¿Qué es un DPO?
En 4 días entra en vigor el Reglamento Europeo General de Protección de Datos, GDPR por sus siglas en inglés, y con el, aparece esta nueva profesión, el DPO, regulada en los artículos 37 y siguientes del reglamento mencionado anteriormente.
Esta nueva profesión, en un mundo donde la tecnología es indispensable en todos los aspectos de nuestra vida cotidiana, conocida popularmente como DPO (en inglés, Data Protection Officer) o DPD (Delegado de Protección de Datos), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.
¿Qué me hace falta para ser DPO?
El Reglamento especifica que el DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. No obstante, lo anterior, conviene precisar dos cuestiones al respecto:
El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado. Además de estos conocimientos, y mirando el programa tan extenso para certificarte como DPO ante la AEPD, entendemos que el DPO deberá tener conocimientos técnicos y específicos en materias como sanidad, solvencia patrimonial, publicidad…. y conocimientos, entre otros aspectos curiosos, en Cloud Computing, Big data y Blockchain…, en conclusión, todo lo relacionado con las nuevas tecnologías y la privacidad. Una formación muy completa en este ámbito la teneis disponible de la mano de Ivantia, el primer centro de Málaga especializado en formación de ciberseguridad y privacidad, que ya va por su segunda edición del Curso de Delegado de Protección de Datos.
¿Es mejor que el DPO sea interno o externo en la empresa?
En este punto, siempre surgen opiniones confrontadas. Tanto una parte como la otra tienen sus ventajas y desventajas y la decisión siempre quedará al arbitrio de la empresa contratante.
Por ejemplo, si el DPO es externo, podrá desempeñar su trabajo a tiempo completo, al contrario que si el DPO es interno, ya que deberá dejar de desempeñar su actual trabajo para dedicarlo a su nueva función. Por el contrario, un DPO tendrá acceso a mucha información confidencial de la empresa, por lo que sí “alguien de casa” husmea en tus cosas está mejor visto por la empresa que si alguien viene de fuera a decirte lo que está bien o lo que está mal.
¿Cómo sabemos quién es el DPO de la empresa?
El responsable o encargado del tratamiento publicarán los datos de contacto del DPO (aunque no se establece que haya que publicar los nombres y apellidos de los mismos, sino una forma de contacto permanente con esta figura) y además los comunicará a la Agencia Española de Protección de Datos. Recientemente, la AEPD ha habilitado un canal para comunicar electrónicamente el nombramiento del DPO. Para ampliar la información, puedes pulsar aquí.
¿Qué se entiende por independiente?
El DPO rendirá cuentas siempre al más alto nivel jerárquico del responsable o encargado de tratamiento, según se recoge en el GDPR. Por lo que nunca podrá ser despedido por desempeñar sus funciones, entre las que podrá remitir información a la AEPD sin temor alguno y no podrá recibir instrucciones que no provenga directamente del jefe de la empresa. No olvidemos que el DPO siempre va a velar por el cumplimiento del GDPR y otras normativas relativas a su profesión.
¿Cuáles son las funciones del DPO?
Las funciones recogidas en el artículo 39 del GDPR, son las obligatorias, que consisten en las siguientes:
- Informar y asesorar. Ayuda a facilitar que se cumpla el Reglamento, pero, tal y como hemos comentado, tiene que estar al corriente del resto de normativa que hable sobre privacidad
- Supervisar el cumplimiento de lo dispuesto en el GDPR y de otras disposiciones de privacidad. Sensibilización y formación del personal de la empresa.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos.
- Cooperar con la autoridad de control. Siendo un punto de contacto entre la AEPD y la empresa y entre los interesados y la empresa. Todas las preguntas o consultas en materia de protección de datos y privacidad, serán solventadas por la figura del DPO. .
¿En qué casos es obligatorio tener un DPO?
Según establece el GDPR, los casos en los que es obligatorio tener un DPO serían:
- En el sector público, excluyendo los tribunales que actúen en el desempeño de sus funciones
- Cuando el tratamiento de datos sea a gran escala de datos especiales o relativos a infracciones penales.
- Cuando el tratamiento de datos requiera una observancia habitual y sistemática a gran escala de interesados (videocámaras).
Estos supuestos, se verán “ligeramente” ampliados, con la entrada en vigor del proyecto de Ley Orgánica de Protección de Datos, en el que en su artículo 34, la obligatoriedad de la figura del DPO se amplía a 15 supuestos más, entre los que pueden destacar: las universidades públicas y privadas, los colegios profesionales, las entidades aseguradoras…
Continuaremos ampliando información sobre esta nueva profesión.Si queréis ampliar información sobre el nuevo reglamento, os dejamos nuestras dos entradas con las principales novedades:
- Novedades Reglamento Europeo Protección de Datos (I)
- Novedades Reglamento Europeo Protección de Datos (II)
Como siempre esperamos que os haya resultado interesante nuestro artículo por lo que nos gustaría que nos dejaras tus comentarios.