Formación en Protección de Datos

Básicamente por tres razones:
1.- La formación en la empresa es obligatoria, ya que se debe cumplir con uno de los principios
rectores en materia de protección de datos, el principio de Responsabilidad Proactiva.
2.- El personal y el equipo directivo de una organización no puede aplicar de forma práctica lo
que no conoce. Es imprescindible, por lo tanto, transmitir los conocimientos adecuados que
permitan “aterrizar” la normativa al contexto de la organización.
3.- Es vital que se identifiquen de forma clara las especialidades que pueden incidir en un
tratamiento, para que el personal pueda actuar de acuerdo a las exigencias legales. Desde este
punto de vista, no es lo mismo, por ejemplo, que se traten datos identificativos, datos
bancarios o datos de salud; así como tampoco es igual tratar datos de mayores que de
menores de edad.

Existe una gran cantidad de casos en los que el DPO es una persona empleada de la
organización, sin conocimientos legales, que fue nombrado para poder cubrir el puesto y la
obligación legal en caso de que el DPO sea obligatorio. En estos casos es imprescindible no sólo
una formación, sin que además una asesoría especializada que permita al DPO realizar sus
tareas de acuerdo a las responsabilidades que le asigna expresamente el art. 39 del RGPD.
Por otra parte, sabemos que en muchas empresas existen DPO que incluso teniendo la
certificación, carecen de experiencia práctica. Quienes sabemos de protección de datos
podemos confirmar que “la experiencia es un grado” ya que se trata de una disciplina jurídica
cuya casuística es muy variada y que avanza muy rápido, especialmente por los cambios
tecnológicos, además de depender en buena parte de la interpretación de las autoridades
europeas y de las agencias de los respectivos países. Por eso, aún tratándose de personas
certificadas, si no se posee la experiencia suficiente, necesariamente requerirán formación y
apoyo para cumplir con las responsabilidades asumidas.

Nuestras formaciones son diferentes porque no soltamos un “rollo jurídico”, sino que nos
adaptamos a nuestra audiencia, normalmente personas que no forman parte del mundo legal,
o que formando parte de él, están especializados en otras materias. Por esta razón,

profundizamos en la norma, pero con un lenguaje adecuado y comprensible, y especialmente
con muchos casos prácticos, todos de la vida real, extraídos de nuestra experiencia o de la
jurisprudencia y resoluciones de la autoridad de control. Nos gustan las preguntas y el
ambiente participativo.

Por experiencia, sabemos que muchas veces las organizaciones tratan datos personales, sin
saberlo. Esto se debe principalmente a que los conceptos “Datos Personales” o “Tratamiento
de Datos” son conceptos de carácter técnico, y por no conocerlos, se recogen y tratan datos
sin ser conscientes de que debe aplicarse el RGPD y la normativa nacional. La importancia de
identificar cuando estamos tratando datos personales, es porque ese tratamiento debe
diseñarse según los principios y obligaciones que impone el RGPD, de lo contrario la base de
datos podría quedar incluso inutilizable.

Desde el punto de vista de quienes ostentan responsabilidad dentro de la organización, las
normas deben enfrentarse y aplicarse desde otro enfoque, ya que la carga de probar el
cumplimiento es de la entidad.
¿Cómo se deben recoger datos? ¿cómo debemos gestionar su tratamiento? ¿Cómo tratar
datos de categoría especial? ¿cómo preparamos a nuestro personal ante la ocurrencia de
brechas de seguridad? ¿qué debemos exigir a un Delegado de Protección de Datos?
Estas son sólo algunas de las preguntas que aquellos que tienen labores de responsabilidad
deben analizar, y para ellos es imprescindible la formación especializada.