Consideraciones sobre las funciones del Oficial de Protección de Datos Personales en el Sector Bancario
I. Consideraciones Previas
En publicaciones anteriores, hemos mencionado de forma sucinta que, a nuestro juicio, el Acuerdo No. 001-2022 de 24 de febrero de 2022, no aporta un gran cambio al respecto de los lineamientos, derechos y obligaciones ya establecidas en la Ley 81 del 26 de marzo de 2019 y en su reglamentación; sin embargo, al respecto de la figura del Oficial de Protección de Datos, se regulan ampliamente sus funciones y además, se establecen las funciones y/o roles que debe ejercer este funcionario.
En este sentido, además de que se especifican sus funciones, se obliga a las entidades bancarias a contar con esta figura entre sus colaboradores y, además el acuerdo es contundente al señalar que el mismo desempeñará sus funciones con independencia, teniendo una interlocución directa con la Gerencia Superior o Alta Dirección, como órgano de toma de decisiones.
En este orden de ideas, La Superintendencia de Bancos de Panamá, mediante el aludido Acuerdo No. 001-2022 de 24 de febrero de 2022 ordena que el Oficial de Protección de Datos, no puede desarrollar o llevar a cabo funciones incompatibles con sus deberes y finalidades, y define como funciones específicamente incompatibles dentro de la estructura del Banco, las que lleven a cabo las áreas de Auditoría Interna, Riesgos y Cumplimiento, para sí asegurar su independencia, misma que consideramos será muy difícil de garantizar, ya que pese a los esfuerzos regulatorios actuales, el patrono del oficial de protección de datos seguirá siendo el banco que está llamado a fiscalizar.
II. Funciones del Oficial de Protección de Datos.
Las funciones específicas que desempeñará el Oficial de Protección de Datos (OPD) están desarrolladas en el artículo 23 del Acuerdo No. 001-2022 de 24 de febrero de 2022, pero pasaremos a detallar y comentar las mismas:
1. Llevar un registro de cualquier suceso que afecte la protección de los datos personales tratados por el banco.
Relacionado con esta obligación, vemos en primera instancia se deja mucho al arbitrio del OPD, ya que no establece un listado taxativo sobre los temas específicos de los cuales el OPD debe llevar un registro, sino que se deja a su sola discreción el registrar o no los eventos o sucesos que a juicio del oficial resulten relevantes de cara a posibles afectaciones en materia de protección de datos personales.
2. Reportar toda deficiencia detectada en las medidas de protección de datos personales a la Gerencia Superior o Alta Dirección, así como a la Unidad de Administración de Riesgo y la Unidad de Auditoría Interna.
3. Coordinar con el área de seguridad de la información los sucesos de seguridad que impacten la protección de los datos personales.
4. Proporcionar sugerencias respecto a las medidas correctivas que pueden implementarse para subsanar las deficiencias detectadas en el tratamiento de los datos personales.
5. Mantener una comunicación con las áreas de riesgo, auditoría interna y cumplimiento con la finalidad de identificar las mejoras necesarias en los controles de protección de datos personales.
Resulta curioso, que el ente rector, mediante este acuerdo no proporcione un norte más claro sobre lo que se busca con este tipo de funciones u obligaciones, ya que seguramente las mejoras van a variar de banco en banco y de oficial en oficial, por lo cual consideramos que se debe capacitar continuamente a este personal y hacer docencia al respecto de las tendencias que persigue la plaza en esta materia.
6. Coadyuvar en conjunto con el responsable del área de seguridad de la información en la atención de los incidentes de seguridad que impacten el tratamiento de los datos personales.
7. Ser la unidad de enlace con la Superintendencia de Bancos en los temas relativos al tratamiento de los datos personales.
8. Coordinar el plan anual de capacitación en materia de protección de datos personales.
9. Ser la unidad de enlace con el titular de los datos, sin perjuicio que administrativamente, cuando aplique, se pueda apoyar en el responsable del Sistema de Atención de Reclamos.
A nuestro juicio, la SBP, ha omitido en el texto de su Acuerdo No. 001-2022 de 24 de febrero de 2022, una de las principales funciones o roles que debe desempeñar el OPD, el cual debe estar llamado a ejercer funciones de auxiliar u orientador de los clientes del banco, los cuales son los titulares de los datos personales que son sometidos a protección, ya que seguramente estos requerirán una figura que les oriente acerca de la mejor forma de ejercer sus derechos ARCO.