Externalitzar el Delegat de Protecció de Dades: una mala idea plena de riscos

Una de les novetats del nou Reglament General de Protecció de Dades (RGPD), que va entrar en vigor el 25 de maig, és l'obligatorietat de comptar amb un Delegat de Protecció de Dades (DPD) a les organitzacions sanitàries, llevat d'aquelles de molt petita dimensió. Què suposa aquesta figura i, especialment, si és recomanable o no externalitzar-la són dues qüestions que estan generant molts dubtes a les organitzacions i que es tracten en profunditat en aquesta entrada al blog.

El Delegat de Protecció de Dades és el garant del compliment de la normativa de protecció de dades dins de les organitzacions. La seva posició ha de complir els requisits que el RGPD estableix expressament, entre els quals hi ha l'autonomia en l'exercici de les seves funcions, la necessitat que despatxi amb el primer nivell de direcció –trobant-se integrat a l'organigrama–  o l'obligació que l'entitat li faciliti tots els recursos necessaris per desenvolupar la seva activitat, ja siguin personals, materials o d'accés a qualsevol àmbit en el qual es tractin dades o es preguin decisions sobre el tractament.

Com dèiem, moltes entitats s'han fet preguntes sobre el DPD, no sempre fàcils de respondre, però que des del Codi Tipus intentem clarificar:

• Cal que el Delegat de Protecció de Dades sigui un jurista? La resposta és no. La formació jurídica és un complement, però ni és necessari ni imprescindible.
• És factible que el DPD sigui una persona que no conegui l'activitat i el funcionament de l'entitat? La resposta és no. Ha de conèixer molt bé el dia a dia de l'entitat.
• És recomanable externalitzar aquesta figura en entitats sanitàries mitjanes o grans? La resposta és gens. És impossible que un Delegat de Protecció de Dades pugui fer la seva tasca en aquesta tipologia d'entitats sense formar part del seu dia a dia.

Un Delegat de Protecció de Dades no és un assessor extern, de facto, els Delegats de Protecció de Dades requeriran en molts casos d'assessors externs. Per tant, resoldre el nomenament d'aquesta figura a través d'assessories externes que poden donar suport a diversos hospitals alhora és un greu error, ja que això no els permet integrar-se plenament en l'activitat de l'entitat.

La Agencia Española de Protección de Datos ja ha deixat constància que s'oposa al nomenament de Delegats de Protecció de Dades amb escassa presència i/o poca accessibilitat. En aquest sentit, a la seva Sesión Anual Abierta, celebrada a Madrid el 4 de juny, van explicar que les seves inspeccions amb el RGPD se centraran no només a revisar els fets denunciats, sinó que abastaran l'abordatge global de la protecció de dades a les organitzacions.

El Delegat de Protecció de Dades és una figura que ha vingut per quedar-se, que formarà part dels esquemes directius de les organitzacions a partir d'ara, sobretot d'aquelles amb tractaments importants i sensibles de dades, com són, i de manera destacada, els hospitals. Així com les organitzacions sanitàries (especialment les hospitalàries) disposen, entre d'altres, de responsables de qualitat, de recursos humans o d'infraestructures, tots perfectament ubicats a l'organigrama, el Delegat de Protecció de Dades també hi ha de ser. I, a més, en el seu cas, hi ha de ser per imperatiu legal.

És per tot això que des del Codi Tipus de La Unió es vol recalcar que externalitzar la figura del DPD és una mala estratègia. En el moment actual de canvi normatiu que ha comportat el nou RGPD, s'ha obert un mercat de prestació de serveis que ha fet que apareguin actors que es preocupen més d'obtenir guanys raonables que d'oferir bons serveis. Potser per això, i pel fet que haver d'incorporar un DPD suposa un molest imperatiu legal, estan proliferant les ofertes de Delegats de Protecció de Dades externs a les organitzacions.

Els 18 anys d'experiència del Codi Tipus de La Unió acompanyant i assessorant les entitats sanitàries i socials en matèria de protecció de dades i el fet que compti amb l'adhesió de la grandíssima majoria d'entitats d'aquest sector a Catalunya són una garantia per poder donar els millors consells en aquest àmbit. L'expertesa consolidada en tots aquests anys ens avala per posar èmfasi en el fet que externalitzar el Delegat de Protecció de Dades és una mala idea, que pot suposar importants riscos per a les entitats i que posa en perill la planificació que les organitzacions sanitàries han de fer en aquesta matèria.

Si voleu saber més sobre aquest tema, podeu consultar la informació facilitada des del Codi Tipus sobre el nou Reglament General de Protecció de Dades.