Compliance Officer y Delegado de Protección de Datos: ¿Compatibles?

En menos de un mes –el 25 de mayo para ser más precisos– , tras haber concluido el proceso de adaptación de dos años, entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD), una norma que afecta a los Estados Miembros de la Unión Europea que endurece las sanciones por incumplimiento y de obligado cumplimiento para empresas, autónomos, comunidades, asociaciones y administraciones. Estas sanciones pueden llegar a ser millonarias –hasta 20 millones o el 4% del total de la facturación– en función de la gravedad del incumplimiento en la protección de datos de carácter personal, y por esta razón se hace más necesario que nunca el compromiso férreo de la organización para cumplir la normativa.

Con el nuevo RGPD, aparece una figura inédita, que es el Delegado de Protección de Datos (DPD), obligatorio según qué supuestos y sectores, y es un profesional cualificado con profundos conocimientos técnicos en Derecho, y lógicamente en el ámbito del Data Protection, y se encargará de supervisar la gestión de la organización en la materia y de asesorar al responsable de tratamiento de los datos de carácter personal, además de ser el enlace con la autoridad de control.

En este marco, por un lado tenemos el RGPD y, por otro, la nueva realidad jurídica que se está implantando paulatinamente en las empresas, como es el Compliance o plan de cumplimiento normativo. Estos planes de cumplimiento también contemplan la figura del Compliance Officer, encargado de la supervisión, control y vigilancia del cumplimiento normativo de la organización en el día a día, implantando las medidas y controles que le permitan conocer los posibles riesgos e incidencias en la prevención de delitos. De igual manera, es aconsejable que el Compliance Officer sea abogado o titulado en Derecho –si bien este requisito no es obligatorio–, o tenga amplios conocimientos jurídicos, de cumplimiento normativo y de gestión del riesgo.

Con el RGPD, existirá una lógica interacción entre ambas figuras, y también posibles conflictos en sus respectivos desempeños

Por tanto, existirá una lógica interacción entre ambas figuras surgidas del RGPD y del Compliance, y también posibles conflictos en sus respectivos desempeños. Sobre este debate, y sobre la conveniencia o no de fusionar ambos cargos en una sola figura, se ahondó en la undécima edición del Diálogo de Compliance, bajo el título ‘Interacciones entre el Compliance Officer y el Data Protection Officer’, celebrado a finales de abril y organizado por la Comisión Nacional de los Mercados y la Competencia y la Asociación Española de Compliance (ASCOM).

De esta jornada se extrajeron interesantes conclusiones por parte de los ponentes, empezando por los numerosos puntos en común que tienen las dos figuras. Entre las conclusiones destaca la que señaló la presidenta de ASCOM, Sylvia Enseñat, que reconoció conflictos de intereses entre el CCO y el DPD, si bien apuntó la necesidad de que sean dos personas diferentes –y no un cargo fusionado– dentro de la organización.

De igual opinión fue el secretario de la junta directiva de la asociación Juan Ignacio Canosa, quien destacó la necesidad de que el CCO sea una figura necesaria, con una especial protección y un perfil diferenciado del DPD –la independencia y la autonomía son inherentes en cada caso–. Otro de los ponentes, Concepción Campos Acuña, secretaria del Gobierno Local del Ayuntamiento de Vigo apuntó que también debería establecerse un estatuto propio que defina las dos figuras.

En general, todos los ponentes se mostraron de acuerdo en que el Compliance Officer debería estar dotado de una protección similar a la que tiene el Delegado de Protección de Datos en el RGPD, un blindaje que proteja al CCO de un posible despido si su opinión discrepa de la de su responsable, que puede ser una de las mayores preocupaciones de quien asume dicho puesto en la empresa.

El CCO tiene una escasa regulación normativa debería estar dotado de una protección similar a la que tiene el DPD

Todo hace intuir que las dos figuras generarán muchos más debates, sobre todo cuando entre en vigor oficialmente el Reglamento Europeo y comiencen a funcionar los DPD en las organizaciones. Todo ello teniendo en cuenta que el Compliance Officer es una figura muy reciente, con escasa regulación normativa, y que cada vez está siendo más demandada por las empresas junto con los programas de cumplimiento.

Desde DE VEGA & Asociados-Compliance, bufete pionero en Huelva en obtener la certificación CESCOM –que otorgan ASCOM y la Federación Internacional de Asociaciones de Compliance (IFCA)– y uno de los primeros despachos en ofrecer servicio de Compliance en la provincia, consideramos fundamental que exista una mayor regulación normativa sobre la figura del Compliance Officer, especialmente teniendo en cuenta que su ámbito de actuación comprende nada menos que la prevención de delitos.

La actuación del CCO en una organización es tan importante que, de cumplirse eficazmente el plan de cumplimiento legal, la Justicia podría exonerar –eximente, o al menos atenuante– a las personas jurídicas involucradas en la comisión de un presunto delito cometido en el seno de la empresa.

Las funciones de ambos tienen mucha semejanza, entre las que podemos nombrar a modo de ejemplo: el asesoramiento al órgano de dirección de la organización, supervisión del cumplimiento normativo, gestión el riesgo, impartir formación entre el personal, cooperar con las autoridades de control. Para lo que deben contar con una dotación económica necesaria para desarrollar esta actividad y por supuesto, mantener su independencia en todas ellas.

El ámbito de responsabilidad penal es más amplio en el CCO que en el DPD, puesto que el Compliance Officer abarca el cumplimiento normativo de toda la organización, mientras que el Delegado de Protección de Datos sólo mueve la normativa de la protección de datos.

De esta exposición y a expensas de cómo se vaya gestando la normativa aplicable, a pesar de las posibles semejanzas, vemos interesantes mantener separadas ambas figuras y de esa forma también reforzar la independencia, tan necesaria en los planes de cumplimiento.


Comentarios