Los seminarios de ASCOM han arrancado este año con el impartido por Alonso Hurtado, socio de ECIJA y Vicepresidente de ASCOM, que se centró en cómo adaptarse al nuevo Reglamento Europeo de Protección de Datos (RGPD) que entró en vigor el pasado 25 de mayo. El experto adecuado para dar un repaso a fondo de las principales novedades en materia de privacidad que trae este enfoque nuevo, más proactivo. Con este jurista conversamos luego para conocer su visión de esta norma europea y las similitudes entre compliance officer y Delegado de Protección de Datos (DPO).
¿Le sorprende el auge de la protección de datos en nuestro país y que algunos expertos lo consideran como un tipo de compliance?
En absoluto. La protección de datos personales en Europa, pero especialmente en España tiene desde hace muchos años una importancia relevante para la mayoría de los sectores productivos.
Sin duda alguna, la importante labor de persecución y sanción de las prácticas contrarias a la normativa y en definitiva, vulneradoras de la protección de datos personales que ha venido realizando la Agencia Española de Protección de Datos en España, ha ayudado enormemente a que esta disciplina tenga la relevancia que tiene hoy día.
Por último, en relación a si puede ser considerado un “tipo de compliance”, desde mi punto de vista es innegable, en tanto existe una normativa de aplicación a las organizaciones, que requiere de la realización de un análisis de riesgos previo, el establecimiento de controles y el seguimiento del cumplimiento de los mismos por parte de las entidades que traten datos personales.
Parece que ahora en materia de privacidad, el enfoque es más proactivo. Ya no se registran ficheros, sino que uno debe estar dispuesto a demostrar que en cualquier momento su compañía cumple con los nuevos cánones de privacidad…
Sin duda alguna. El nuevo Reglamento Europeo de Protección de datos (RGPD) es una normativa de “corte” mucho más anglosajón que continental, siendo una normativa que establece objetivos a lograr por las organizaciones que tratan datos personales, pero sin establecer cómo lograr dichos objetivos. Siempre me gusta decir, que es una normativa que nos indica que debemos estar en Roma un día a una determinada hora, pero no nos establece cómo debemos llegar a ella.
Todo ello encuentra su máximo exponente en un principio normativo reconocido por el RGPD, denominado “accountability” que si bien es cierto parece un principio de nuevo cuño en nuestro ordenamiento jurídico, no deja de ser más que un principio directamente relacionado con un principio cuyo origen se encuentra en el propio Derecho Romano, y como no, en nuestro Código Civil de 1889, como es el deber de diligencia debida y la acreditación de la misma, pasando este a ser uno de lo pilares básico de esta nueva norma reguladora de la Protección de Datos Personales.
¿Hay muchas similitudes entre el DPO de una empresa y el compliance officer de una entidad? ¿En materia de protección de datos podrían ser la misma persona?
Efectivamente, las similitudes son muchísimas entre un puesto y otro. Si analizamos el artículo 38 y 39 del RGPD, donde se regula la posición y funciones del delegado de protección de datos, haciendo referencia a los derechos, obligaciones y garantías de esta figura en la organización.
Si analizamos con detenimiento cada uno de estos derechos, obligaciones y garantías, podemos observar como la autonomía, independencia disponibilidad de medios para el desarrollo de sus funciones son un común denominador a lo requerido por nuestra normativa a la figura del Compliance Officer.
Respecto a si es una posición que puede coincidir en una misma persona que ocupe el puesto de Compliance Officer, desde mi punto de vista Sí. Es, a mi juicio. probablemente, el puesto donde mejor encaje la figura del DPO y/o el Compliance Officer.
¿Cuáles son los principales riesgos de una empresa en materia de privacidad que debe prevenir el propio DPO?
Desde un punto de vista probabilístico, atendiendo al número de casos que son denunciados y analizados por la Agencia Española de Protección de Datos, y sancionados por ésta, podemos afirmar que los incumplimientos relacionados con las obligaciones relativas al consentimiento, seguidas de los tratamientos no autorizados, especialmente los relativos al envío de comunicaciones comerciales no deseadas, así como a la cesión de datos personales son los principales riesgos para las organizaciones.
La fuga de datos personales de una empresa parece uno de los riesgos más elevados. ¿ Hay alguna forma de mitigarla?
Según datos oficiales del Ministerio de Interior de España, las Fuerzas de Seguridad han registrado en los dos primeros meses del 2018 más incidentes de ciberseguridad en infraestructuras críticas que en todo 2014 (125 frente a las 63 de hace cuatro años), y la mayoría han sido intentos de escaneo de red o ataques con programas maliciosos.
El objetivo de muchos de estos ataques no es otro que lograr obtener información de las personas y organizaciones, que en muchas ocasiones contiene datos personales.
Efectivamente, existen medios para mitigar los riesgos de seguridad de la información, pero no para evitarlos, en tanto el riesgo cero, en este entorno no existe. Dicho esto, las principales medidas que podemos destacar son la existencia de una organización interna adecuada, contando con políticas y procedimientos de efectiva aplicación en la entidad.
Junto a ello hay contar con medidas de protección, de carácter técnico, adecuadas al nivel de riesgo y por último, disponer de programas adecuados de concienciación de las personas implicadas en los procesos, siendo habitualmente éstas, las personas, el eslabón más débil en la cadena de la seguridad de la información.
¿Cómo vicepresidente de ASCOM, que papel juega esta asociación en la profesionalización de la figura del compliance officer?
ASCOM dio sus primeros pasos hace ya cinco años, teniendo entre sus fines principales lograr la profesionalización de una figura, aún novedosa en España, pero muy madura en otras jurisdicciones como la anglosajona (USA, UK, etc).
En estos momentos ASCOM es, sin duda alguna la asociación española de profesionales de Compliance, con mayor número de socios, con mayor presencia institucional y mayor reconocimiento institucional en España.
Este hecho se ve respaldado también a nivel internacional, estando presente ASCOM a través de IFCA (The International Federation of Compliance Associations) en América, Europa, África, Asia y Oceanía, así como participando activamente en multitud de programas y jornadas internacionales.
¿Necesita el compliance officer un estatuto jurídico similar al del DPO que preserve su autonomía y garantice su independencia de la dirección de la empresa?
Sin duda alguna. Siempre nos gusta decir que la figura del DPO es la primera figura “Officer” que cuenta en nuestra normativa con un auténtico estatuto legal, en el que se establecen los derechos, obligaciones y garantías necesarias para el desarrollo de las funciones propias del cargo.
Desde ASCOM trabajamos incesantemente por lograr que desde el regulador se promueva la aprobación de un marco legal donde se establezcan los derechos, obligaciones y garantías de un puesto de trabajo, como nos gusta decir, de alto riesgo, dadas las importantes responsabilidades asociadas al desarrollo de las funciones asociadas.