ENTONCES: ¿Y YO PODRÉ SER DPD (DPO)?

ENTONCES: ¿Y YO PODRÉ SER DPD (DPO)?

LA CAPACITACIÓN PROFESIONAL DEL DPD (DPO) Y SU CERTIFICACIÓN

En los anteriores artículos de esta serie hemos analizado aspectos relativos a los antecedentes del DPD, los supuestos de designación, funciones, obligaciones etc. pero: ¿Quién puede ser DPD? Y yo ¿Podré ser DPO?

Creo que los que nos dedicamos a la protección de datos desde hace muchos años podemos reconocer fácilmente en alguien que “tiene cara de DPD” o – hablando más correctamente – que tiene la cualificación para serlo; pero veamos cual es el perfil que la legislación establece y como este ha ido evolucionando en este corto periodo de tiempo hasta la situación actual.

Y la situación es que nos encontramos con la configuración emergente de un perfil en el que podrán convivir DPD no certificados (pues no se exige que lo sean) pero que pueden ser válidos pues existe gente cualificada que aún no dispone de la certificación – y quizá nunca disponga de ella – y estén cualificados para ejecutar bien este trabajo; Y también  DPD que estarán certificados y – por tanto –al haber pasado un proceso de certificación formal dichos conocimientos habrán quedado acreditados.

La certificación puede no ser exigible pero la formación y el aprendizaje en la ejecución de las tareas que debe de ejecutar el DPD es absolutamente necesario.

Y en este tema hay organizaciones que tienen mucho que decir y que son válidas:

a) Cuando hablamos de formación existe una variada oferta en el mercado con niveles de calidad dispares. El esquema se cuida de que la formación (a tener en cuenta de cara a la certificación) deba de estar reconocida por entidades de certificación acreditadas por ENAC.

b) Y cuando hablamos de certificación no podemos olvidar que no cualquiera va a poder certificar sino sólo entidades de certificación acreditadas por ENAC. Y en este campo de la certificación de personas existen entidades que tienen muchos años de experiencia y – por tanto – mucha solvencia.

Entre ellas me gustaría destacar (por su trayectoria y prestigio en la certificación de personas) a la AEC.

https://dpd.aec.es/

Tenemos que tener en cuenta que mientas escribimos este artículo precisamente el 10 de noviembre de 2017 se ha aprobado el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, texto que no se ha hecho aún público y – por tanto – haremos referencia al texto del anteproyecto que  ya se publicó.

Hay muchos temas que están pendientes de madurar o ver cómo evolucionan pero la semilla para reconocer  DPD está  ya sembrada…

1. COMPETENCIA PROFESIONAL DEL DPD

Por un lado hay que tener en cuenta que existen una serie de cualidades explícitas que recoge el artículo 37.5 del RGPD.  Este  dice que será designado atendiendo a sus “cualidades profesionales” y en particular a:

1. Conocimientos especializados del Derecho
2. Práctica en materia de protección de datos
3. Capacidad para ejecutar las tareas contempladas en el art. 39.

Si descendemos al detalle de cada una de esas cualidades vemos lo siguiente:

1. Conocimientos especializados del Derecho

Está claro que debe de tener conocimientos de legislación pero en ningún momento se exige expresamente que tenga una titulación relacionada con el Derecho. Existen candidatos a DPD que tienen un perfil profesional técnico. No obstante es cierto que disponer de una base de conocimientos en Derecho, particularmente de protección de datos (como un curso de especialista o un Máster) constituyen una buena base.

El WP29DPD ha dicho que aunque el nivel de conocimientos requerido no está estrictamente definido debe de ser acorde con la sensibilidad, complejidad y cantidad de datos procesados en una organización.

2. Práctica en materia de protección de datos

Es lógico que los citados conocimientos han de estar centrados en protección de datos y que además los mismos deben de haberse aterrizado de forma práctica.

