miércoles, 8 de enero de 2014

Publicidad y transparencia

Ayer, les comentaba que en Reino Unido no es obligatorio designar un Data Protection Officer, y aún así, muchas empresas lo hacen. Se trata de una buena práctica que genera confianza. Por este motivo, y también para que el DPO cumpla su función de atender las reclamaciones de lo usuarios, su nombre y datos de contacto se hacen públicos.
 
No resulta extraño que el borrador de Reglamento Europeo prevea también que se dé publicidad a la existencia de un DPO en las organizaciones. Así, el art. 35 determina:
 
"9. El responsable o el encargado del tratamiento comunicarán el nombre y los datos de contacto del delegado de protección de datos a la autoridad de control y al público.
 
10. Los interesados tendrán derecho a entrar en contacto con el delegado de protección de datos para tratar todas las cuestiones relativas al tratamiento de datos que les conciernan y a solicitar el ejercicio de los derechos que les confiere el presente Reglamento."
 
El hecho de comunicar los datos a la autoridad de control, en principio, constituye un simple trámite (salvo que para hacerlo habiliten algo parecido al formulario NOTA, en cuyo caso se convertirá en un proceso interminable). Tengan en cuenta, por otro lado, que actualmente algunas agencias como la Holandesa han habilitado en sus páginas webs un registro o listado público de Data Protection Officers. Puede que esta práctica se generalice.
 
Mayores problemas tendremos con la obligación de comunicar la existencia del DPO a los interesados. El art. 14 del reglamento que se nos avecina (en adelante, RQSNA), dispone que:
 
"1. Cuando se recojan datos personales relativos a un interesado, el responsable del tratamiento le facilitará, al menos, la siguiente información:
 
a) la identidad y los datos de contacto del responsable del tratamiento y, en su caso, del representante del responsable del tratamiento y del delegado de protección de datos (...)"
 
Este artículo es el equivalente al art. 5 LOPD, el que recoge el contenido de la información que debe ser facilitada a los afectados. Por lo que parece, no bastará con indicar en nuestra web corporativa quién es el DPO. Tendremos que incluirlo los formularios de recogida de datos. Como les digo, esto puede ser un  problema cuando no disponemos de mucho espacio para insertar la leyenda informativa o en caso de que sea nombrado un nuevo DPO transcurrido el plazo mínimo de mandato.
 
En cualquier caso, no deben considerar como algo negativo publicar el nombre, correo electrónico o teléfono del DPO. De hecho, resultará positivo para su negocio. Si el DPO hace bien su trabajo, evitará denuncias a la empresa, ya que atenderá satisfactoriamente reclamaciones que no llegarán a la autoridad de control. El DPO no está al servicio de la organización. Es una especie de "defensor del afectado".
 
Recuerden, además, que la existencia del DPO también ha de comunicarse internamente (entre los datos que trata una empresa, los de los empleados ocupan un lugar primordial). Véanlo como una oportunidad de aumentar la visibilidad de los responsables de protección de datos dentro de la organización y de hacer valer su trabajo.

4 comentarios:

Anónimo dijo...

Están muy bien estos post sobre el reglamento europeo. Espero que incluya uno sobre las funciones del DPO.

Anónimo dijo...

Está muy bien eso de poner cosas sobre un texto que se va aprobar dentro de 2 o 3 años. A ver qué es lo que al final validan nuestros loores europeos.

Ad Edictum dijo...

Gracias por sus comentarios.

En este blog, hay pocos post sobre el reglamento europeo, por ahora. Pienso publicar muchos en los dos o tres años que quedan para su aprobación.

Esta serie relativa al DPO la estoy escribiendo porque creo que la tendencia en las empresas es la de nombrar un responsable de privacidad, data protection officer, o como quiera llamarlo, que asume funciones muchos más amplias que las del Responsable de Seguridad. Supongo que muchas organizaciones nombrarán uno, se apruebe o no se pruebe el reglamento.

Anónimo dijo...

Yo estoy de acuerdo con eso. Espero la siguiente entrega.