¿Qué es un DPO en protección de datos y qué funciones tiene?

El Reglamento General de Protección de datos (RGPD), vigente desde mayo de 2018, introdujo la figura del DPO. En otras palabras, un Delegado de Protección de Datos (Data Protection Officer por sus siglas en inglés). Un cargo clave para el cumplimiento de las disposiciones contempladas en este reglamento jurídico en empresas e instituciones. Un DPO tiene como objetivo actuar como asesor legal en materia de gestión de datos. Menuda tarea, teniendo en cuenta lo complejo que puede resultar la interpretación del cuerpo de artículos. Así como su aplicabilidad a las tareas diarias de tratamiento de la información por parte de las organizaciones.

Desde Legal Veritas queremos que entiendas la importancia de contar con este delegado en tu compañía y que conozcas el perfil que debería tener. Por esta razón decidimos escribir este artículo.

¿Qué es un DPO?

Un Delegado de Protección de Datos o DPO es la persona encargada de hacer cumplir el reglamento de protección de datos en las empresas. Este cargo puede ser interno o externo a tu negocio. Además, debe tener conocimientos muy amplios sobre Derecho. En particular sobre la práctica del tratamiento y seguridad de los datos. Algunos especialistas opinan que para este puesto no es obligatorio contar con certificaciones al respecto. Sin embargo, en Legal Veritas pensamos que teniendo de por medio una entidad legal tan delicada, tu organización no debería dejar espacio a la improvisación.

Es relevante subrayar que el delegado al que nos referimos ha de mantener una relación cercana con el responsable del tratamiento de datos. Al mismo tiempo que con el encargado de esta actividad y los integrantes del departamento al que se asigne dicha tarea. Al respecto, resulta pertinente diferenciar las figuras de responsable y encargado del tratamiento de datos, según el RGPD.

En primer lugar, de acuerdo con el artículo 4.7,  el responsable del tratamiento es la persona natural o jurídica, autoridad pública, servicio o ente que, solo o en asociación con otros, establece los objetivos y medios del tratamiento.

Por su parte, el encargado del tratamiento, de acuerdo con el artículo 4.8, es “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

Perfil del delegado de protección de datos

En relación con lo anterior estamos de acuerdo con quienes definen un perfil más completo del delegado al que nos referimos. En tal sentido, el DPO debería tener un nivel de especialización adecuado a las operaciones de tratamiento de la información que se realizan en la empresa. Aquí incluimos el conocimiento sobre la seguridad y confidencialidad requeridas para los datos personales gestionados.

Por estos motivos, un delegado de protección de datos debería:

• Ser especialista en las legislaciones y prácticas tanto nacionales como europeas en materia de protección de datos. Recordemos que, aparte del RGDP, también existen leyes y reglamentos en España que regulan la materia. En concreto, la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI).
• Comprender por completo el ámbito y la aplicación del RGPD.
• Conocimientos y destrezas amplias y actualizadas en tecnologías de la información, ciberseguridad y protección de datos.
• Entender las operaciones de tratamiento efectuadas en las organizaciones en general y particularmente las de la empresa o institución para la que preste servicio.
• Conocimiento y comprensión del ámbito empresarial y de la compañía.
• Habilidad de comunicación, empatía y capacidad de convicción para impulsar una cultura de protección de datos en la empresa.

¿Cuáles son las funciones que debe cumplir un DPO?

Según el artículo 39 del RGDP, el DPO deberá cumplir con los siguientes lineamientos:

• Debe informar y brindar asesoramiento al encargado y a los trabajadores asignados al tratamiento sobre las obligaciones que les competen en concordancia con el reglamento. Al igual que con varias disposiciones inherentes a la protección de datos de la UE o de los estados miembros.
• El delegado deberá supervisar el cumplimiento de lo establecido en el RGDP. Incluso, también de algunas disposiciones en la materia que nos ocupa tanto de la UE como de los estados miembros. Por otro lado, monitorizará la aplicación de las políticas de protección de datos por parte del responsable y/o del encargado del tratamiento de información personal. Esto incluye, asignar responsabilidades, concientizar y formar al personal que participe en estas operaciones. Y al mismo tiempo realizar las auditorías correspondientes.
• También deberá ofrecer el asesoramiento que le pidan sobre la evaluación de impacto relativo a la protección de datos. Mientras supervisa su aplicación y coopera igualmente con la autoridad de control.
• Además, deberá actuar como un punto de contacto de la autoridad de control para cuestiones o temas relativos al tratamiento de datos. Por autoridad de control entenderemos a la autoridad pública independiente dispuesta por un Estado miembro conforme a lo dispuesto en el artículo 51 sobre el nombramiento de tal cargo.

¿Qué entidades necesitan de un DPO?

No todas las organizaciones requieren de un DPO. Sólo será necesario designar a un delegado de protección de datos cuando:

1. El tratamiento de los datos sea efectuado por una autoridad u organismo público, a excepción de los tribunales que ejerzan su función judicial.
2. Todas las actividades principales del encargado se basan en las operaciones del tratamiento de datos ya sean por razón de su naturaleza, alcance o cualquier otro fin, requieran alguna observación habitual y sistemática de interesados a una mayor escala.
3. Aquellas labores principales del encargado que tengan que ver con el tratamiento de datos a mayor escala en las categorías especiales de los datos personales con ajustes al artículo 9 y de los datos relacionados a condenas e infracciones penales que se mencionan en el artículo 10.
4. De todas las entidades que existen, sólo se nombrará a un delegado de protección de datos en: distribuidores y comercializadoras de energía eléctrica o de gas natural.
5. Aquellas entidades que se encarguen de los sistemas de información crediticia.
6. Entidades que se encarguen de desarrollar actividades de publicidad que incluyan análisis de preferencias o la elaboración de perfiles.
7. Centros sanitarios
8. Centros docentes capaces de ofrecer enseñanzas regladas
9. Universidades
10. Colegios profesionales y consejos generales
11. Entidades que se dediquen a la industria de los juegos online

Es importante destacar que los grupos empresariales podrán nombrar a un único DPO. Siempre y cuando éste sea accesible a cada compañía y/o establecimiento del consorcio.

Legal Veritas te ofrece un delegado de protección de datos externalizado

Tal como lo establece el artículo 37.6 del RGDP, el DPO puede formar parte de la plantilla de la empresa responsable o del encargado del tratamiento de datos. Pero también es válido que desempeñe sus funciones en el marco de un contrato de servicios.

En Legal Veritas sabemos que es difícil para pequeñas y medianas empresas, así como para autónomos contratar a un perfil como el que describimos arriba. Los costes de alta y las condiciones de trabajo que supone incorporar a un delegado de protección de datos al equipo son significativos. Aparte del salario mensual que debería devengar un profesional con las características ya nombradas.

Por todo esto, a nuestras funciones de consultoría y asesoramiento legal en materia de protección y tratamiento de datos, sumamos la designación de un DPO. Como integrante de nuestro grupo de abogados especializados, este asesor cumplirá en tu empresa las funciones que describimos previamente. Con todas las ventajas de un servicio de “pago por uso”.

Contacta con nosotros y te informaremos sobre las opciones para disponer un DPO para cubrir las necesidades de protección de datos para tu empresa