La protección de datos personales es una de las mayores preocupaciones y prioridades en cualquier ámbito. El desarrollo de tecnologías cuyos algoritmos son complejos dificulta el control de lo que sucede con la información con la que trabajan. En el sector legaltech, los desafíos son aún mayores, por tratarse de datos sensibles. Es por esto que la figura del Delegado de Protección de Datos o DPO es indispensable. En este artículo, te contamos cuáles son sus funciones y los retos a los que se enfrenta.
Si trabajas en este sector y quieres conocer cuáles son todos los aspectos que debes tener en cuenta en el entorno digital, inscríbete en nuestro Máster en Business Intelligence y Data Management Online. Aprenderás a realizar la gestión avanzada de clientes y el análisis de enormes volúmenes de datos.
El Delegado de Protección de Datos, o DPO (Data Protection Officer), es aquella persona que se encarga de velar por el cumplimiento de la normativa de protección de datos en una organización. Su rol principal es garantizar que el tratamiento de los datos personales se realice dentro del marco legal y con ética en todas las actividades que la empresa lleve a cabo. El objetivo que se persigue es respetar los derechos y libertades de aquellas personas cuyos datos son procesados.
La figura del DPO está regulada por el Reglamento General de Protección de Datos (RGPD), que entró en vigor en mayo de 2018. Este establece la obligatoriedad de designar un DPO en ciertas circunstancias, como cuando el tratamiento de datos es realizado por una autoridad u organismo público, cuando las actividades principales de la empresa implican el tratamiento a gran escala de categorías especiales de datos (como datos de salud), o cuando el núcleo de las actividades consiste en el seguimiento sistemático y regular de personas a gran escala.
En España, existe también la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Esta complementa y desarrolla las disposiciones del reglamento europeo y establece ciertas obligaciones específicas para el Delegado, como la necesidad de mantener la confidencialidad en el ejercicio de sus funciones y la prohibición de recibir instrucciones respecto al cumplimiento de sus tareas.
Las preocupaciones principales en el sector legaltech, y en las cuales debe intervenir el DPO, son la confidencialidad de la información de los clientes, las transferencias internacionales de datos y el uso de tecnologías emergentes como la inteligencia artificial o el blockchain plantea nuevas cuestiones en términos de protección de datos.
En todas ellas, el rol del Delegado es garantizar que se cumplen los requisitos legales, adoptar cláusulas contractuales estándar o la certificación en el marco del Escudo de Privacidad y evaluar el impacto de las nuevas tecnologías en la privacidad de los datos.
Y más allá de cumplir con las obligaciones legales, también debe salvaguardar la confianza del cliente y la integridad de los datos, puesto que los riesgos cibernéticos son más altos que en otros sectores y el peso de la regulación es mayor.
En otras palabras, el DPO actúa como un puente entre la tecnología y la normativa para el tratamiento de datos, y asegura que los procesos y sistemas desarrollados cumplen con los estándares de privacidad que exige actualmente la ley.
Las funciones del DPO vienen detalladas en el artículo 39 del RGPD. No obstante, dado que la tecnología sigue avanzando y que cada sector puede tener sus propios procesos y sistemas, su rol puede incluir tareas más específicas que las que aquí se mencionan.
El DPO debe mantenerse actualizado sobre las leyes de protección de datos y su aplicación en el contexto específico de una legaltech. Debe asesorar a la empresa en el diseño e implementación de políticas y procedimientos que cumplan con las regulaciones vigentes. Trabaja muy cerca del data manager, por ser la persona responsable del tratamiento y la conversión de datos en información.
Es responsabilidad de este perfil identificar los posibles riesgos asociados al tratamiento de datos y proponer medidas para mitigarlos. Además de los riesgos generales en una data driven company, debe detectar los específicos del sector. También realizará evaluaciones de impacto en la protección de datos cuando sea necesario, sobre todo en aquellos proyectos o procesos que puedan representar un riesgo más elevado para la privacidad. Este último punto viene mencionado en el artículo 35 del RGPD.
El DPO debe asegurarse de que todos los departamentos y empleados de la legaltech cumplan con las políticas de privacidad establecidas. Para ello, debe realizar auditorías internas, formativas relativas a la protección de datos y supervisar el cumplimiento de las medidas de seguridad.
Ante cualquier brecha de seguridad o incidente relacionado con la protección de datos, el DPO debe actuar como punto de contacto con la autoridad de control e implementar medidas correctivas para evitar nuevas vulnerabilidades en el futuro. En estas cuestiones se incluye la consulta previa que menciona el artículo 36 del RGPD, aunque debe realizarse sobre cualquier temática.
Amplía tus conocimientos en protección de datos y legaltech con nuestra oferta formativa