Pablo Garrote, profesor de Derecho: “Existe demanda de DPO, puede ser una buena salida profesional para futuros juristas”

0

Paula del Barrio Torres, estudiante de 5º curso del doble grado en Derecho + Comunicación, entrevista para el blog Legal Today a Pablo Garrote, profesor de la Universidad de Deusto y doctorando en derecho en materia de protección de datos, que analiza en las siguientes líneas la figura del DPO, la persona que informa y que asesora en materia de cumplimiento de la normativa sobre protección de datos al responsable del tratamiento.

La figura de DPO fue creada por RGPD y su objetivo es el cumplimiento de la normativa de protección de datos. Esta figura es obligatoria para algunas empresas y administraciones públicas mientras que para el resto tiene carácter potestativo.

¿Cuál ha sido su formación?

Soy licenciado en Derecho con especialidad económica, por la Universidad de Deusto (UD). Posteriormente, hice un Máster en Asesoría Jurídica de Empresa en el IE. Tras la entrada en vigor del RGPD obtuve, en 2018 el certificado de DPO (de conformidad con la AEPD). Actualmente, soy doctorando en Derecho en materia de protección de datos por la UD.

¿Cuál ha sido su trayectoria? ¿Y cómo llegó a ser DPO de IMQ?

R: Tras mis estudios, comencé a trabajar en Uría Menéndez (UM) donde estuve 10 años en el departamento Mercantil. Además, analizaba la normativa sobre protección de datos. Posteriormente, pasé a trabajar como abogado para uno de los clientes del despacho: IMQ y ya llevo más de 6 años. Desde que comencé en UM, hasta ahora, he venido compaginándolo con la docencia en la UD como profesor de contratación mercantil y de protección de datos. Con la aprobación de RGPD en el año 2016 se veía que sería necesario para IMQ contar con un DPD. En ese momento, se pensó que un abogado con experiencia en protección de datos podría ser un buen perfil para cubrir ese puesto, y me lo ofrecieron.

¿Nos podría contar un poco sobre su día a día? ¿Cuáles son las funciones de un DPO?

El DPO es una figura bastante especial y novedosa en nuestro ordenamiento jurídico. Es una persona que informa y que asesora en materia de cumplimiento de la normativa sobre protección de datos al responsable del tratamiento. El RGPD está tan preocupado de que se respete la normativa que, entre otras cosas, prevé esta figura. En ese sentido, el DPO no es quien toma las decisiones en materia de protección de datos, sino que es la propia organización, tras haber sido informada y asesorada por el DPO. Asimismo, el DPO asume otras funciones adicionales, como la de supervisar el cumplimiento por parte de la organización de la normativa sobre protección de datos; o la de asesorar en las evaluaciones e impacto. El DPO también interactúa constantemente con sus empleados; coopera con la autoridad de control (la AEPD); o trata directamente con los interesados o titulares de los datos (ante cualquier ejercicio de sus derechos.

Al trabajar en el ámbito de la sanidad, ¿considera que su labor como DPO es un tanto más delicada, al tratar con datos sanitarios?

Por supuesto. El RGPD establece que los datos de salud son una categoría especial de datos, cuyo tratamiento está muy restringido y limitado. Por ello, si los datos personales son por norma general muy delicados, en el caso de datos personales de salud lo son todavía más.

¿En qué casos están las empresas obligadas a contar con un DPO? En el caso de ser voluntaria, ¿qué beneficios puede aportar un DPO a una empresa?

El RGPD establece unos supuestos un tanto genéricos y abstractos de cuando es necesario nombrar a un DPO. Sin embargo, la LOPDGDD, ofrece mucha claridad cuando enumera un elenco de casos concretos en los que es preciso contar con un DPO: desde colegios profesionales hasta centros docentes, pasando por entidades que presten servicios de telecomunicaciones, establecimientos financieros y de crédito, aseguradoras, o centros sanitarios, etc. No obstante, la propia normativa sobre protección de datos prevé que una organización, aun no estando obligada a ello, puede nombrar a un DPO. Eso se considera una buena práctica en materia de responsabilidad proactiva y puede ser tenido en cuenta como “atenuante” a la hora de imponer una sanción a una organización incumplidora.

¿El DPO forma parte de la empresa, o es una figura independiente a la misma? ¿Considera que puede ser una posición complicada?

La propia normativa sobre protección de datos prevé que la figura del DPO la asuma o un empleado de la organización, o una persona externa a la misma. Sin embargo, tanto en un caso como en otro, el DPO ha de ser independiente. Tan es así, que la propia normativa prevé que el DPO no podrá recibir ninguna instrucción en su desempeño de sus funciones, ni podrá ser destituido ni sancionado por sus funciones. Por supuesto que a veces se pueden producir ciertas tensiones en el seno de la organización, pero como las que puede haber con un responsable de cumplimiento o con un auditor…

En el caso de una infracción por parte de la empresa del tratamiento de los datos, el DPO ¿podría ser responsable en caso de incumplimiento?

El DPO no puede ser considerado nunca como responsable de las sanciones que imponga la autoridad de control. La responsabilidad la asume siempre el responsable del tratamiento y esto es totalmente lógico ya que es éste quién toma las decisiones y no el DPO.

¿Considera que hay una demanda de DPO? ¿Podría ser una salida para futuros juristas?

R: A día de hoy hay unos 65.000 DPOs dados de alta en la AEPD (57.000 de empresas privadas y 8.000 de organismos públicos). Creo que este dato habla por sí solo y demuestra que existe demanda de este tipo de profesionales por parte del mercado y puede ser una buena salida profesional para futuros juristas.

¿Qué perfil considera que debe reunir un DPO?

El RGPD establece que se deberá nombrar a un DPO atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. Un buen perfil puede ser el del licenciado en Derecho, con una especialización en TIC. También, las empresas cada vez demandan más para desempeñar este puesto (aunque no sea legalmente obligatorio) el haber obtenido el certificado oficial de DPO. También es recomendable una cierta experiencia previa para saber cómo se aplica la normativa en una empresa o administración pública. Por último, cada vez resultan más necesarios conocimientos a nivel informático por parte del DPO, ya que la mayor parte de los datos de las organizaciones son almacenados en ficheros no físicos y tratados de manera virtual. De hecho, no es raro que en muchas organizaciones el puesto lo desempeñen ingenieros con conocimientos jurídicos.

Enlace al blog