Home Data Governance ¿Por qué el Compliance Officer no debería ser designado como DPO en...

¿Por qué el Compliance Officer no debería ser designado como DPO en una organización?

Por Daniel Monastersky – Socio Data Governance Latam

La protección de datos personales es una preocupación creciente en el mundo empresarial, ya que cada vez más organizaciones manejan grandes cantidades de datos de clientes y empleados. La figura del Delegado de Protección de Datos (DPO) se ha vuelto cada vez más importante en el cumplimiento del Reglamento General de Protección de Datos (RGPD), que exige la designación de un DPO en ciertas circunstancias.

Sin embargo, algunas organizaciones han considerado designar al Compliance Officer como DPO, argumentando que su conocimiento del cumplimiento normativo y su capacidad para garantizar la conformidad con las leyes y regulaciones podrían ser beneficiosos para la gestión de los datos personales. En este artículo, detallaré por qué esta designación podría ser perjudicial para la protección de los derechos de los titulares de datos y el cumplimiento del RGPD.

En primer lugar, es importante destacar que el RGPD establece que el DPO debe ser “designado sobre la base de sus cualidades profesionales y, en particular, de sus conocimientos especializados en materia de protección de datos”. Esto significa que el DPO debe tener una formación y experiencia específica en materia de protección de datos, que no necesariamente es la misma que la que se requiere para desempeñar el rol de Compliance Officer.

Además, el RGPD establece que el DPO debe ser “independiente en el desempeño de sus funciones”. Esto significa que el DPO debe actuar con autonomía y no estar sujeto a instrucciones en relación con el desempeño de sus funciones de protección de datos. Si el Compliance Officer es designado como DPO, puede surgir un conflicto de intereses debido a que el Compliance Officer podría estar más preocupado por garantizar la conformidad con las leyes y regulaciones, mientras que el DPO debería estar enfocado en proteger los derechos y libertades fundamentales de las personas físicas cuyos datos se están tratando.

Por otra parte, el Compliance Officer puede estar más enfocado en garantizar la conformidad con las regulaciones y políticas internas, mientras que el DPO tiene la responsabilidad de garantizar la protección de los derechos de los titulares de datos. Estas responsabilidades pueden ser contradictorias, ya que el Compliance Officer podría estar más interesado en cumplir las normativas internas y externas, mientras que el DPO debería limitar el tratamiento de los datos personales para garantizar la privacidad de los titulares de datos.

La superposición de funciones y el doble rol pueden afectar negativamente la capacidad del DPO para cumplir con sus responsabilidades y garantizar el cumplimiento normativo de la organización. Por lo tanto, es recomendable que la organización designe a una persona externa o a un equipo interno dedicado exclusivamente al cumplimiento del RGPD como DPO, en lugar de delegar esta función en alguien que ya ocupe otro cargo en la organización. De esta manera, se puede garantizar una gestión eficaz de los datos personales y una protección adecuada de los derechos de los titulares de datos.