El que parece que será Reglamento definitivo de Protección de Datos ha abierto de nuevo expectativas en lo que afecta a la figura del Delegado de Protección de Datos (DPO). A los supuestos habilitantes para la figura y alguna de las consecuencias para nuestro futuro económico se dedicó otro trabajo en Confilegal. Parece que habrá DPO en la Administración, en sectores con tratamiento masivo de datos que requieran una monitorización periódica y sistemática de los titulares y cuando estos tratamientos “a gran escala” afecten a los datos especialmente protegidos. Ello sin perjuicio de que los Estados Miembros decidan aplicar esta figura a otros tratamientos.

El objeto central de este artículo es el de reflexionar sobre qué podría requerirse para ser DPO. Vaya por delante que la opinión aquí expresada es estrictamente personal y prospectiva. Ni mis condiciones profesionales, ni las vinculaciones institucionales, permiten manejar información ni influir en las decisiones de otros, más allá de la escasa autoridad que confiere el ejercicio profesional continuado de quien aquí escribe.

El punto de partida en esta materia debe arrancar de la historia de los últimos años. La realidad práctica es que el asesoramiento en protección de datos personales no ha sido una profesión regulada. La titularidad de este oficio ha sido reivindicada por profesionales del Derecho, -en su faceta jurídica-, y de la informática, -en lo relativo a la seguridad-, y legítimamente ejercida por estos y por quienes han cursado un título de posgrado universitario propio u oficial.

Sin embargo, en la práctica los servicios de asesoramiento en protección de datos personales han sido prestados por todo tipo de perfiles incluidos cursillistas de los de “aprenda a utilizar nuestro programa para asesorar”, o los corruptos agentes del Coste Cero. No ha sido ajena a esta realidad la carencia de acción gubernamental, -recuérdese que la Directiva habilitaba para crear la figura del DPO y así ha sido en más de un país como ha estudiado CEDPO-, ni la constante deslegitimación de los profesionales por reguladores cuyos técnicos informaban de que cumplir la LOPD era fácil y gratuito. El resultado ha sido una profesión trufada de mercachifles en la que sólo el rigor y el esfuerzo de dignificación del asociacionismo profesional ha reconducido mínimamente la situación.

Ahora bien, cuando el Reglamento se apruebe y entre en vigor la labor del DPO será una profesión regulada. Y no sólo en aquellos ámbitos en los que la figura sea obligatoria. No me cabe la menor duda de que cuando se dirima ante un juez la responsabilidad profesional de un asesor en protección de datos, éste acudirá al nuevo Reglamento y en particular a sus artículos 36 y 37 para establecer si se poseían o no las competencias.

Por otra parte, cabe recordar la multitud de antecedentes remotos o próximos acaecidos en profesiones como el trabajo social, el graduado social, la enfermería, la educación física y más recientemente la prevención de riesgos laborales. En todos y cada uno de estos casos se trataba de profesiones que se ejercían a partir de estudios de formación profesional sin requerimientos mínimos de acceso o de posgrados no oficiales. Ahora bien, en todos los casos se dio el mismo fenómeno en cuanto pasaron a ser títulos universitarios o profesiones reguladas. Para poder seguir ejerciendo la profesión y/u obtener el sello universitario había que concurrir a procesos de convalidación de estudios. Estas convalidaciones se basaban en el reconocimiento de experiencia profesional, en cursar complementos de formación o en una cierta combinación de ambos.

Las labores que se le encomiendan al DPO, y la trascendencia del contexto de los tratamientos a los que la cuestión afecta, no son en absoluto menores. Se trata de un asesoramiento de primer nivel a la hora de aconsejar en el cumplimiento, monitorizar el mismo, desarrollar data protection impact assessments, relacionarse con la AEPD, o atender a los afectados. Por ello, la conclusión es sencilla sólo debería poder ejercer como DPO quién tenga la capacidad de acreditar de algún modo esas capacidades. Quien no posea un título superior de doctorado o posgrado oficial específico-, un grado universitario acompañado de experiencia, o una certificación que sea reconocida por el Ministerio que proceda, incurrirá sin duda en el intrusismo profesional. Asimismo, será indudable a efectos acreditativos la capacidad de quienes hayan desempeñado su tarea en la función pública en puestos cuyo perfil de oposición y/o funcional se corresponda con el propio de un DPO.

Es posible, aunque no deseable, que quién esto escribe se equivoque. Sin embargo, tanto en la dimensión asociativa como en la profesional se trabajará incansablemente para tratar de explicar a las autoridades quién puede ser un DPO y afirmar que no lo puede ser cualquiera. Ahora es sin duda el momento para que todos aquellos que posean capacidades y competencias pero no estén en condiciones de acreditarlas formalmente apuesten por la formación y la certificación, y lo hagan acudiendo a universidades y/o entidades confiables y rigurosas.

La apuesta es complicada, hay que escoger muy bien, la formación en privacidad es un reto personal y colectivo en el que no todo vale. El corpus de conocimientos requeridos y la trascendencia en los derechos fundamentales de los afectados obliga a adoptar una posición rigurosa y responsable. No debe haber lugar para buhoneros, aventureros y mercachifles ni en el lado de quienes se ofrezcan para formar y acreditar ni del de los profesionales. Por el contrario, quienes se caractericen por su rigor y preparación deben tener la oportunidad de demostrarla y acreditarla.

NOTA ADICIONAL.-Este artículo expresa una mera opinión. Es muy difícil en este momento saber con certeza qué ocurrirá y por tanto el autor no asume ni la condición de vidente ni la de falso profeta según se acierten o no los vaticinios. Simplemente deja a disposición del lector una valoración de los hechos a fin de que éste adopte las decisiones que tenga por conveniente.

Artículos relacionados

• COVID-19 y aplicaciones móviles e informáticas recomendaciones básicas para desarrolladores.
• Delegado de protección de datos ¿delator o colaborador imprescindible?
• Cómo pueden afrontar las empresas TIC la aplicación del nuevo Reglamento General de protección de datos.
• Ya somos 400. #soyAPEP
• Los profesionales de la privacidad: una profesión para el futuro.