EL DELEGADO DE PROTECCIÓN DE DATOS (DPO)
La nueva figura contemplada en el Reglamento Europeo de Protección de Datos con carácter
obligatorio para algunas empresas
A partir del próximo 25 de mayo, con la aplicación del Reglamento General de Protección de
Datos (RGPD), tanto empresas como administraciones públicas se verán obligadas a cumplir con los nuevos requerimientos que trae consigo esta nueva normativa.
Entre todas estas novedades, determinados responsables y encargados de tratamiento deberán
designar una nueva figura, el conocido DPO por sus siglas en inglés (Data Protection Officer) o Delegado de Protección de Datos.
Si bien este perfil ya se mencionaba en la Directiva 95/46/CE, hasta la fecha no exigía su incorporación. Es ahora cuando su nombramiento se ha vuelto obligatorio para ciertas entidades que presentan un riesgo especial en materia de protección de datos
Y es que una de las mayores novedades que presenta este nuevo Reglamento es el cambio de un
modelo anterior basado en el control del cumplimiento a otro basado en el principio de responsabilidad activa que exige a los diferentes responsables un estudio previo del riesgo que pudiera generar cualquier tratamiento de datos de carácter personal.
En este nuevo paradigma, la figura del DPO adquiere un papel vital. Se trata de una persona que deberá estar perfectamente integrada en el organigrama de la entidad con la intención de conocer y coordinar todo aquello que pudiera afectar en materia de protección de datos.
Por su naturaleza podríamos decir que este perfil se compone por una vertiente técnica, pero también por una legal. Velará por dar cumplimiento a la normativa, pero no se deberá confundir con el responsable de seguridad. Este último se encargará de implementar las medidas de seguridad necesarias en una organización desde una esfera técnica, mientras que el DPO será quien determine y organice las políticas de protección, los protocolos en los tratamientos de datos y asegurará que todo se desarrolle de acuerdo a la normativa
Como punto de partida, deberemos tener en cuenta 5 aspectos principales de un DPO:
DEBERÁ SER FÁCILMENTE ACCESIBLE: será el punto de contacto de cara a los interesados, ante la autoridad de control correspondiente y dentro de la propia organización. Para asegurar esa disponibilidad, el RGPD exige que el responsable/encargado publique los datos de contacto del DPO y los comunique a las autoridades supervisoras. Para ello habrá un plazo de 10 días para comunicar a la AEPD su designación, nombramiento o cese.
REQUERIRÁ DE FORMACIÓN Y DESTREZAS: Deberá presentar una serie de conocimientos y destrezas necesarias para su cargo: sin establecer una formación específica, el art. 37.5 estipula que el DPO «se designará en función de su cualificación profesional y, en especial, su conocimiento experto de la legislación y las prácticas de protección de datos así como su capacidad de desempeñar las tareas» encomendadas en la norma. Por tanto, como veníamos comentando, tiene que tener un conocimiento sólido a nivel legal, así como de las prácticas de protección de datos aplicadas a nivel técnico.
DEBERÁ ESTAR INTEGRADO EN LA COMPAÑÍA: Deberá estar integrado en la organización: el DPO deberá informar y asesorar al responsable y el encargado de tratamiento así como a los empleados que llevan a cabo un tratamiento de datos sobre sus obligaciones. Sin embargo, es obligación del responsable y del encargado garantizar que el delegado se involucre en todas las cuestiones que guarden relación con la protección de datos personales.
Para ello sería necesario que se comunique internamente la incorporación de esta figura a todos los trabajadores explicando sus funciones en aras de coordinar que todo aquello relativo al tratamiento de datos de carácter personal sea gestionado por este responsable, que se invite al DPO a participar con regularidad en reuniones con los cuadros directivos altos y medios, que esté presente en cualquier toma de decisiones con implicación en materia de protección de datos, que se considere en todo momento la opinión del DPO y que se consulte y notifique a esta figura cada vez que se produzca cualquier incidente que afecte a los datos.
CONTARÁ CON LOS RECURSOS NECESARIOS: Deberá estar dotado de los recursos necesarios para su actividad: la entidad deberá respaldarlo proporcionando los recursos necesarios para que lleve a cabo sus tareas (tiempo suficiente para sus tareas, acceso a los recursos económicos y humanos que pueda requerir para llevar a cabo su labor, formación continua, etc.). En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso la existencia de cualquier deber de confidencialidad o secreto.
ACTUARÁ CON AUTONOMÍA E INDEPENDENCIA: Deberá actuar con autonomía e independencia: los responsables/encargados están obligados a garantizar que el DPO no reciba ninguna instrucción relativa al ejercicio de sus tareas y debe estar en condiciones de desempeñarlas con total independencia. Si desde la organización se toman decisiones no conformes por el DPO, este tendrá la posibilidad de expresar su disconformidad con libertad por lo que no podrán ser destituidos ni penalizados por ello.
En nuestro país, la propia Agencia Española de Protección de Datos ha promovido un sistema de certificación de profesionales de protección de datos con motivo de evaluar a los candidatos
idóneos para ocupar este tipo de puestos. Estas certificaciones serán otorgadas por entidades
certificadoras debidamente acreditadas por la Entidad Nacional de Acreditación atendiendo a
los criterios establecidos por la Agencia.
El proceso de certificación todavía está comenzando a operar. Concretamente en este mes de
enero ha sido emitida la primera autorización por parte de la AEPD. De todas formas, la certificación no será un requisito indispensable para ejercer como tal. Simplemente pretende servir, tanto a encargados como a responsables, de apoyo en un proceso de selección.
Un aspecto importante que establece el Reglamento es que se permita que el DPO mantenga con la compañía una relación laboral o un contrato de servicios. Esto quiere decir que se permite la contratación del servicio con empresas o profesionales ajenos a la compañía.
¿Cómo puede ABD ayudarle a prepararse para el GDPR?
ABD Consultoría y Soluciones Informáticas, ofrece soluciones completas, servicios y experiencia que le ayudarán a prepararse para el GDPR.
Fuente: Alcatraz.