Cada entidad argentina, sea un organismo público, una empresa privada o una organización del tercer sector deberá contar entre su equipo con un delegado de Protección de Datos Personales, si es que se aprueba el proyecto de modificación de la ley 25326.
El proyecto establece que los responsables y encargados del tratamiento deben designar un delegado de protección de datos cuando se trate de una autoridad u organismo público; y cuando sus actividades de tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades, conforme se establezca en esta ley, su reglamentación, o en la normativa que dicte al respecto la Autoridad de aplicación.
Cuando las entidades no se encuentren obligadas a la designación de un delegado de protección de datos podrán designarlo de manera voluntaria o por orden expresa de la autoridad de aplicación. Voluntariamente lo podrán hacer aquellas organizaciones que ya tienen una persona en áreas como auditoría o compliance, a quien le sumarán este rol con el objetivo de mostrar una cualidad adicional de su organización, sin que ello le sea un costo adicional. También podrán incorporarlo voluntariamente aquellas empresas que comercializan sus productos principalmente en el mercado europeo para cumplimentar con su directiva, más allá de que en Argentina no esté alcanzado por esta regulación. El otro supuesto que plantea el proyecto de ley, que no sea una exigencia legal ni normativa, pero sí una orden de la autoridad de aplicación, lo que se asimila más a un capricho, porque cuál será el fundamento de dicha autoridad si no es la legalidad.
Un delegado servirá para toda la organización. Es decir, en el caso de un organismo público con dependencias subordinadas, se podrá designar un único delegado de protección de datos, por ejemplo, para toda la Anses, teniendo en consideración su tamaño y estructura organizativa. El mismo criterio aplica para los grupos económicos, quienes podrán nombrar un único delegado de protección de datos siempre que esté en contacto permanente con cada establecimiento, sucursal o empresa subordinada.
La designación del delegado debe recaer en una persona que reúna los requisitos de idoneidad, capacidad y conocimientos específicos para el ejercicio de sus funciones, quien a su vez podrá ejercer otras funciones siempre que no den lugar a conflictos de intereses. El interrogante es cómo se validará la idoneidad, la capacidad y los conocimientos específicos, quizás por haber realizado algún curso de posgrado en la materia, por estar certificado en la Comunidad Europea, o por alguna constancia adicional que la autoridad de aplicación reconozca como habilitante para ejercer tal rol.
El equipo directivo de la entidad, sea pública o privada, estará obligado a respaldar al delegado de protección de datos personales en el desempeño de sus funciones, facilitándole los recursos necesarios para su desempeño y para el mantenimiento de sus conocimientos especializados y su actualización. Más allá de respaldarlo, también deberá darle la autonomía suficiente para ejercer sus funciones libres de interferencias, sin recibir instrucciones, y sólo debe responder ante el más alto nivel jerárquico de la organización. Una disposición peligrosa por su amplia interpretación es que el delegado no será destituido ni sancionado por desempeñar sus funciones, lo que se asemeja al delegado sindical.
Ello lleva a analizar cuáles serán las funciones del delegado, entre las que se destacan, sin perjuicio de otras que se le asignen especialmente, informar y asesorar a los directivos de la organización, así como al personal, de las obligaciones a su cargo; promover y participar en el diseño y aplicación de una política de tratamiento de datos personales; supervisar el cumplimiento de la ley y de la política de protección de datos; asignar responsabilidades, concientizar, formar al personal y realizar las auditorías correspondientes; realizar una evaluación de impacto cuando entrañe un alto riesgo de afectación para los derechos de los titulares de datos personales, y supervisar luego su aplicación; cooperar y actuar como referente ante la Autoridad de aplicación para cualquier consulta sobre el tratamiento de datos efectuado en la organización; y recibir las comunicaciones y responder los reclamos de los titulares.
Como se concluyó en la columna anterior, para que este rol no sea un gasto cada organización deberá evaluar cómo puede gestionar de manera más eficiente la información que diariamente maneja con el foco puesto en generar un rédito adicional y así justificar este nuevo funcionario, sin importar si es un organismo público, una empresa o una ONG, ya que todas serán más eficientes si optimizan la gestión de su información.
* Abogado, especialista en derecho informático