El nuevo Reglamento Europeo de Protección de Datos (en adelante RGPD), que empezará aplicarse el próximo día 25 de mayo de este mismo año, impone, en algunas organizaciones, la figura del delegado de protección de datos, como garante del cumplimiento de la normativa de protección de datos en la organización.
La figura del delegado de protección de datos constituye uno de los elementos claves del nuevo Reglamento Europeo de Protección de Datos
¿Quién es del delegado de protección de datos?
Esta figura, conocida popularmente como DPO (en inglés, Data ProtectionOfficer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.
El nuevo Reglamento Europeo justifica la imposición de esta figura, en la necesidad de que, en determinadas organizaciones, haya alguien con conocimientos especializados del Derecho y la práctica en materia de protección de datos, que ayude al responsable o encargado de tratamiento a cumplir con la normativa de protección de datos.
Atención. Los delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.
¿Quiénes están obligados a designar un delegado de protección de datos?
Será obligatorio en:
• Autoridades y organismos públicos, excepto los Tribunales
• Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
• Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles
Atención. Se permite nombrar un solo DPO para un grupo empresarial siempre que sea accesible desde cada establecimiento del grupo
¿Qué funciones cumplirá?
El delegado de protección de datos tendrá como mínimo las siguientes funciones:
a) Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) Supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) Ofrecer el asesoramientoque se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación cooperar con la autoridad de control;
d) Actuar como punto de contactode la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa y realizar consultas, en su caso, sobre cualquier otro asunto.
Al Delegado de Protección de Datos se le atribuyen una serie de funciones entre las que destacan informar y asesorar, así como supervisar el cumplimiento del RGPD por parte del responsable o encargado.
Atención. Se permite que el DPO mantenga con responsables o encargados una relación laboral o mediante un contrato de servicios. Además, puede desarrollar sus funciones a tiempo completo, o parcial.
¿Quién puede ser Delegado de Protección de datos?
El DPO ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Aunque no debe tener una titulación específica, en la medida en que entre las funciones del DPO se incluya el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos, los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de actividad de la organización en la que el DPO desempeña su tarea.
La Agencia Española de Protección de Datos (AEPD) ha optado por promover un sistema de certificación de profesionales de protección de datos como herramienta útil a la hora de evaluar que los candidatos a ocupar el puesto de DPO reúnen las cualificaciones profesionales y los conocimientos requeridos.
Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por la Entidad Nacional de Acreditación, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados.
Atención. La certificación no será un requisito indispensable para el acceso a la profesión, será sólo una opción a disposición de responsables y encargados para facilitar su selección de los profesionales llamados a ocupar el puesto de DPO. Pero responsables y encargados pueden tomar en consideración otras cuestiones u otros medios para demostrar la competencia de los DPO.
El (RGPD) configura una serie de “medidas de responsabilidad activa” aplicables a los responsables, y en ocasiones, también a los encargados de tratamiento. Entre ellas, destaca la figura del delegado de protección de datos, como garante del cumplimiento de la normativa de protección de datos