El Comité Europeo de Protección de Datos en un reciente Informe sobre la designación y posición de los Oficiales de Protección de Datos, ha destacado la importancia de esta figura en entornos de mercados digitales, dados los desafíos que traen las tecnologías de inteligencia artificial (IA).
Adolfo Enrique Gómez Trujillo
La normativa colombiana exige que todo responsable y encargado del tratamiento de protección de datos designe a una persona o área dentro de la organización para atender las consultas y reclamos que puedan formular los titulares frente a su información personal.
El alcance de esta asignación difiere en gran medida del estándar presente en el Reglamento de Protección de Datos de la Unión Europea (GDPR, por sus siglas en inglés), donde la figura del Oficial de Protección de Datos trasciende estas funciones, siéndole asignadas tareas especializadas de consejero y garante del cumplimiento de las obligaciones legales al interior de la organización, así como de punto de contacto y cooperación con las autoridades de supervisión.
Esta figura, aun cuando ciertamente no es novedosa, ha adquirido una inusitada importancia en la sociedad actual. El Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés), en el reciente Informe de enero de 2024 sobre la designación y posición de los Oficiales de Protección de Datos, ha destacado la importancia de esta figura en entornos de mercados digitales, dados los desafíos que traen las tecnologías de inteligencia artificial (IA) y el procesamiento automático de datos.
Aunque la regulación de Colombia limita su rol a la atención de consultas y reclamos de los titulares, su designación redundará en beneficios para cualquier organización, sobre todo para aquellas en donde el tratamiento de datos personales mide su éxito en el mercado. El Registro Nacional de Bases de Datos Personales lo incorpora dentro de las funcionalidades de reporte y actualización del registro, mostrándose un impulso positivo para su designación.
Para su correcta adopción y funcionamiento, la Superintendencia de Industria y Comercio, en su Guía Oficial de Protección de Datos Personales, ha descrito algunas recomendaciones, que pueden ser complementadas con la experiencia del Comité Europeo de Protección de Datos en el mencionado informe:
- El Oficial de Protección de Datos debe contar con autonomía e independencia dentro de la organización, de tal manera que cuente con los recursos suficientes para desempeñar su labor. Por lo mismo, debe evitarse la injerencia de otras áreas de la organización en el desempeño de sus funciones.
- Debe tratarse de un sujeto con conocimientos especializados en la legislación y en el funcionamiento interno de la organización. Para ello, el entrenamiento constante y la actualización en los últimos desarrollos en materia de privacidad son fundamentales para su labor.
- Deben evitarse a toda costa las situaciones constitutivas de conflicto de interés. Por ello, es recomendable que las funciones a su cargo estén previamente pormenorizadas en el instrumento contractual que lo vincule a la organización y se evite hacerlo responsable de decisiones que puedan llevar a estos conflictos.
- Es vital articular su funcionamiento con las demás áreas de la organización, como las áreas legales, de talento humano y de tecnología. Asimismo, debe contar con suficientes poderes para la recolección de evidencias y debe evitarse penalizar y prohibir las funciones propias de su rol.
- Está en cabeza de todos los responsables y encargados sensibilizar acerca de su importancia y de su naturaleza cooperativa al interior de la organización. Por ello, es importante generar concientización acerca de su rol e involucrarlos en cualquier actividad que conlleve el tratamiento de información personal.
En su reciente informe, el Comité advierte la necesidad de tratar las preocupaciones que afectan su desempeño, que se resumen en su ausencia de designación, la insuficiencia de recursos financieros, operativos y de infraestructura que le son asignados, la falta de formación y entrenamiento constante, la asignación cuidadosa de tareas para garantizar su independencia y la ausencia de conflictos de interés y su involucramiento significativo dentro de la organización.
Con seguridad, la implementación de esta figura ha cobrado un rol preponderante, dado que, sin dejar de ser un instrumento para el cumplimiento legal y un punto de contacto con las autoridades de supervisión, es un aliado estratégico para el cumplimiento de los objetivos de cualquier organización.
Adolfo Gómez es Asociado Sénior del Departamento de Derecho Administrativo de Garrigues. Cuenta con más de 8 años de experiencia asesosarando a entidades públicas y multinacionales en derecho de la competencia, privacidad y protección de datos personales, derecho del consumo y litigios. Adolfo es abogado de la Pontificia Universidad Javeriana de Bogotá y Especialista en Derecho Comercial de la misma. Cuenta con un Máste en Derecho y Tecnología de la Universidad de Tilburg (Holanda) con énfasis en regulación de la tecnología y la inteligencia artificial, derecho de la competencia, protección de datos personales y cambio climático.
