La figura del Delegado de Protección de Datos (DPO)

figura del Delegado de Protección de Datos o Data Protection Officer (DPO)

A partir del próximo 25 de mayo de 2018 entra en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), que será obligatorio para todas las empresas.

Polémica en la figura del Delegado de Protección de Datos o Data Protection Officer (DPO)

Una de las obligaciones que está causando mayor polémica es la figura del Delegado de Protección de Datos o Data Protection Officer (DPO). En primer lugar, debemos confirmar que no siempre es necesaria la figura de un delegado de protección de datos en nuestra organización, no obstante, aunque no sea obligatoria puede ser aconsejable tener a un experto en la materia que supervise nuestro tratamiento de la información de carácter personal, nos asesore y oriente en las medidas a corregir para cumplir con la legislación vigente.

Pero, exactamente, ¿cuándo es obligatoria la designación de un DPO?

El artículo 37 del RGPD fija la obligatoriedad de su designación en estos casos:

  1. Cuando el tratamiento de los datos sea realizado por un organismo público.
  2. Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  3. Si las actividades principales del responsable implican el tratamiento a gran escala de datos especiales (artículo 9 del RGPD) o personales referidos a condenas o delitos.

Por otro lado, en España se está elaborando una nueva LOPD que derogará la actual. En este caso, el Proyecto de Ley Orgánica de Protección de Datos, en su artículo 34, enumera una serie de entidades en las que será obligatoria la designación de un DPO. Sin embargo, debemos ser conscientes de que la fecha de publicación de la nueva Ley se desconoce, por tanto, su contenido no es vigente todavía y que como Proyecto aún puede sufrir algunas alteraciones.

No obstante, lo que señala el Proyecto es que la figura del DPO será obligatoria para algunas empresas, entidades y organizaciones

¿Para quién será obligatoria la figura del DPO según el proyecto de Ley?

  • Colegios profesionales
  • Centros docentes, que ofrezcan enseñanzas regladas y las Universidades públicas y privadas.
  • Prestadores de servicios de comunicaciones electrónicas, incluyendo las compañías telefónicas y los proveedores de acceso a Internet, siempre y cuando traten a gran escala perfiles.
  • Prestadores de servicios de la sociedad de la información, cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Entidades de crédito (bancos, las cajas de ahorros, las cooperativas de crédito y el Instituto de Crédito Oficial).
  • Empresas de fomento de la financiación empresarial.
  • Entidades aseguradoras.
  • Empresas de servicios de inversión que ofrezcan servicios de inversión bursátiles y de fondos de ahorro.
  • Distribuidores y comercializadores de electricidad.
  • Organizaciones que evalúan la solvencia patrimonial y crédito.
  • Se incluyen los responsables de los ficheros regulados por la Ley de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Empresas de publicidad y prospección comercial, incluyendo empresas que elaboren perfiles del consumidor.
  • Centros sanitarios.
  • Emisores de informes comerciales.
  • Operadores de juego electrónico.
  • Empresas de seguridad privada, actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada, así como también los despachos de detectives privados.

En cuanto al Perfil exigido para el Delegado de Protección de Datos, en el RGPD se establece que el DPO será designado o contratado según su capacidad para ejercer las atribuciones fijadas.

La figura del DPO, una figura con obligada experiencia en Protección de datos

Por lo tanto, para la designación del DPO se deberán tener en cuenta sus cualidades profesionales y, concretamente, sus conocimientos en materia de Derecho y protección de datos. Ser jurista sería recomendable, no obstante, no es obligatorio, lo esencial es la experiencia acreditada en materia de protección de datos, así como formación en la misma. El DPO podrá ser interno o externo a la empresa.

La autoridad de control española, la Agencia Española de Protección de Datos, siguiendo el ejemplo de sus homólogas europeas, ha promovido un modelo de certificación para que los interesados en ejercer dicha posición puedan acreditarse. La AEPD y la ENAC son las principales impulsoras de este esquema de certificación.

No obstante, hay que destacar que esta certificación no será obligatoria, si bien este sistema de certificación ofrece una seguridad y fiabilidad para las empresas en cuanto a que todos aquellos que superen este esquema de certificación contarán con los conocimientos y aptitudes necesarias para poder desempeñar su labor como DPO.

Sin embargo, debido a que se trata de un esquema de reciente creación a fecha de hoy aún no hay entidades acreditadas para esta actividad de certificación, únicamente, una primera autorización, que de momento es provisional, emitida por la Agencia Española de Protección de Datos.

Índice de Contenidos del Artículo

Categorías