la protección de la privacidad. Las segundas se corresponderían con los avisos legales dirigidos a los titulares de los datos, cuyo contenido mínimo, en España, está fijado en el art. 5 de la LOPD. Pero esta es otra historia, volvamos al funcionamiento del Data Protection Officer en la Pérfida Albión. 

Por citar otro ejemplo curioso, en la página web de la Casa de los Comunes del Parlamento Británico se nos facilita una estupenda guía donde se explica el cumplimiento de la normativa de protección de datos en la institución. Gracias a este documento, sabemos que el DPO de la Casa de los Comunes se llama Bob Castle:

"I have appointed a Data Protection Officer (Bob Castle) to ensure that specific responsibility for compliance with the Data Protection Act is assigned in the House of Commons Service. Additionally, each department of the House of Commons has nominated a Departmental Data Protection Representative to support the Data Protection Officer and their department. If anyone would like more information about the Act or this Policy please contact Bob Castle or any of the Departmental Data Protection Representatives.

I regard the lawful and correct treatment of personal information by the House of Commons Service as essential both to the successful management of our operations, and to maintaining the confidence in us of those with whom we deal. I will ensure that the House of Commons Service treats personal information lawfully and correctly. To this end I fully endorse and adhere to the principles of data protection, as described in the Data Protection Act 1998 and our Data Protection Policy."

En fin, si Usted es DPO su nombre y sus datos de contacto, como los del Señor Bob Castle, resultarán fáciles de encontrar en la web de la compañía en la que presta sus servicios. Nadie va a nombrar un DPO para tenerlo escondido en una habitación sin ventanas. Con esto quiero llamarles la atención sobre algo un tanto cínico, pero realista: Designar un DPO tiene un componente importantísimo de imagen, de reputación para la empresa. El consumidor o usuario se siente un poco más seguro sabiendo que hay alguien con nombre y apellidos en la organización encargado de garantizar su derecho a la protección de datos, y sobre todo, conociendo su curriculum y trayectoria. En fin, que como mínimo, sabremos a quién culpar y podremos jurar en hebreo sobre una persona concreta (lo cual, reconocerán, relaja mucho).

En España, los futuros DPO se convertirán la cara visible de la compañía en materia de protección de datos. Es de prever que no sólo atenderán peticiones ARCO, sino otro tipo de consultas o quejas de los titulares de los datos. Por supuesto, también actuarán de enlace entre la Agencia Española de Protección de Datos y la empresa.

En fin, el trabajo como DPO incluye una labor de “Relaciones Públicas” en el buen sentido del término. El DPO no sólo ha de conocer el funcionamiento de la organización, los tratamientos que se efectúan y las medidas aplicadas para garantizar la privacidad de los titulares de los datos, sino que también debe ser capaz de responder frente a terceros, de explicarles lo que hace la compañía, el esfuerzo realizado. Piénselo a la hora de elegir la persona que será DPO en su empresa (o a los miembros del equipo que va a asesorarlo). Y por supuesto, téngalo presente a la hora de planificar su trabajo durante este 2014 si van a ocupar el puesto de Data Protection Officer de su compañía.

No hay comentarios: