Con la llegada de la nueva normativa, que viene a regular aspectos relativos al tratamiento de los datos que antes quedaban gravemente desprotegidos, se han añadido distintas novedades a la cuales aún nos estamos adaptando. Entre ellas se encuentra el protagonista de este post: el DPO.
La figura del delgado de protección de datos, o de sus siglas en inglés DPO (Data Protection Officer), es un concepto desconocido, introducido por el nuevo reglamento de protección de datos que está generando dudas en el ámbito jurídico y empresarial.
Con el objetivo de resolver y aclarar algunas cuestiones de este asunto, en el post de hoy vamos a hablar de qué es un DPO, quién puede serlo y cuándo hace falta contratar uno.
Qué es un DPO
El delegado de protección de datos es el encargado de garantizar el cumplimiento de la normativa de protección de datos en la organización. Las funciones de este son:
- Informar y asesorar a todos aquellos que se ocupen del tratamiento de datos.
- Supervisar el cumplimiento de lo dispuesto en la legislación española y europea en materia de protección de datos personales.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
- Cooperar con las autoridades de control y actuar como punto de contacto con las mismas.
Las funciones del Delegado de Protección de Datos están reguladas en el artículo 39 del RGDP. La nueva normativa contempla la contratación obligatoria de un DPO en algunos casos. Se recomienda contar con esta figura dentro de cualquier organización que realice tratamiento de datos personales.
Quién puede ser DPO
La figura del DPO deberá tener conocimientos especializados de legislación y práctica en materia de protección de datos. No será necesaria una titulación específica. Podrá ser interno o externo, y persona física o jurídica especializada en protección de datos.
La AEPD junto a la Entidad Nacional de Acreditación (ENAC) han desarrollado un modelo de certificación de Delegados de Protección de Datos. La finalidad de este certificado es reconocer las competencias profesionales para desarrollar adecuadamente funciones de DPO.
Cuándo hay que contratar un DPO
La figura del DPO, como se ha comentado anteriormente, no es obligatoria en todos los casos. La AEPD ha contemplado estos tres tipos de entendidas que tienen como indiscutible el nombramiento de esta figura:
- Autoridades y organismos públicos.
- Organizaciones con actividades principales de tratamiento habitual y sistemático de interesados a gran escala.
- Organizaciones con actividades de tratamiento a gran escala de datos sensibles, de categorías especiales o relacionados con condenas o delitos penales.
Por ejemplo, algunas de las empresas que necesitaran contratar a un DPO son: centros docentes, empresas de seguridad privada, centros sanitarios, compañías de seguros, empresas de prestación de servicios de comunicaciones electrónicas y de la sociedad de la información, algunos colegios profesionales, entidades financieras, empresas de inversión, distribuidores y comercializadores de suministros energéticos, etc.
Como se ha mencionado previamente, las empresas que contraten un Delegado de Protección de Datos primero deben decidir si este será externo o interno. Una vez seleccionado, se debe comunicar su nombramiento a los empleados de la empresa y a la AEPD en un plazo de diez días.
Desde eDefense resaltamos la importancia de asegurarse de que la persona seleccionada cuenta con las competencias necesarias en protección de datos para desempeñar funciones de DPO, pues una prevención adecuada es garantía de estabilidad en el futuro.
