El nuevo Reglamento general de protección de datos tiene como objetivo poner fin a la fragmentación legislativa en materia de protección de datos en los países de la Unión Europea dificultando muy a menudo la libre circulación de los datos en el territorio europeo.
Una novedad del Reglamento es la figura del Delegado de Protección de Datos (Data Protection Officer -DPO) que ha sido objeto de intensos debates en la gestación del Reglamento por las posiciones encontradas y los criterios sobre si debía ser o no una figura obligatoria.
La redacción definitiva (artículo 37 y siguientes) ha consagrado la figura del DPO como obligatoria en determinadas circunstancias.
¿Qué es un DPO?
En realidad estamos ante el desarrollo de lo que es actualmente el Responsable de Seguridad (o debería de ser). Se trata de la persona o personas encargadas de supervisar el cumplimiento de lo dispuesto en el Reglamento y de las políticas que en cada caso tenga establecidas el responsable del tratamiento, informando y asesorando.
¿Es un empleado del responsable del tratamiento?
No necesariamente. El texto del Reglamento permite flexibilidad y puede tratarse tanto de un empleado como de una persona unida al responsable por un contrato de servicios.
¿Cuáles son las funciones del DPO?
Según el texto literal del Reglamento:
- informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
- supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
- ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
- cooperar con la autoridad de control;
- actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
¿En qué casos será obligatorio designar un DPO?
Finalmente y como no podía ser de otra forma, la figura del DPO sólo será obligatoria en determinadas circunstancias: básicamente cuando el tratamiento de datos bien por volumen o bien por la sensibilidad de los datos tenga cierta relevancia. En concreto:
- el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
- las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
- las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
Esto significa que habrá que tener claro que no se trata del tamaño de una compañía sino de los datos que procese. Ahora bien ¿entraría dentro del apartado b) la actividad de cualquier empresa que recopila los datos de sus consumidores digamos por ejemplo para promociones de producto? ¿En qué consiste exactamente el ´termino “a gran escala”?. Esta y otras cuestiones deberán ser convenientemente interpretadas pero lo cierto es que si actualmente en casi todas las organizaciones de mediano tamaño se ha designado la figura de un Responsable de Seguridad, no hay motivo para no designar un DPO con funciones bien definidas y con las dotaciones presupuestarias adecuadas para velar por el buen cumplimiento de la Ley.
Otras cuestiones
Igualmente puede desempeñar esta función en conjunción con otras o en exclusiva. Nuevamente todo dependerá de la organización y del volumen de trabajo.
Lo que parece claro es que no podrá ser destituido por cumplir sus funciones y en este punto, que sobre el papel puede no decir nada, a menudo encontramos el choque frontal entre los intereses del propio responsable y las limitaciones legales que serán puestas de manifiesto por el DPO. De hecho, deberá ser independiente y no recibir instrucciones sobre sus funciones.
Aunque el DPO será el responsable de las anteriores funciones, la responsabilidad última será del responsable del tratamiento y de hecho y en principio el DPO no tendrá responsabilidad a menos que se demuestre que ha hecho dejación clara de sus funciones.
¿Quién puede ser DPO?
En principio cualquiera. Sin embargo esta afirmación puede ser una temeridad pues las funciones que el nuevo texto le atribuye son lo suficientemente importantes como para que estemos ante un profesional con conocimientos de la materia.
Caminamos hacia la profesionalización de este tipo de figuras (al igual que sucederá con los responsables de Compliance o Compliance Officer cuya responsabilidad debe recaer en alguien que reúna las características de independencia, jerarquía, conocimiento de la materia y de la organización y dotación de medios. Sin estos requisitos el desempeño de las funciones será muy complicada.
Nos encontramos por lo tanto ante una nueva figura profesional que para quienes desarrollamos nuestra profesión en este ámbito se nos abren oportunidades profesionales y de negocio.
La privacidad es algo muy serio y la figura del Delegado de Protección de Datos deberán tomársela en serio en las organizaciones.
Comentarios
No hay comentarios