3. Capacidad para ejecutar las tareas contempladas en el art. 39. del RGPD.

El WP29DPD ha dicho que “Capacidad para cumplir las tareas que le corresponden en el DPO debe interpretarse como tanto refiriéndose a sus cualidades personales y conocimientos, sino también a su posición dentro de la organización. Cualidades personales deben incluir por ejemplo integridad y alta ética profesional; principal preocupación del DPO debe permitir cumplimiento el RGPD”.

A dichas cualidades hay que añadir otras:

1. Conocimiento sectorial

El  considerando 97 del RGPD dispone:

“El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado”.

El WP29DPD insiste en este conocimiento sectorial:

 “Conocimiento del sector empresarial y de la organización del regulador es útil. El DPO debe tener comprensión suficiente de las operaciones de transformación llevado a cabo, así como los sistemas de información y seguridad de los datos y las necesidades de protección de datos del Responsable de Tratamiento”.

Y este conocimiento en el sector público supone “tener un sólido conocimiento de las normas administrativas y procedimientos de la organización”.

2. Capacidad de comunicación, empatía, habilidades personales y de negociación.

Su posición de interlocutor con  las autoridades de control y con los interesados y sus representantes exigen de estos capacidades de comunicación, lo que se evidenciará de forma clara, aunque no sólo, cuando haya que comunicar, por ejemplo, una incidencia.

También deben de disponer de habilidades personales y empatía para lidiar en situaciones como por ejemplo la gestión de reclamaciones o las posibles tensiones que se puedan producir cuando existan discrepancias entre los criterios empresariales y los que defienda el DPD por aplicación de las exigencias legales .

3. Conocimiento de idiomas

La existencia de un marco normativo común a Europa hace aconsejable siempre y exigible en algunos casos (por ejemplo, cuando se trate de multinacionales o empresas con fuertes relaciones fuera de España) que el DPD tenga conocimientos en otros idiomas, particularmente en Inglés.

4. Conocimiento de gestión de riesgos

Una de las nuevas obligaciones que ha impuesto el RGPD y que supone un cambio muy importante de enfoque de la privacidad es su orientación al riesgo, lo que exige siempre realizar un análisis de riesgo (aunque en algunos casos sea sucinto)  y en determinados casos la obligación de realizar una evaluación de impacto “formal”. Y ello requiere de conocimientos en gestión de riesgos.

5. Por último, y dado que de su trabajo siempre se producirá en equipo (aunque unas veces más y otras menos en función de la organización) deberá aprender a trabajar en equipo, gestionarlos y liderarlos.

Por todo ello, la AEPD ha considerado necesario establecer un Esquema de Certificación de profesionales de protección de datos que permita evaluar a los candidatos, de forma que en este momento corresponde a la Entidad Nacional de Acreditación (ENAC) acreditar cuáles serán las entidades certificadoras del DPD.

En este sentido, los artículos 42 y 43 del RGPD regulan la obligación de los Estados miembros y las autoridades de control de crear mecanismos de certificación en materia de protección de datos, así como sellos y marcas que permitan acreditar el cumplimiento del RGPD.

Por su parte el artículo 36 del ANLOPD al abordar el tema de la  Cualificación del Delegado de Protección de Datos dispone:

“El Delegado de Protección de Datos, sea una persona física o jurídica, deberá reunir los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 y demostrar reconocida competencia en la materia. Los requisitos podrán acreditarse por los medios correspondientes, incluidos los mecanismos de certificación”.

2. CERTIFICACIÓN  

Como se ha indicado, no se exige disponer de una certificación para ser DPD. No obstante, puede ser una buena práctica y es altamente recomendable.

Para ello hay que partir de los artículos 42 y 43 del RGPD que regulan la obligación de los Estados miembros y las autoridades de control de crear mecanismos de certificación en materia de protección de datos, así como sellos y marcas que permitan acreditar el cumplimiento del RGPD.

En desarrollo de lo anterior la AEPD como Propietaria del Esquema y ENAC como entidad de acreditación han constituido el Esquema de Certificación de DPD[1].

