qsuis custodiet ipsos custodes?

qsuis custodiet ipsos custodes?

¿Quién vigila al vigilante? Es una famosa frase del poeta latino Juvenal, que nos hace reflexionar sobre quién debe o puede controlar a quién tiene el deber o la obligación de ejercer un cierto control.

La reflexión viene al hilo de un post publicado por Marina Brocca en el blog de Securityartwork donde se discute sobre la figura del Delegado de Protección de Datos (DPD), que papel ha de tener en las empresas y que perfil profesional debe presentar. No voy a ahondar más en lo que el post explica, pues Marina lo hace mucho mejor que yo. Sin embargo quisiera reflexionar sobre la figura del DPD, como controlador o vigilante dentro de las entidades que tengan la necesidad de que dentro de su estructura, exista esta figura.

Como decía en la primera frase del post, ¿quién vigila al vigilante?. Y en este caso, ¿quién nos dice que alguien es o no es DPD?. El Reglamento General de Protección de Datos (RGPD), no deja demasiado claro que perfil profesional tiene que tener el DPD. Unos podrán decir que es puramente jurídico, otros apostarán por una figura eminentemente técnica y los otros (entre los que me incluyo), dirán que tiene que ser una mezcla de ambos perfiles.

Pero, ¿quién nos dice que alguien es DPD?. Hace ya algunos años que aparecieron asociaciones que decían representar a los profesionales de la privacidad. Estas asociaciones, han ido creando sus propias certificaciones y cursos y ahora están empezando a crear la figura de “DPD certificado por la asociación X”. Personalmente no creo en la figura del asociacionismo dentro del sector profesional. Soy por mi parte, más partidario de un colegio que pueda representar y dar soporte legal y profesional a los que nos dedicamos a la privacidad, pero eso es tema de otro debate.

Lo que espero es que la nueva LOPD, que tiene que aprobarse en breve, defina mejor las figuras que intervienen en la revisión de los procedimientos y que no suceda como hasta ahora, donde la figura del auditor LOPD se “interpreta” más que se “define”, en el artículo 110 del RD 1720/2007

Artículo 110. Auditoría.

Los ficheros comprendidos en la presente sección se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.”

Como vemos, ni una sola mención a perfiles, capacitación, procedimientos de auditoría, etc.

El RGPD prevé que las autoridades de control nacionales creen, junto a entidades certificadoras homologadas, sellos y certificados que avalen el cumplimiento normativo, y entiendo que entre estos sellos estará el profesional. Sin duda esto será un gran paso para los profesionales que llevamos muchos años en el sector y que no hemos encontrado otra forma de validar nuestro trabajo más que por la propia experiencia y formación.

El problema será el de siempre: que mientras no exista un vigilante que vigile a los vigilantes (sic), entidades y asociaciones creadas ad-hoc para su propio lucro, conseguirán crear certificaciones que lo único que harán será confundir al cliente final, que con la falsa garantía de contar con un profesional “certificado”, contratarán servicios de baja calidad avalados por un papel sin ningún valor. De esta manera pasaremos de pedir un “certificado del cumplimiento LOPD” a pedir un “certificado profesional de DPD”.

Mientras la cosa no se aclare, todo el interés de las empresas por la privacidad se reducirá a poder mostrar un papel que diga que tienen un DPD certificado, para poder justificar que cumplen con la norma. Y si no, al tiempo.

Photo credit: quinn.anya via Foter.com / CC BY-SA

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.