La protección de datos de carácter personal es un asunto que cobra cada día más relevancia en la sociedad actual. Más aún cuando nos encontramos inmersos en plena era de la tecnología y de la información. Por su importancia son muchas las normas y reglamentos que se dictan al respecto. El último ha sido la obligación de incluir en las empresas un delegado de protección de datos. ¿Quién es el Delegado de Protección de Datos o DPO realmente?
No en vano se trata de un asunto que puede incluirse dentro de la protección del derecho fundamental a la intimidad, del que disponemos todos los ciudadanos.
Sobre esta figura específica, el delegado de protección de datos o DPO, vamos a tratar en el presente post. En él vamos a explicar para qué sirve y de dónde viene este nuevo cargo. ¡Toma nota!
¿Quién es el Delegado de Protección de Datos o DPO y para qué sirve?
El 14 de abril de 2016 el Parlamento Europeo dio el visto bueno definitivo para la aprobación del Reglamento General de Protección de Datos (RGPD).
El nuevo texto incluye diversas novedades, entre ellas la obligatoriedad de designar un delegado de protección de datos por las empresas y Administraciones Públicas.
El nombre elegido, «Delegado de Protección de Datos», procede del inglés Data Protection Officer (de ahí las siglas que lo representan DPO).
Se trata de una figura nueva en nuestro país pero que lleva siendo efectiva desde hace años en muchos de nuestros países vecinos de la Unión Europea.
Alemania fue el primer estado en implantar a este representante en su sistema nacional al incluirlo en la Ley Federal de Protección de Datos del año 1977.
Unos años más tarde, en 1995, fue precisamente el país, ahora presidido por Angela Merkel, el que luchó para que esta figura se incluyese en la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
Poco a poco se ha ido insertando este representante en otros países europeos hasta hoy, momento en que el Reglamento General de Protección de Datos obliga a los países de la UE a que las empresas designen uno.
¿Quién está obligado a designar un Delegado de Protección de Datos?
La obligatoriedad de la mencionada designación no es en términos generales. El artículo 35 del Reglamento europeo establece que el responsable del tratamiento designará un delegado de protección de datos cuando:
- El tratamiento sea llevado a cabo por una autoridad u organismo público.
- El tratamiento de datos se realice por una empresa que cuente con 250 empleados o más.
- El responsable del tratamiento de datos desarrolle actividades que consistan en operaciones de tratamiento que por su naturaleza, alcance o fines requieran un seguimiento periódico de los interesados.
Por lo tanto, las empresas privadas deben designar un delegado de protección de datos siempre que tengan más de 250 empleados y/o que sus actividades principales lleven a cabo un tratamiento que requiera seguimiento de los interesados.
Si se trata de un grupo de empresas que pertenecen a un mismo dueño o sociedad, basta con que se designe un delegado de protección de datos para todo el grupo empresarial.
El DPO debe ser seleccionado teniendo en cuenta sus cualidades como profesional, así como sus conocimientos especializados en derecho, legislación y experiencia en materia de protección de datos.
Del mismo modo el responsable del tratamiento debe valorar la capacidad para desempeñar las funciones del candidato para llevar a cabo las tareas que se le encomiendan en este puesto.
Una vez designado, el delegado de protección de datos debe cumplir su mandato por un tiempo mínimo de 2 años.
El responsable del tratamiento solo puede prescindir de su DPO si éste deja de cumplir las condiciones necesarias para llevar a cabo sus funciones.
Sectores que están obligados a designar un DPO (Delegado de Protección de Datos)
Como hemos avanzado antes, existen sectores que debido a la naturaleza de los datos que tratan, su alcance o fines están obligados a incorporar esta figura:
- Centros de enseñanza
- Centros sanitarios
- Colegios profesionales
- Compañías dedicadas a la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos
- Compañías financieras de crédito (Bancos)
- Empresas cuya actividad sea la explotación de redes y prestación de servicios de comunicaciones electrónicas. Por ejemplo, empresas de telecomunicaciones.
- Empresas cuya principal actividad consista en emitir informes comerciales referidos a personas físicas.
- Empresas de crédito.
- Empresas de seguros
- Empresas de servicios de inversión
- Empresas responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
- Entidades de seguridad privada
- Entidades distribuidoras y comercializadoras de energía eléctrica y de gas natural
- Organismos cuyas actividades principales sean la publicidad y prospección comercial
- Sociedades prestadoras de servicios de la sociedad de la información cuando se dediquen a elaborar perfiles de los usuarios del servicio a gran escala. En este caso podemos poner como ejemplo a empresas de marketing y publicidad online.
- Universidades
¿Qué funciones tiene el DPO?
El Delegado de Protección de Datos debe desempeñar sus tareas con independencia, es decir, sin que se le dé ninguna instrucción para el desarrollo de sus funciones.
El responsable del tratamiento debe adoptar las medidas necesarias para que lo descrito en el párrafo anterior se cumpla.
En el mismo sentido, el responsable debe facilitar los recursos necesarios al DPO para que éste pueda desarrollar adecuadamente sus funciones.
Las tareas mínimas o actividades responsables del delegado de protección de datos son las siguientes:
- Informar y asesorar al responsable o alto nivel jerárquico del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General de Protección de Datos. El delegado debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas.
- Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Dentro de este apartado se incluyen:
- La asignación de responsabilidades.
- La formación del personal que participa en las operaciones de tratamiento.
- Las auditorías correspondientes.
- Supervisar la aplicación del Reglamento General de Protección de Datos y en particular de los requisitos relativos a la protección de datos desde:
- El diseño.
- La protección de datos por defecto.
- Seguridad de los datos.
- Información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos.
- Velar por la conservación de la documentación.
- Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
- Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
- Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento.
Estas son las funciones mínimas que el responsable, o encargado, del tratamiento de datos puede encomendar al delegado de protección de datos designado por él mismo.
Según la Agencia Española de Protección de Datos (AEPD) el DPO ejerce una función fundamental al hacer de interlocutor para facilitar la adopción de las medidas protectoras en el seno de las entidades.
Ahora ya sabéis que existe un nuevo perfil jurídico que las empresas están obligadas a contratar siempre que manejen datos personales o cuenten con más de 250 empleados.
Cabe resaltar, como hemos indicado al inicio de este post, la importancia del cumplimiento de las normativas vigentes en materia de protección de datos.
Las sanciones previstas para los casos de infracción de las mencionadas leyes oscilan desde los 900 hasta los 600.000 euros.
Por este, y otros motivos, debes asegurarte de que tu empresa está correctamente adaptada a la legislación.
Recuerda que en tugesto nos ocupamos de que todo en tu negocio esté al día. Conoce nuestro software LOPD y no tendrás que volver a preocuparte. Nuestro equipo cuenta con años de experiencia en la gestión de la LOPD y RGPD en España.
Artículos, guías, recursos y consejos de expertos.
