El Reglamento General de Protección de Datos (RGPD) obliga a los hospitales a contar con un Delegado de Protección de Datos como aquel órgano de la persona jurídica que debe velar por el correcto cumplimiento normativo en materia de protección de datos, así como actuar de forma independiente, iniciando actividades de control y auditoría y asistiendo a los titulares de los datos cuando sea necesario para estos. La propia norma, en su artículo 37.6, prevé que este delegado sea interno o externo, dependiendo de las necesidades de cada organización, esto ha generado un debate sobre cuál de las dos opciones es mejor, pero en realidad depende de cada organización. Eso sí, tenerlo como externo si éste es competente y de confianza permite una serie de ventajas.

En primer lugar, la especialización y el conocimiento del delegado es fundamental para cumplir con la normativa y por ello -aunque no necesite una titulación específica- el Delegado de Protección de Datos debe tener conocimientos especializados de Derecho y práctica en materia de protección de datos, en particular:

• conocimientos específicos sobre la legislación y las prácticas nacionales y europeas en materia de protección de datos
• profunda comprensión del RGPD
• comprensión de las operaciones de tratamiento que se llevan a cabo
• conocimientos de carácter técnico que permitan evaluar adecuadamente tanto el nivel de seguridad que ofrezcan los sistemas de información como los riesgos que puedan derivarse de su uso o de la introducción de nuevos elementos
• capacidad para fomentar una cultura de protección de datos dentro de la organización

Así, un delegado externo asegura no sólo un interlocutor competente, sino también un equipo especializado en protección de datos con un profundo conocimiento de la norma y una actualización constante en un momento en que la legislación en la materia se está consolidando a base de la publicación de guías y opiniones por parte de las diferentes agencias, muy activas y prolíficas. También hay que tener presente que nos encontramos a la espera de la rúbrica de la legislación nacional y que, además, en los próximos meses y años los cambios en la organización deberán ser constantes para seguir cumpliendo con las exigencias futuras que surgirán, previsiblemente, de textos en trámite como el Reglamento e-Privacy, aplicable a los tratamientos online ya través de aplicaciones móvil, o la Directiva de protección de los Alertadores (whistleblowers), que prevé la creación de un canal confidencial de denuncias para poder alertar de los incumplimientos en materia de protección de datos.

No sólo hay que valorar la aportación que un equipo experto en protección de datos puede hacer a la organización, sino también el hecho de que un delegado de datos externo será menos susceptible de actuar con falta de independencia. Este elemento, la independencia y autonomía, es el valor fundamental que debe aportar el Delegado de Protección de Datos. Tan importante es que el propio RGPD, el Considerando 77, equipara al Delegado de Protección de Datos, a sus indicaciones en concreto, a los Códigos de Conducta aprobados y a las Directrices del Comité Europeo de Protección de Datos, con respecto a la aplicación de medidas que permitan demostrar el cumplimiento normativo del responsable o encargado del tratamiento.

La autonomía e independencia implica que pueda apoyarse para la realización de estas tareas en el resto de departamentos y órganos de la organización, velando por el correcto nivel de cumplimiento normativo a la vez que recoge las necesidades e inquietudes del personal, adaptando las soluciones a una realidad propia de cada entidad mientras se mantenga intacto el compromiso con el cumplimiento normativo. Hay que valorar también las posibles incompatibilidades, presentes o sobrevenidas, que puedan presentarse durante la prestación de servicios del Delegado de Protección de Datos interno, lo que supondría, a su vez, un incumplimiento normativo sancionado con multas de hasta 10 millones de euros o el 2% de la facturación anual (la que resulte más elevada).

Responsabilidad proactiva

El RGPD ha supuesto un cambio en el modelo normativo tradicional en materia de protección de datos, incorporando algunos elementos que no son muy comunes en nuestro ordenamiento, como los principios de responsabilidad proactiva o el enfoque basado en los riesgos, todo ello teniendo presente que la tónica dominante hasta ahora pasaba por una clara tipificación de las infracciones y un cumplimiento normativo básicamente reactivo.

Con el RGPD, en definitiva, abandonamos el modelo de lista de medidas predefinidas a aplicar para abrirnos a un espacio en que cada organización, en base a sus riesgos, recursos y necesidades, que deberá determinar qué tratamientos y qué medidas de seguridad son necesarias para cumplir con un marco normativo abierto y difuso en el que lo que más pesa es la capacidad de mejora constante y de respuesta ante las incidencias.

Dentro de este marco normativo diferente, el Delegado de Protección de Datos actuará en base al principio de responsabilidad proactiva. En este sentido, no se debe confundir con un mero asesor que aportará su visión y su consejo cuando sea requerido. El Delegado de Protección de Datos tiene que abandonar para siempre su zona de confort para situarse en la primera línea de los tratamientos de datos, garantizando que en la organización se aplique el principio de privacidad desde el diseño y por defecto.

Corresponde a cada entidad valorar el nivel de complejidad y el volumen de tratamientos que realiza, para valorar si puede nombrar a un Delegado de Protección de Datos interno a tiempo parcial, si es necesario nombrarlo a tiempo completo o si resulta más conveniente, en vista a las posibilidades que ofrece cada opción, contratar los servicios de un Delegado de Protección de Datos externo, siempre que éste sea solvente y de confianza.