Desde su punto de vista, y tal y como señaló Mar España, directora de la AEPD en el último Día del Compliance Officer celebrado en Madrid el pasado 21 de noviembre “cada vez es más habitual que el compliance officer haga labores de Delegado de Protección de Dato (DPO). Son figuras muy cercanas en cualquier organización. En la mayoría, por razones de economía y por propia coherencia del sistema de gestión, convergen en una misma persona o comité”, explica Alonso Hurtado, vicepresidente de ASCOM.
Para este jurista “de alguna forma el DPO no deja de ser un compliance officer especializado en una materia concreta, que es la protección de datos personales. Esta es una línea y un argumento que venimos defendiendo desde ASCOM desde nuestro origen, incluso antes de la aprobación del Reglamento Europeo de Protección de Datos (RGPD) el pasado 25 de mayo del 2018”.
Desde su punto de vista, todas estas obligaciones legales en materia de cumplimiento, cada vez más complejas, hacen necesario que, en muchos casos, sea recomendable la “creación un órgano colegiado integrado por distintos expertos en diferentes materias susceptibles de generar determinados riesgos. Sobre todo en organizaciones medianas grandes. Otra cuestión son las micropymes donde, la falta de recursos y especialización, hace que habitualmente se recurra a externalizar la función del DPO en entidades o profesionales externos que garantizan el cumplimiento del os requisitos normativamente exigidos”
El fenómeno de la externalización para Hurtado “es algo creciente. En muchas organizaciones asumir este tipo de funciones de cumplimiento o protección de datos no es sencillo y no se tiene ese experto en la compañía, o en su caso, nadie internamente quiere asumir dicha función. En ocasiones, resulta más más económico externalizar esa función de cumplimiento, siempre buscando profesionales acreditados en la materia, que por supuesto, puedan demostrar su solvencia en ese tipo de actividades relacionadas con la protección de datos”.
Del documento presentado en el Día del Compliance Officer, Alonso Hurtado explica que en dicho grupo de trabajo del que es coordinador “se decidió crear un Código de Conducta en materia de protección de datos. Un proyecto ambicioso que se ha planteado por su complejidad en un par de años, dado la actividad de nuestro grupo de trabajo”.
De esta forma nos comenta que “en el primer año hemos dedicado nuestras reuniones a perfilar el texto del citado Código de Conducta. Ya está finalizado, encontrándose en estos momentos en un proceso de revisión interna en ASCOM con el fin de proceder a su aprobación, para poder llevar a cabo la solicitud de aprobación por parte de la Agencia Española de Protección de Datos”.
Este tipo de códigos vienen regulados por el Reglamento Europeo de Protección de Datos (RGPD) y por la LOPD anterior de 1999 “es una herramienta de autorregulación para los profesionales de cumplimiento, que permitirá dotar de una herramienta de gran utilidad a todos aquellos Compliance Officers y órganos de cumplimiento, asociadas o no a ASCOM, que asuman las funciones de DPO”.
Para Hurtado, “con la aplicación de este Código de Conducta hay muchos conceptos del RGPD que son difusos, siendo el Código de Conducta un medio para aclararlos, así como dar una herramienta de aplicación práctica de la normativa de protección de datos personales”.
De esta manera se detallan como gestionar las transferencias internacionales de datos; las cuestiones relacionadas en materia de consentimiento e interés legítimo y otras cuestiones que se han recogido en ese Código de Conducta. “Durante el primer trimestre del 2020 será remitido a la AEPD para que ésta pueda revisarlo, realizar los comentarios oportunos, y validarlo, en su caso. Una vez validado la idea es realizar una presentación pública en conjunto con la AEPD para que, con posterioridad las diferentes entidades públicas o privadas puedan adherirse al mismo”.
Adhesión al Código abierta
Hurtado también señala que “la adhesión a este tipo de Código de Conducta es abierta, no es necesario ser socio de ASCOM”. Desde su punto de vista es una especia de hoja de ruta para orientar a estos profesionales en su trabajo en materia de privacidad y protección de datos, por lo que en la vocación de ASCOM de difundir y profesionalizar al máximo la función del Compliance se ha considerado que un documento de la importancia de este tipo, debía estar abierto a su adhesión por cualquier tipo de organización o profesional del Compliance, con independencia de si es socio o no de ASCOM.
En opinión de este experto en privacidad y protección de datos “hay todavía mucho por hacer en materia de privacidad. Salvo las grandes compañías o multinacionales, hay datos que señalan que más del 85% del tejido empresarial aún no se ha adaptado al nuevo escenario de privacidad que emana del RGPD y de la nueva Ley de Protección de Datos de España. La normativa actual es más compleja que la anterior, lo que sin duda alguna, introduce una mayor dificultad de cumplimiento por parte de las organizaciones”.
A juicio de Hurtado “dicha complejidad hay que verla tanto desde el punto de vista técnico como a nivel burocrático pese a los muchos esfuerzos que ha hecho la AEPD en materia de formación y organización de seminarios, así como de puesta a disposición de las organizaciones de herramientas”.
Nuestro experto reconoce que “realizar incumplimientos en materia de protección de datos, ahora es más sencillo que antes, por lo cual es fundamental contar con profesionales acreditados que conozcan bien el negocio y la legislación actual. En este escenario el Código de Conducta que ultimamos en ASCOM pretende ayudar al compliance officer en materia de privacidad y gestión de este tipo de asuntos”.
La creación de este documento de trabajo encauza muy bien con la filosofía de ASCOM, como asociación referente en materia de compliance, siempre volcada a ofrecer al profesional que gestiona los riesgos en la empresa, el compliance officer las herramientas adecuadas y nivel formativo deseado para que pueda desempeñar su trabajo con profesionalidad
Para Alonso Hurtado parece evidente que “la mayoría de estos profesionales tienen asuntos de protección de dato en su quehacer profesional diario. Queremos ayudarles a que afronten estas cuestiones con garantía, en esta materia donde se han producido tantos cambios legislativos de calado”, apunta este experto. Poner a disposición este Código de Conducta, homologado por la AEPD, ayudará mucho a afrontar este tipo de asuntos.