Cara a Cara

¿Debe ser un abogado el delegado de Protección de Datos?

Hace algunas semanas hablábamos acerca del Reglamento Europeo de Protección de Datos. Y queremos profundizar sobre la figura del Delegado de Protección de Datos (Data Protection Officer) porque según parece, en la AEPD no se concreta qué nivel de formación debería de tener esta figura.

Por otro lado, es verdad que sí se hace referencia a los conocimientos que el DPO debería tener: “El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39″ o lo que es lo mismo, tendrá que ser un profesional que pueda acreditar formación y conocimientos especializados en materia de protección de datos. Pero eso no significa – como bien resalta la AEPD – que deba ser abogado.

Dicho esto, la pregunta es clara: ¿debería ser abogado un delegado de protección de datos? María Gómez Moriano y Elia Méndez nos dan su punto de vista, ¿cuál es el vuestro?

Maria Gómez Moriano opina...

En mi opinión el Delegado debe ser licenciado (o graduado, que ya vamos teniendo una edad) en Derecho por un simple motivo: las técnicas de interpretación de la Ley requieren una formación y conocimientos específicos. Además esta normativa vive rodeada de otras que la influyen y, por tanto, un curso (por muy especializado que sea) en protección de datos no cubre esos conocimientos.

Con independencia del análisis del artículo estos son los motivos por los que yo, particularmente, entiendo que esta figura debe ser un profesional del Derecho:

  • Si nos atenemos a las funciones que le atribuye el Art. 39, francamente, no veo cómo se puede hacer esto sin tener una sólida formación legal. Se podría argumentar que el Delegado puede tener apoyo de abogados pero entonces, ¿sería independiente? Y en caso de que algo vaya mal, es culpa del Delegado o del abogado que le asesoró? Francamente no lo veo.
  • No hace falta irse muy lejos para ver lo que pasa cuando se carece de formación legal: en España no se ha concretado la formación que deben tener los auditores de Protección de Datos. ¿Qué encontramos? Mucho copy/paste, poco análisis jurídico y menos seriedad en el análisis con el único objetivo de cubrir el expediente por parte de las empresas que contratan este tipo de servicios.

Si la intención del Reglamento es como parece, ir muy en serio; entonces vamos a necesitar profesionales muy bien formados en la materia al frente. Quizás el quid de la cuestión sea dejar de ver esto como una obligación y pensar en qué beneficios puede aportar a nuestra organización.

QUIERO DAR MI VOTO A ESTA OPINIÓN

Elia Méndez Bravo opina...

La Comisión Europea define al DPO como “una persona responsable o encargada del tratamiento para supervisar y monitorizar de manera independiente la aplicación interna y el cumplimiento de las normas de protección de datos. El DPO puede ser tanto un empleado como un consultor externo”

Y en cuanto a su preparación se indica, que se “recomienda” un perfil jurídico, si bien en países como Francia, el responsable “Oficial de Privacidad” tiene que ser un perfil con conocimientos mínimos de derecho e informática, lo que indica la no obligatoriedad de ser un jurista, aunque puede ser recomendable.

En base a mi experiencia, mi opinión es que para cierto tipo de puestos profesionales dentro de las empresas vinculadas con supervisión y monitorización del cumplimiento de normativas como son la protección de datos (DPOs), protección de marcas o propiedad intelectual, o temas relacionados con su gestión NO es necesario ser abogado, pero SI tener formación en su gestión y conocimiento profundo de la legislación y su aplicación, así como de los profesionales que pueden proveer un servicio al respecto.

En el caso de asesoría legal o de intervención siempre se puede contratar a un jurista especializado.

QUIERO DAR MI VOTO A ESTA OPINIÓN

Resultado de la votación

75%

Deja un comentario

  1. #14
    Anónimo

    Los inspectores de la Agencia no somos abogados, sino miembros de cuerpos TIC del Estado.

  2. #13
    Kike

    Hola, llevo trabajando en seguridad de la información y Lopd, Lssci, 27001 desde hace trece años, para grandes empresas y bufetes de abogados y no soy abogado, pero me encanta este sector.

  3. #12
    Anónimo

    A los que opinan que debería de ser obligatoria que fuese un licenciado o graduado en derecho, me imagino que por la misma regla también debería de disponer como mínimo de una Ingeniería Informática y un Máster en Ciberseguridad, ¿NO?.... Ya que ser abogado no equivale a que tenga unos amplios conocimientos de seguridad informática, ¿Verdad?.En mi opinión, está muy claro que tiene que tener conocimientos Legales, sobretodo amplios conocimientos sobre la ley de protección de datos, los delitos informáticos y el Reglamento Europeo de Protección de Datos y por supuesto amplios conocimientos de Ciberseguridad sin que sea necesario disponer de una Ingeniera en Informática.