Las certificaciones serán otorgadas por entidades de certificación acreditados por ENAC, siguiendo criterios de certificación elaborados por la AEPD en colaboración con los sectores afectados.

Podemos resumir el contenido del esquema de certificación de la siguiente forma:

2.1. AGENTES DEL ESQUEMA

El Esquema de certificación de DPD se estructura en torno a  los siguientes agentes:

1. Por un lado, la AEPD.

La AEPD como propietaria del Esquema es la responsable de promover su desarrollo, revisión y validación continua y autoriza al resto de los agentes para formar parte activa del mismo.

2. Por otro lado, ENAC.

Es el organismo único designado por AEPD para la acreditación de entidades de certificación teniendo en cuenta los requisitos de la ISO/IEC 17024:2012 así como los específicos del Esquema.

3. Las Entidades de Certificación.

Son las entidades que ofrecen y en su caso conceden la certificación.

4. Entidades de Formación.

Se trata entidades que ofertan formación relativa al temario de formación de la certificación, que satisfagan los requisitos que pueda exigir la AEPD y que sean reconocidas como tales.  Las entidades de certificación también podrán ejercer la supervisión de éstas.

2.2. MARCA DEL ESQUEMA

Se establecen unas reglas de uso e incluso un modelo de contrato entre la AEPD y los agentes.

La marca del esquema se denomina AEPD-DPD y sólo los agentes indicados podrán utilizarla cuando hayan sido autorizados por la AEPD y mientras la autorización se mantenga vigente.

No se permite su uso por personas físicas. Tampoco se permite su usos por integrantes, empleados o colaboradores de los agentes.

2.3. COMITÉ DEL ESQUEMA

La AEPD es la responsable del desarrollo, revisión y validación del esquema, al menos cada 5 años salvo que las condiciones aconsejen su revisión antes. Para ello se crea un comité con intervención de las partes interesadas. En el propio esquema se establece su régimen: Funciones, composición, convocatorias y régimen de acuerdos, etc..

2.4. AUTORIZACIÓN DE LAS ENTIDADES DE CERTIFICACIÓN

Se trata de la obtención y mantenimiento de la acreditación por parte de ENAC para poder certificar personas (DPDs) en dicho esquema.

La AEPD mantendrá un registro actualizado de dichas entidades.

Inicialmente las entidades de certificación podrán solicitar y se les podrá conceder una designación provisional máxima de un año no renovable. Durante el tiempo de designación provisional podrán certificar a personas para adquirir la necesaria experiencia y hacer uso de su condición de entidad designada provisionalmente; pero durante ese tiempo de designación provisional no podrán hacer uso de las marcas del esquema.

Si transcurrido un año desde la designación provisional no ha conseguido la acreditación por ENAC,  se extinguirá automáticamente.

2.5. ESQUEMA

El esquema de certificación contiene los siguientes aspectos:

2.5.1. TAREAS DEL DPD

Se detallan las tareas del puesto de DPD.

2.5.2. COMPETENCIAS REQUERIDAS AL DPD

También se detallan los conocimientos, habilidades o destrezas necesarias para llevar a cabio las tareas.

2.5.3. PRERREQUISITOS

Este es quizá el tema más interesante pues se establece un sistema de prerrequisitos que balancea formación y experiencia:

Algunos aspectos adicionales y matices:

1. Respecto a la formación:

a) Se refiere a que sea recibida y/o impartida

b) El temario también está definido en el esquema.

2. En caso de no alcanzar la experiencia se podrá convalidar por méritos adicionales.

3. En cualquier caso, en todas las modalidades se requiere la superación de un examen.

2.5.4. CÓDIGO ÉTICO

Se ha definido un código ético para justificar cuestiones como la integridad y un elevado nivel de ética profesional que debe de cumplir el DPD y que tendrá que aceptar.

2.5.5. MÉTODO DE EVALUACIÓN

2.5.5.1. EXAMEN

El examen se compone de 150 preguntas tipo test algunas de las cuales se refieren a un escenario práctico.  Hay que superar al menos el 75 % de las mismas y al menos al 50 % en cada uno de los bloques.

