DPO mentiras y cintas de video

“Nos ha llamado una empresa de formación diciendo que teníamos que hacer un curso obligatorio de Delegado de Protección de Datos”, “¿Pero no tenemos que hacer una evaluación de no sé qué algo?”, “¿Tú nos puedes dar el certificado ese de cumplir con lo de protección de datos?”. Hace más de un año que llevo recibiendo éstas y otras consultas y cuestiones y, durante las últimas semanas, de manera aún más intensa. Y no sólo recibiéndolas sino, con un empeño casi titánico, desmintiendo y rebatiendo punto por punto de la famosa norma europea que no es cierto.

Me he quedado a cuadros (‘figuradamente’, como diría Ted Mosby) al ver a comerciales de la empresa naranja (sí, la naranja) diciéndole al dueño de un bar que tenía que hacer obligatoriamente un curso de formación de delegado de protección de datos y que además tenía que hacer evaluaciones de impacto de la privacidad.

Uno, que tiene educación y ha crecido en un hogar dónde ricos no seríamos pero vergüenza nos sobraba, se ve incapaz de engañar a una peluquera, a un hostelero o a un mecánico, contándole una trola de las grandes para sisarle 420 euros en un curso de formación. Porque así, con el cursito de formación, se hace más llevadero el asunto para el pobre incauto que se cree que la Unión Europea cuando regula la protección de datos está precisamente pensando en cómo cazar al pobre autónomo o pequeño empresario. Total: que le sale gratis pero no le explican que es a base de destinar una cuota de formación a otra cosa distinta y, encima, recibir un servicio sin tributar el IVA. Para que luego miremos a los políticos exigiéndoles honradez.

Lo voy a decir alto y claro: UN PELUQUERO NO VA A PRECISAR UN DELEGADO DE PROTECCIÓN DE DATOS. Ni un mecánico ni un hostelero ni la mayoría de las pymes del tejido empresarial. ¿Saben por qué? Porque es obligatorio si el Responsable del tratamiento:

  1. es una autoridad u organismo público
  2. la actividad principal consiste en operaciones que requieran una observación habitual y sistemática de interesados a gran escala
  3. la actividad principal consiste en el tratamiento a gran escala de categorías especiales de datos

También será obligatorio para colegios profesionales, empresas de seguros o reaseguros, empresas que gestionen datos de solvencia patrimonial de las personas, entidades financieras y algunas más que figurarán en la reformada LOPD.

Y respecto a la evaluación de impacto… ¿sabe cuándo hay que llevarla a cabo? Según el artículo 35 del Reglamento, cuando el tratamiento “entrañe un grave riesgo para los derechos y libertades fundamentales de las personas físicas”.  ¿En serio usted cree que los tratamientos que va a llevar cabo en su bar lo son? A lo mejor tiene más riesgo servir café a temperatura volcánica, pero tanto como para llevar a cabo una evaluación de impacto, no. La mayoría de las empresas no verá nunca una evaluación de impacto.

Ahora piense en voz alta. ¿Se encuentra usted en algún caso de los señalados? No, ¿verdad? Pues dígale a ese tipo que quiere engañarlo que se vaya con el cuento a otra parte.

Dígale que el regulador y las instituciones que desarrollan las normativas sobre protección de datos tienen cosas más importantes que atender que fustigar al pobre autónomo que, en muchos casos, no tiene ni un equipo informático. Porque además, el principio de responsabilidad activa y el establecer medidas de seguridad desde la evaluación previa de riesgos hace que el Reglamento relaje y mucho las obligaciones en materia de protección de datos en la mayoría de los supuestos. Ojo: no digo que no haya obligaciones, simplemente que adaptarse al Reglamento no es tan complicado ni tan tremendista. Esa es una de las grandes virtudes del Reglamento Europeo: distingue perfectamente al pequeño empresario de la gran corporación que trata y maneja grandes volúmenes de datos y que hace cosas con ellos que no sabemos o no quiere que sepamos.

Si una cosa tiene la autoridad de protección de datos es su marcado carácter divulgativo. Quiere que cumplamos la normativa, nos enseña, publica guías, atiende consultas…en definitiva: no es ningún ogro caza-empresarios.

Por tanto, acabemos con las mentiras, con los pájaros de mal agüero y los embaucadores profesionales que no hacen más que manchar la imagen de lo que es la protección de datos.

Deja un comentario