Los responsables de cumplimiento normativo de las empresas pueden ejercer sin problemas las labores propias de un delegado de protección de datos. Esta es una de las conclusiones que la Asociación Española de Compliance (ASCOM) ha presentado en Madrid en el marco de sus Diálogos de Compliance, celebrados en la sede de la Agencia Española de Protección de Datos.
El debate se ha centrado en las ventajas e incovenientes de que el Compliance Officer y el Delegado de Protección de Datos sean la misma persona. También se ha presentado una encuesta sobre el tema y se han aportado algunos datos sobre la externalización de la figura del DPD.
Durante el encuentro, celebrado en la sede de la Agencia Española de Protección de Datos (AEPD), la presidenta de ASCOM, Sylvia Enseñat, ha presentado los resultados de esta investigación y moderado una charla abierta en la que han participado el responsable de Operaciones de Desarrollo Corporativo Interno de El Corte Inglés, Francisco García Gálvez, el Gerente de Servicios Corporativos y Compliance en Delaviuda Confectionery Group, Ignacio García-Miguel, y el subdirector general del Registro General de Protección de Datos de la AEPD, Julián Prieto.
“No existen conflictos de interés entre el Compliance Officer y el DPD”, ha sostenido Enseñat. Según el sondeo elaborado por la asociación, un 74% de los encuestados creen posible que el responsable de compliance y el delegado de protección de datos sean la misma persona. Asimismo, un 69% considera que ambos profesionales deben tener un perfil profesional similar.
La encuesta también revela los principales factores que condicionan el reparto de estas funciones. Según ASCOM, los profesionales del compliance creen que el tamaño y la estructura interna son los dos principales condicionantes, lo que desemboca en que las pequeñas y medianas empresas sean más proclives a contratar un especialista externo, mientras que las grandes compañías tengan más facilidades para hacer lo contrario. La región de actividad o la necesidad de una dedicación exclusiva han sido otros de los factores mencionados.
La externalización de la protección de datos
Aunque los ponentes han coincidido en que las figuras del Compliance Officer y del Delegado de Protección de Datos pueden ser compatibles, el subdirector general de la AEPD ha revelado que la protección de datos en las empresas españolas está en gran parte en manos de profesionales externos.
Según datos de la Agencia, siete de cada diez responsables de este sector no forman parte de la plantilla de las compañías, que en la actualidad tienden a externalizar esta función, como demuestra el dato que indica que de los 30.000 delegados de protección de datos que hay registrados oficialmente, 21.000 corresponden a subcontratas.
Tanto El Corte Inglés como Delaviuda cuentan con una figura externa para el control y la aplicación de la normativa de protección de datos. García-Miguel ha explicado las ventajas de esta decisión: “Ellos disponen de personal muy actualizado en lo puramente técnico. A mí me parece un chollo contar con un profesional externo bien preparado”.
En este sentido, el Gerente de Servicios Corporativos y Compliance de la compañía ha defendido la necesidad de que se conozca al DPD dentro de la empresa, integrándolo en órganos como el comité de seguridad de la compañía.
Para García Gálvez, contar con dos figuras con funciones separadas es “una doble medida de control” que permite que el responsable de cumplimiento normativo haga un seguimiento de la labor del DPD y aporte una visión periódica sobre su labor al órgano de administración, lo que da “tranquilidad”.
Los participantes también han debatido sobre las condiciones que debe reunir un buen DPD. Aunque todos han coincidido en que esta función requiere de mucho estudio, el subdirector general de la AEPD ha insistido en que esto no implica que el responsable tenga que estar en posesión de un título de Derecho.
“El responsable de compliance, por su posición, tiene similitudes con la figura del DPD, con la diferencia de que éste debe tener conocimiento y práctica en materia de protección de datos". “Es importante que las funciones no se confundan y que cada uno sepa a quién llamar en cada caso”, ha añadido el responsable de cumplimiento normativo de Delaviuda.