  4. #11
    Maria Gomez Moriano

    Elías: gracias por tu aportación. En mi opinión partimos de dos ángulos distintos que son complementarios pero no opuestos aunque creo que existe bastante confusión al respecto. Así es como lo veo yo: una cosa es la parte legal y otra la seguridad informática. Aunque entre ambas haya algunos aspecto comunes son los mínimos. Intuyo por tu comentario que vienes de la rama de seguridad e IT.Intuyo que lo que la mayor parte de las empresas harán será añadir el rol del Delegado de Protección de Datos a alguien del área de seguridad. Lo que viene siendo un 2x1 de toda la vida vía curso de especialización. Ojo, no digo que no sea una opción y en función del tamaño de las empresas puede tener perfecto sentido.Ahora si me preguntas a mi que me llevo dedicando a esto 11 años te digo que lo suyo es tener a dos personas que controlen cada una un área. Por un lado que los datos estén protegidos (por cierto, algunos abogados sabemos de encriptación y redes) y por otro alinear el uso de los datos con lo que require el Reglamento de Protección de Datos en relación con los derechos fundamentales de los ciudadanos. Por ponerlo así: una cosa es que mis datos estén seguros y otra cómo los use quien los tiene. Como te decía, otra cosa es que por tema de costes se decida hacer de otra manera.Lo dicho: no es una competición entre IT y legal. Es trabajar juntos desde mi humilde punto de vista. Yo como abogada necesito saber un poquito de encriptación y redes para no estar más perdida que un pulpo en un garaje (también hay cursos de seguridad informática) pero lógicamente no sabré nunca lo mismo que alguien que está especializado en ello (ni lo pretendo ni creo que pueda) lo que sí necesito es un compañero con el que trabajar en el tema JUNTOS.Por supuesto esto es sólo mi opinión y, afortunadamente, se pueden tener otras. Gracias por compartir la tuya! :)

  5. #10
    Elías González Menys

    Obviamente... NO. Me gustaría argumentar mi respuesta rebatiendo algunos puntos que menciona Maria Gomez Moriano.Entiendo que una persona que se haya pasado toda su vida estudiando leyes para que luego acabar con el mismo puesto de trabajo que yo, que no he estudiado de eso, pues le entren brotes de "titulitis aguda" (sudores fríos, TICS nerviosos y una necesidad incontrolable de pedir un grado, 7 masters, 1 huevo de dragón y 156 años de experiencia en empresas hasta para trabajar de cajero)... pero bueno... al turrón:"El Delegado debe ser licenciado [...] en Derecho por un simple motivo: Las técnicas de interpretación de la Ley requieren una formación y conocimientos específicos." Totalmente en desacuerdo. Si a una persona se le dan los 99 artículos del Reglamento Europeo de Datos Personales y las 20 leyes en las que se respaldan estos artículos, sería capaz de lidiar con cualquier problema relacionado con este campo. Se requieren conocimientos específicos de esta materia, siendo una empresa me dan igual todas las leyes que te sepas de memoria y me da más igual aún cuantos diplomas tengas enmarcados en el salón, lo que quiero es que seas el mejor protegiendo mis datos y no me metan el palo de 20 millones de euros de sanción máxima..."Además esta normativa vive rodeada de otras que la influyen y, por tanto, un curso (por muy especializado que sea) en protección de datos no cubre esos conocimientos." ¿¡Pero como que no!? Lo que faltaba, tener que hacer un curso para ser DPD pero que no cubra todo lo que tienes que saber...¿Según lo que haya dado el profesor eres un tanto % DPD? Este curso TIENE que cubrir TODO lo necesario para ser DPD."Si nos atenemos a las funciones que le atribuye el Art. 39, francamente, no veo cómo se puede hacer esto sin tener una sólida formación legal". El Art. 39 dice que el trabajo de un DPD es básicamente informar, asesorar y supervisar, en relación con los artículos que componen esta nueva ley. Nuevamente dudo mucho que necesites 6 años de carrera para realizar estas tareas, son simplemente 200 paginas con 99 artículos... No hay que ahogarse en un vasito de agua."Y en caso de que algo vaya mal, ¿es culpa del Delegado o del abogado que le asesoró?" Si es algo que no está relacionado con tus competencias, obviamente se requiere de un abogado especialista en esas competencias... Si tu has hecho bien tu trabajo y la empresa ha hecho caso omiso la culpa es de la empresa."Quizás el quid de la cuestión sea dejar de ver esto como una obligación y pensar en qué beneficios puede aportar a nuestra organización." Este es el único punto que comparto con lo que ha dicho Maria (ya que se tira piedras sobre su propio tejado), no hay que obligar a que sean graduados en Derecho para ser DPD, hay que mirarlo como ¿que ventajas aportaría a mi carrera como DPD si soy graduado en derecho?... Obviamente algunas ventajas te brinda sobre otros que no tengan este tipo de estudios, pero ellos también tendrán sus ventajas sobre un graduado en Derecho en ciertos campos.Opino que es un debate sin sentido ya que se tumban los argumentos tanto de un lado como de otro muy fácilmente. Creo que os estáis olvidando de algo muy importante: el 99,9% de los datos recogidos hoy en día son ONLINE. Quizás deberíais hacer otra encuesta y preguntar si el DPD debería ser informático... 100% de votos al Sí.¿Qué sabe un abogado de encriptación de datos, hashes o algoritmos, de formularios, validación y doble verificación, de almacenamiento de datos en servidores locales o remotos, de transferencia de datos por HTTPS, de tests de penetración, vulnerabilidades, puertos abiertos y exploits, de bases de datos, de redes WEP/WPA/WPA2...? Podría seguir hasta mañana...La cuestión ¿Quién sabe más de leyes un abogado o un informático? ¿Quién sabe más de seguridad informática y protección un abogado o un informático? Respuestas obvias...Por lo que, para concluir, debo decir que no se tiene que exigir una formación de NINGÚN tipo ya que los cursos de formación y exámenes de DPD deberían ser competentes y completos para que todos los graduados estén al mismo nivel en cuanto a leyes y en cuanto a informática.Una última pregunta para todos: ¿Sí sois el mejor DPD del mundo y habéis aplicado los 99 artículos a la perfección, pero yo consigo colarme en vuestro sistema informático y filtrar toda la base de datos de vuestros clientes, habéis hecho bien vuestro trabajo?Un saludo a todos!

