La figura del Delegado de Protección de Datos (DPD) está pasando en estos momentos de ser una mera descripción legal a una figura real que tiene que integrarse dentro del día a día de las organizaciones. Esto conlleva una serie de retos y riesgos que la Agencia Española de Protección de Datos (AEPD) ha abordado en una reciente comunicación.
La posición del DPD dentro del organigrama de una empresa u organización no es fácil, ya que tiene que trabajar codo con codo con las mismas personas a las que tiene que supervisar, evaluar y, si es necesario, censurar.
Uno de los principales riesgos para el DPD es el de no estar involucrado de inicio en el diseño de estrategias y procesos que impliquen el tratamiento de datos. El Reglamento General de Protección de Datos (RGPD) habla de privacidad por diseño y eso significa que la empresa debe tener en cuenta la protección de datos desde el principio a la hora de desarrollar nuevas estrategias, productos y servicios. Esto pasa por involucrar al DPD desde el inicio en el diseño de nuevos sistemas de información.
Cuanto mejor esté gestionada la empresa, más fácil será el trabajo del DPD. Una empresa con procesos internos definidos, roles y responsabilidades bien delimitados y un organigrama jerárquico claro, facilitará la labor de supervisión de apoyo y supervisión del DPD y contribuirá a que no pasen inadvertidos posibles riesgos.
Otro riesgo del que advierte la AEPD es el de no prestar suficiente apoyo, atención y respeto a la figura del DPD.La falta de apoyo se plasmaría, por ejemplo, en no facilitarle el acceso a las reuniones, no informarle sobre decisiones tomadas o no hacerle llegar la documentación necesaria para que el DPD lleve a cabo su labor.La falta de consideración puede manifestarse en que no haya una voluntad por parte de la organización de involucrar al DPD aclarando sus dudas, explicando conceptos técnicos que pueden resultar difíciles para personas no especializadas o no facilitando plazos razonables para la ejecución de sus tareas.La falta de respeto podría venir en forma de no reconocimiento de su figura de forma oficial dentro de la organización o también no teniendo en cuenta sus consideraciones sobre estrategias, procesos, productos o servicios.
En definitiva, el DPD tiene ante sí el reto de integrarse dentro de las empresas y organizaciones de modo que pueda desarrollar sus actividades de información sobre protección de datos, supervisión de la gestión y procesamiento, evaluación de los niveles de riesgo, notificación de brechas de seguridad y cooperación con las autoridades.