martes, 4 de septiembre de 2018

Concordancias entre Compliance y DPD

Fuente de la imagen: mvc archivo propio
Hace unos años, en el texto “Nuevos Yacimientos de empleo[1], escribía sobre los perfiles profesionales de compliance-officer (oficial de cumplimiento) y Delegado de Protección de Datos (DPD) en el nuevo Reglamento Europeo de Protección de Datos (RGPD). Mucho antes, en el sitio Compliance Officers, texto “Compliance y Protección de Datos[2], apuntaba que el incumplimiento en la protección de datos de carácter personal, es un frente de prevención importante para el compliance, tanto en los aspectos de cesión o comunicación de los datos, como en los derechos de los afectados o interesados y el tratamiento de las fuentes accesibles al público en general. Por todo lo anterior, un programa de cumplimiento normativo deberá contener aspectos tales como la prevención de contingencias en el flujo de los datos personales en la institución, evaluación de protocolos de protección de datos, velar por el cumplimiento estricto de la normativa aplicable, desde el aseguramiento de la privacidad de los sujetos hasta la inclusión de clausulas informativas en la distinta documentación que circula por la empresa[3]

He realizado esa introducción porque en el fin de semana pasado tuve la oportunidad de leer el artículo de L. J. Sánchez en confilegal.com, título ¿Qué paralelismos existen entre las figuras del Compliance Officer y la del DPO?[4], que me ha recordado bastante mi tesis mantenida durante estos años, trasladada tanto en este sitio como en el de Compliance Officers, acerca de esas correspondencias entre los dos perfiles profesionales, si bien el oficial de cumplimiento abarca no sólo la protección de datos, que no deja de ser cumplimiento de norma, sino resto de ordenamiento jurídico aplicable a cada entidad jurídica. El oficial de cumplimiento de una empresa, organización o institución es la persona responsable de la supervisión y gestión de cumplimiento de la normativa legal dentro de una organización. Suele informar a la dirección general, consejo de administración, patronato, comité ejecutivo o junta directiva de la empresa o grupo empresarial, fundación o asociación / federación / confederación, según proceda. 

Las funciones principales de compliance officer o dirección de cumplimiento son de verificación, revisión, vigilancia y prevención de contingencias delictivas, mediante el conocimiento de la normativa de cumplimiento para cada caso. Por su parte, el “delegado de protección de datos”, recogido en el nuevo Reglamento (UE) 2016/679 sobre Protección de Datos Personales, y que se define como la persona que dispone de cualidades profesionales, en específico, conocimiento experto de la Ley, práctica en protección de datos personales y capacidad de cumplir con las actividades asignadas, debiendo ser capaz de demostrar el cumplimiento que rigen el tratamiento de los datos. Son funciones de este nuevo perfil profesional en materia de protección de datos, la información y el asesoramiento al responsable o encargado de sus obligaciones, actuar de interlocutor ante la Agencia Española de Protección de Datos (AEPD) o supervisar el cumplimiento del Reglamento.

También, la implementación y aplicación de las políticas y del Reglamento, la formación de los colaboradores, las auditorías que procedan, información de los interesados y las solicitudes de los derechos de Acceso, Rectificación, Cancelación y Oposición[5], asesoramiento en la realización de la Evaluación de Impacto en la Protección de Datos (PIA), presentación de solicitudes de autorización o consulta previas así como la respuesta a las solicitudes de la autoridad de control, prestando en todo momento su cooperación. A la vista de esas dos definiciones, qué duda cabe que un compliance officer perfectamente puede asumir las funciones de Delegado de Protección de Datos. Esta corriente de pensamiento también la defendí en el trabajo fin del máster jurídico (TFM). que redacté en 2017 y del que te informé en “Menos prêt-à-porter y más traje a medida”, TFM posteriormente publicado (ver “Ya está aquí la muestra virtual[6]) y a la venta en las principales plataformas[7]

Pero a la inversa no tiene por qué cumplirse la condición, es decir: en mi país un DPD no necesariamente tiene que encontrarse habilitado para ser compliance penal, dependerá de su formación especializada. En conclusión, un compliance officer tiene muchas papeletas para ser un DPD, pero un DPD no es condición suficiente para ser un "oficial de cumplimiento". Otra diferencia es que un DPD, al menos en España, puede ser externo o interno, pero un compliance officer, según la normativa penal de aplicación, al menos en mi país, tiene que ser interno, si bien se pueden subcontratar algunas de sus funciones, siempre que estas no sean esenciales. En lo que sí coincido con José Luis Colom[8], es que en ambos puestos “es fundamental que la compañía encuentre el profesional o profesionales capacitados”. ¡Ah! Por supuesto que puedes citar este texto que escribo hoy, pero no te olvides de ¿Qué cuesta referenciar la fuente?[9]. Fuente de la imagen: mvc archivo propio.
_____________________________
[1] Velasco Carretero, Manuel. Nuevos Yacimientos de empleo. 2016. Sitio visitado el 04/09/2018.
[2] Velasco Carretero, Manuel. Compliance y Protección de Datos. 2011. Sitio visitado el 04/09/2018.
[3] Contratos, correos electrónicos, páginas webs…
[4] Sánchez, Luis Javier.¿Qué paralelismos existen entre las figuras del Compliance Officer y la del DPO? confilegal. 2018. Sitio visitado el 04/09/2018.
[5] Antes conocidas por las siglos ARCO.
[6]  Velasco Carretero, Manuel. Ya está aquí la muestra virtual. 2018. Sitio visitado el 04/09/2018.
[8] José Luis Colom. Director de Auditoria y Cumplimiento Normativo de la consultora Audertis. Nombrado por Luis Javier Sánchez en su artículo.
[9] Velasco Carretero, Manuel. ¿Qué cuesta referenciar la fuente? 2018. Sitio visitado el 04/09/2018.