  6. #9
    Carlos

    Al final el currículum se determina en base a los títulos. Lo ideal es un grado en derecho y un curso de postgrado (master especializado en derecho de las nuevas tecnologías) o viceversa, es decir un grado de ingeniería informática y un master en derecho aplicado a la informática.

  7. #8
    Anónimo

    Sin animo de acritud, es un buen debate pero, ¿qué es y qué hace el delegado de protección de datos? Creo que haría falta que lo explicarais antes de hacer un cara a cara así. Un saludo.

  8. #7
    Laura Díaz

    A mí me parece que se le debería exigir el título de abogado al DPO. Estamos en un ecosistema incierto en el que la única certeza es que el uso de datos debe cumplir una normativa que además toca con el derecho a la intimidad. Es inconcebible que un experto en data pueda tratar temas de abogacía sin ser abogado por la dimensión de estos.

  9. #6
    Susana Sánchez

    Soy anti "titulitis", creo que las competencias hace tiempo que dejaron de medirse por un título. Máxime si es de las universidades caducas actuales en temas de legislación internacional y digital. En todo caso, el título que se le debe exigir a esta figura es alguno que certifique al profesional como experto en tratamiento de datos.

  10. #5
    David

    En un terreno tan desconocido como éste, creo que es muy difícil delimitar que un DPO no requiera ser abogado. Nadie sabe con certeza hasta dónde llegarán las implicaciones legales que tiene el tema del derecho de los datos. Mi voto es para María.

  11. #4
    Mar Gallego

    Mi voto para ambas, yo creo que al final y aunque la ley no cierre la puerta a los no licenciados (todo un acierto pero eso sería otro debate) será la práctica la que resuelva la cuestión. Lo que está claro es que el DPO requiere ser un perfil con formación específica en la materia de los datos y seguramente de bastantes conceptos de derecho. Un saludo.

  12. #3
    Miguel Alvarez

    Grandes puntos de vista; ahí va mi opinión con una pregunta retórica: ¿Debe un dentista ser médico? Hasta hace años, parecía claro que si, en la actualidad; no se exige que esta figura requiera de la titulación en medicina. Con este ejemplo, resalto que dependiendo de la especifidad del puesto, se puede requerir o no la titulación. Bajo mi punto de vista, si hablamos de Compliance, ésta figura debería ser abogado, si hablamos de un DPO no tengo tan claro que deba ser por fuerza licenciado en derecho. ¡Muchísimas gracias por plantear este debate a ambas!

  13. #2
    Ignacio Martín

    Me ha faltado matizar una cosa en mi comentario anterior. Lo que es requisito indispensable es que el delegado de protección de datos sea un profesional experto en protección de datos y privacidad.

  14. #1
    Ignacio Martín

    Yo creo que evidentemente, esta figura no requiere de una titulación en derecho. Es verdad que la aplicación de la ley exige ciertos conceptos. Pero las competencias habituales y recurrentes de esta figura no requieren de esta titulación. Igual que un abogado solicita para ciertos casos el apoyo de otro experto en temas que el primero no domina. No veo problema en que el DPO pueda actuar igual si hubiera algún caso "no habitual" o que exceda sus funciones principales como garante del Reglamento de protección de datos. Buen debate.

CREAtech540º en tu correo

CREAtech540º en tu correo

¡No te pierdas ningún contenido!

¡Muchas gracias! Hasta pronto :).

Top