Se ponderan en función de la importancia de los 4 dominios en que se divide el temario.

La calificación será únicamente apto o no apto.

Las entidades de certificación llevarán a cabo las convocatorias que estimen oportunas.

2.5.5.2. SISTEMA DE REDACCIÓN DE PREGUNTAS

Cada entidad de certificación dispondrá de un órgano para su elaboración y actualización. Su supervisión será llevada a cabo por parte de un Subcomité de Evaluación que se constituirá en el seno del Comité del Esquema.

2.5.5.3. PROGRAMA O LISTA DE CONTENIDOS

Los dominios y ponderación es la siguiente:

En el mismo esquema se detalla el índice de los contenidos de cada dominio.

En mi opinión y aunque el programa está muy bien compuesto “en general” sí que se aprecian ciertas carencias como por ejemplo la referida a la transparencia, la referencia a ciertos tratamientos que por su importancia requieran de un mayor análisis (por ejemplo videovigilancia, publicidad etc.). Me parece en cambio muy loable el esfuerzo de “sintetizar” lo “público” con lo “privado” en  un itinerario único.

2.5.6. EVALUADORES

Los evaluadores deben de ser profesionales independientes con formación y experiencia profesional equivalente o superior al candidato a certificar y con capacidad de evaluar las pruebas del método de evaluación. Han de emitir un informe del resultado de la evaluación.

Existe un proceso y requisitos parta su designación.

2.5.7. CRITERIOS PARA LA CERTIFICACIÓN

Dentro de los criterios se distingue:

a) Inicio de tramitación

Se indica a documentación que deben de presentar y los trámites hasta el examen.

b) Concesión del certificado

Superado el examen y tras aceptar expresamente tanto el Código ético, las normas de uso de la marca del certificado y el contrato de cesión de uso se concederá el certificado asignándole un número identificativo intransferible. Tendrá un periodo de validez de 3 años a partir der la fecha de concesión del certificado, salvo que la persona haya sido sancionada.

c) Mantenimiento

Si se producen cambios legales o tecnológicos que a juicio del comité del esquema conllevan una revisión o adaptación significativa del esquema se podrán establecer criterios para mantener la vigencia de los certificados ya concedidos.

d) Renovación

Se establecen los requisitos y la forma en que se procederá a la renovación de la certificación pasados los 3 años.

e) Suspensión y retirada de la certificación

Se establece la posibilidad de suspensión voluntaria así como la suspensión temporal por conductas contrarias al esquema o incluso la retirada de la misma cuando se den los supuestos que el propio esquema contempla.

2.5.8. DERECHOS Y OBLIGACIONES DE LAS PERSONAS CERTIFICADAS

El esquema contempla los derechos y obligaciones de las personas certificadas.

2.5.9. REGISTRO PÚBLICO DE PERSONAS CERTIFICADAS

Las Entidades de Certificación mantendrán actualizado, como mínimo semestralmente, un registro de personas certificadas.

2.6. GESTIÓN DE QUEJAS Y RECLAMACIONES SOBRE EL ESQUEMA

Se establece un sistema de gestión de quejas o reclamaciones contrarias al Esquema realizadas por los agentes y las personas certificadas.

Se establecen los órganos competentes y el procedimiento a seguir.

2.7. SEGUIMIENTO Y SUPERVISIÓN DEL ESQUEMA

Por último y para garantizar los estándares de calidad y rigor del mismo se constituye un Comité de seguimiento integrado por miembros de la AEPD y de ENAC.

[1] http://www.agpd.es/portalwebAGPD/temas/certificacion/common/pdf/ESQUEMA_AEPD_DPD.pdf Última visita:  12/11/2017.

Eduard Chaveli                                                       

IT Lawyer. GOVERTIS
@eduardchaveli

Govertis

Expertos en Ciberseguridad, Privacidad,  IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.

www.govertis.com