Diferencia entre la figura del DPO y la del Compliance Officer

Diferencia entre la figura del DPO y la del Compliance Officer

En primer lugar, es importante diferenciar entre las figuras de responsable y encargado del tratamiento y Delegado de Protección de Datos (DPO), tal y como las define la normativa de protección de datos aplicable; a saber, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

Diferencia entre responsable, encargado y Delegado de protección de datos

El apartado 7 del artículo 4 del RGPD define al responsable del tratamiento como la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros. Es decir, es la persona, o empresa, que decide para qué y cómo se usan los datos personales de los interesados.

Por su parte, el apartado 8 define al encargo del tratamiento la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Es decir, es la persona, o empresa, que sigue las instrucciones del responsable del tratamiento.

La figura del Delegado de Protección de Datos (DPO) constituye un garante del cumplimiento de la normativa de protección de datos en las entidades públicas y privadas. Esta figura debe contar con conocimientos especializados en privacidad y prácticas de protección de datos, así como tener capacidad para desempeñar sus funciones de manera independiente. La LOPDGDD detalla requisitos y sectores específicos donde la designación de un DPO es obligatoria. Es decir, es la persona encargada de asesorar y supervisar que se cumpla la protección de datos personales dentro de una organización.

Por último, el Compliance Officer es el encargado de garantizar que los procesos organizativos, así como los empresariales, cumplan con los requisitos legales, políticas de la organización o reglamentos externos. Es decir, es la persona que se asegura que la empresa cumple todas las leyes y normas, no solo las de protección de datos personales.

Por tanto, las diferencias principales radican en la responsabilidad respecto al tratamiento de datos personales. Jurídicamente, el responsable del tratamiento es quien tiene la responsabilidad principal frente a los titulares de los datos y ante las autoridades de control por el cumplimiento de la normativa de protección de datos. En cambio, la responsabilidad del encargado del tratamiento se limita a cumplir estrictamente las instrucciones del responsable y garantizar la seguridad de los datos según lo exigido. Por su parte, el DPO tiene simplemente función de supervisar y controlar, pero es independiente a la responsabilidad que recae dentro de la dirección de la organización. Y, por último, la responsabilidad del Compliance Officer es más amplia, ya que su ámbito abarca más que el del DPO.

Funciones y responsabilidades de cada figura

Una vez diferenciado estas cuatro figuras, es crucial diferenciar y determinar las funciones y responsabilidad de cada una de ellas:

• Las funciones del responsable del tratamiento deben girar en torno a garantizar la protección de los datos personales de los interesados, es decir, adoptar medidas para proteger los datos personales y permitir a estos que ejerzan sus derechos.
• Por su parte, los encargados del tratamiento también tienen responsabilidades, como llevar a cabo las operaciones del tratamiento con las medidas técnicas y organizativas adecuadas establecidas por el responsable. De esta forma, el encargado ayuda al responsable del tratamiento a cumplir con la normativa de protección de datos.
• Las funciones del DPO las recogen los artículos 38 y 39 del RGPD y los artículos 36 y 37 de la LOPDGDD. Estas disposiciones recogen que los DPO deben (i) supervisar, es decir, controlar los proyectos existentes dentro de una empresa que engloben tratamiento de datos personales; (ii) asesorar, es decir, debe ser experto en protección de datos para guiar a la organización hacia un cumplimiento eficiente y diligente; (iii) concienciar, es decir, debe sensibilizar sobre la protección de datos personales e impartir formaciones en la organización para culturizar y evitar los “errores humanos”; y (iv) mediar, es decir, debe ser el interlocutor autorizado ante la Agencia Española de Protección de Datos.

La función principal del Compliance Officer, por su parte, es implementar y supervisar un programa de cumplimiento para prevenir riesgos legales, financieros y reputacionales, y para promover una cultura de integridad y responsabilidad en la empresa. Es decir, su objetivo es detectar los posibles riesgos legales y prevenirlos.

Por ejemplo, el Compliance Officer se encarga de que la empresa lleve a cabo el sistema de gestión de Compliance, es decir, las prácticas y normas de conformidad con las leyes nacionales e internacionales, o bien, que se mantenga al día de las normas reglamentarias.

Por tanto:

1. Supervisa todos los procesos y procedimientos operativos utilizando un programa de gestión de Compliance para garantizar que la empresa cumpla con las normas legales.
2. Gestiona el flujo de información con la investigación, registro y análisis de datos e información.
3. Forma a los empleados.
4. Actúa como persona de contacto y enlace entre los departamentos y alta dirección de la empresa.
5. Realiza evaluaciones periódicas para determinas si las políticas internas se ajustan a la ley.

Cómo coordinar al DPO y al Compliance Officer

Si bien las áreas de enfoque del Delegado de Protección de Datos y del Compliance Officer son distintas (protección de datos para el DPO y cumplimiento normativo general para el Compliance Officer), su colaboración es esencial para un enfoque de cumplimiento integral y para evitar conflictos de responsabilidad, especialmente en empresas pequeñas donde una misma persona podría asumir ambos roles.

No existe una forma exacta de coordinación de estas dos figuras. No obstante, las más comunes son las siguientes:

• Integración del DPO en el equipo de compliance: la forma más recomendable para coordinar ambos roles es integrar al DPO dentro de la estructura del área de compliance. Esto permite una colaboración más estrecha y evita la sobrecarga de trabajo para una sola persona en organizaciones más grandes.
• Colaboración en políticas y procedimientos: ambos profesionales deben trabajar juntos en la elaboración de políticas y procedimientos. El Compliance Officer establece las estrategias y controles generales, mientras que el DPO asegura que las políticas de protección de datos se alineen con el marco de compliance general.
• Evaluación y mitigación de riesgos: pueden colaborar en la evaluación de riesgos. El DPO enfoca su análisis en los riesgos para la protección de datos y el Compliance Officer amplía este análisis a todos los riesgos legales, éticos y de cumplimiento de la empresa.
• Comunicación y formación: ambos deben coordinarse para comunicar la importancia del cumplimiento y la protección de datos a toda la organización, garantizando que los empleados comprendan sus roles y responsabilidades en estas áreas.

Sin embargo, estas casuísticas dependerán de ciertas consideraciones, como es el tamaño de la empresa, que ambas figuren cuenten con recursos suficientes y que, en todo caso, se mantenga la independencia necesaria para cumplir las funciones de cada figura.