El Reglamento UE 2016/679 General de Protección de Datos, del Parlamento Europeo y del Consejo, aprobado el día 27 de abril de 2016, que sustituye a la Directiva 95/46/CE sobre protección de datos, que databa del año 1995, comenzará a aplicarse en los próximos meses, concretamente el 25 de mayo de 2018, tras haber entrado en vigor el 25 de mayo de 2016. Al ser un reglamento y no una directiva, no necesita transposición a la legislación de cada país, sino que entrará en vigor de forma automática.
Este reglamento viene a sustituir a la ya indicada directiva europea sobre protección de datos de carácter personal, que se ha quedado totalmente anticuada con el surgimiento de nuevas tecnologías y nuevas formas de procesar y utilizar la información. El mencionado reglamento, crea una nueva figura denominada “Delegado de Protección de Datos” (DPO, Data Protection Officer), para ejercer la cual, será necesario disponer de una elevada formación informática y tecnológica, así como, evidentemente, jurídica.
El Delegado de Protección de Datos será el encargado de vigilar que los procesos informáticos que gestionan los activos de datos de la organización, se adaptan a la normativa y a los protocolos definidos a nivel de organización. El reglamento no indica qué tipo de profesional debe ejercer como Delegado de Protección de Datos, sino que lo deja a elección de las organizaciones. Por la responsabilidad que tendrá, ya que las multas por incumplimiento de las disposiciones del reglamento, podrán suponer hasta un 4% del volumen de negocio anual de la organización, es vital la contratación de alguien con una formación y experiencia técnica y legal exquisita. Por otra parte, el reglamento no obliga a que el Delegado de Protección de Datos deba estar, obligatoriamente, en plantilla de la organización, sino que podrá ser alguien contratado en régimen de prestación de servicios profesionales.
Las diversas Agencias de Protección de Datos de los países miembros, entre ellas la Agencia Española de Protección de Datos, aún no han publicado el Esquema de Certificación que permitirá un mejor control del tipo de profesional que ejercerá de forma óptima esta actividad, aunque se espera que el Esquema de Certificación se publique en los próximos meses, si bien no será obligatorio que las organizaciones exijan que los profesionales estén certificados. Las agencias de certificación privadas que deseen impartir la certificación, para el mejor ejercicio de la figura profesional de Delegado de Protección de Datos, deberán acogerse al mencionado Esquema de Certificación de la AEPD. La Entidad Nacional de Acreditación será el organismo encargado de velar por que las agencias de certificación se rigen por el Esquema de Certificación a la hora de impartir el mismo. Se espera que en los próximos meses se definan estos programas de certificación, que podrán cursar los profesionales que se decanten por el ejercicio de esta actividad.
Lo cierto es que, debido a la fuerte componente técnica de los procesos de protección de datos, a los que deberá enfrentarse el Delegado de Protección de Datos de una organización, el mejor profesional que podrá ejercerla es, sin duda, el perito informático colegiado. El perito informático colegiado es un profesional que ha estudiado Ingeniería o Ingeniería Técnica en Informática y que, de entrada, es el que mejor conoce cualquier procedimiento técnico ejecutado en toda organización, ya que hoy en día, todos los procesos han sido informatizados. La complejidad de los procesos empresariales es cada vez más elevada, existiendo ya muchas organizaciones que tienen sus datos en lo que se denomina la “nube” o cloud (servidores, normalmente de terceras empresas, conectados a la red, que publican servicios que el usuario puede consumir, con el riesgo de hallarse dichos servicios y datos expuestos en la red), o que almacenan de forma distribuida, analizan y utilizan datos en cantidades masivas, junto a diferentes tipos de heurísticas para su procesamiento, al objeto de obtener información importante para la organización (lo que se conoce como Big Data), o que explotan estadísticas a partir de información conocida (Business Intelligence).
La masiva irrupción de los paradigmas de SaaS (Software as a Service), basados en la arquitectura de servicios en “nube” o cloud, que han llegado a todas las organizaciones, no sólo para quedarse, sino también para ser infiltrados por delincuentes informáticos que traten de piratear los sistemas y sustraer o secuestrar la información, en muchos casos sensible, hace que la figura del perito informático colegiado sea ideal para ejercer como Delegado de Protección de Datos, en régimen de contrato de prestación de servicios. El perito informático colegiado, como ingeniero, es conocedor de todas estas tecnologías y sabe en cada momento cómo afectan las mismas a la protección de datos, siendo capaz de analizar y guiar a la organización en la mejor manera de proteger adecuadamente la información que, en definitiva, es el objetivo que tendrá este nuevo profesional. Bien es cierto que, por muchas medidas que se tomen, la información nunca está completamente segura, por lo que la labor del Delegado de Protección de Datos será, en primer lugar, la propuesta de una serie de protocolos que permitan la adecuada protección de los datos, en segundo lugar, la auditoría periódica del cumplimiento de dichos protocolos y, en tercer lugar, su implicación en el proceso de mejora continua de los citados protocolos. El perito informático, como Delegado de Protección de Datos, deberá generar una elevada cantidad de documentación que estará siempre a disposición de la organización y de cualquier auditor externo, así como deberá entregarla definitivamente a la organización, para ser puesta a disposición del siguiente Delegado de Protección de Datos, una vez haya finalizado la prestación del servicio.
El perito informático es un profesional especializado en Informática Forense y en la realización y defensa de informes periciales informáticos en juzgados de todas las jurisdicciones, siendo, por tanto, un profesional eminentemente técnico, con una muy alta cualificación profesional, que está a la vanguardia tanto de la componente tecnológica, como de la componente legal. El perito informático tiene un bagaje tecnológico muy elevado debido a su formación y experiencia, así como un importante bagaje legal gracias al ejercicio de su profesión, trabajando codo con codo, todos los días, con abogados, estudiando sentencias, revisando autos, inmerso en terminología procesal, siendo copartícipe de estrategias de defensa, etc. Contratando un perito informático colegiado como Delegado de Protección de Datos, se tiene la certeza de que el profesional está cualificado técnicamente, posee una dilatada formación tecnológica por razón de su titulación y legal por razón de su trabajo, está al día en ambas componentes y, además, la empresa se garantiza de que el profesional está sujeto a un código ético y deontológico por razón de su colegiación.
Por otra parte, debido a la alta responsabilidad que supondrá la figura (según el reglamento, el Delegado de Protección de Datos deberá reportar directamente a la Alta Dirección de la organización), será mucho más valorado que el profesional disponga de un seguro de responsabilidad civil, debido a, como se ha indicado, las elevadas sanciones a las que estaría sometida la organización, en caso de demostrarse que no se cumplieron los protocolos en algún incidente en que los datos se vean comprometidos. El seguro de responsabilidad civil no es obligatorio según la Comisión Nacional del Mercado de la Competencia, pero es obvio que un profesional del peritaje informático, con una reconocida trayectoria profesional y cuya compañía de seguros certifique que no ha sufrido ningún siniestro, será un candidato muy a considerar para el puesto de Delegado de Protección de Datos de cualquier organización.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación