El reglamento europeo lo introduce de una forma un tanto genérica y por ello existe una gran confusión alrededor de esta nueva figura, la cual, está siendo mitigada sólo en parte con las especificaciones añadidas por la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

¿Tienes un negocio y estás dudando sobre si tienes obligación de contratar los servicios de DPO?

No te preocupes, en las siguientes palabras solventaremos todas tus dudas sobre el DPO.

Los servicios profesionales a prestar por JMSM PRIVACY CONSULTING consistirá en términos generales:

Nueva normativa reguladora

En abril de 2016, el Parlamento Europeo aprobó un Reglamento sobre Protección de Datos (RGPD) que sustituye a la anterior Directiva de 1995 y armoniza la normativa para toda la Unión Europea.

Un Reglamento, al contrario que una Directiva, es de aplicación directa en los Estados miembros y no necesita otras leyes nacionales que lo desarrollen.

El RGPD entrará en vigor en mayo de 2018 e implica nuevas obligaciones en materia de protección de datos tanto para las empresas como para las Administraciones Públicas.

En el contexto español, conlleva la actualización de la normativa nacional, por lo que se está elaborando una nueva LOPD para dar cabida a los nuevos conceptos.

¿Qué es el Delegado de Protección de Datos?

Una de las principales novedades que implica el Reglamento es la creación de la figura del Delegado de Protección de Datos (data protection officer).

El DPO, es en gran medida, la persona encargada informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos.

También por tanto deberá velar o supervisar el cumplimiento normativo así como de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de datos.

Por lo tanto esta claro que la nueva normativa convierte al DPO en una figura muy importante para la empresa.

En consecuencia, para el buen desarrollo de sus funciones (de las cuales hablaremos en el siguiente apartado) se le deberá dotar de los recursos necesarios para llevar a cabo su trabajo con plenas garantías y la suficiente estabilidad.

Se debe destacar también que los datos de contacto deben ser públicos, para que interesados y supervisores puedan contactar con él de manera directa y confidencial.

Funciones del Delegado de Protección de Datos

Las Funciones del Delegado de Protección de Datos están expresamente reguladas en el artículo 39 del RGPD, el cual, establece sus obligaciones mínimas:

  1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados de las obligaciones que les incumben en todo lo relacionado con la implantación de políticas de Protección de Datos
  2. Comprobar el cumplimiento del RGPD, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes
  3. Ofrecer el asesoramiento relativo a las evaluaciones de impacto y la supervisión del cumplimiento normativo de su aplicación interna
    • Debe informar y asesorar al responsable o al encargado del tratamiento de las obligaciones normativas en protección de datos que les incumban.
    • Tiene que asesorar tanto al responsable como al encargado acerca de la evaluación de impacto que realice  relativa a la protección de datos.
    • Asesorar a los empleados durante el tratamiento de datos.
    • Supervisar el adecuado cumplimiento de las normas sobre protección de datos en la entidad.
    • Revisar las políticas internas de privacidad en la organización y su adecuación normativa.
    • Asignar responsabilidades entre los miembros de la organización, respecto a las obligaciones en materia de protección de datos.
    • Realización de acciones de concienciación internas respecto al cumplimiento efectivo de la normativa.
    • Formar al personal que participa en las operaciones de tratamiento de datos.
    • Supervisar las evaluaciones de impacto en la protección de datos.
    • Control, coordinación y verificación de las medidas de seguridad aplicables.
  4. Cooperar con las Agencias Autonómicas y con la Agencia Española de Protección de Datos
  5. Atender las consultas que los interesados realicen a la entidad, ya sea para cuestiones relativas al tratamiento de sus datos o para el ejercicio de sus derechos.
  6. Actuar como enlace con la autoridad de control para cuestiones relativas al tratamiento y la realización de consultas.
    • Actuar como punto de contacto con la Agencia Española de Protección de Datos para las cuestiones relacionadas con el tratamiento de datos personales, incluyendo la consulta previa.
    • Cooperar con la autoridad de control.

¿Cuándo es obligatorio?

Tanto el propio Reglamento Europeo, como la Ley de Protección de Datos (en su artículo 34), definen los supuestos en los que tenemos la obligación de designar un DPD, ya sea un empleado de nuestra empresa, o bien contratando dichos servicios a alguna entidad externa, a través de un contrato de servicios.

Una empresa está obligada a disponer de un Delegado de Protección de Datos cuando:

  • El tratamiento lo lleve a cabo una autoridad pública, excepto los tribunales que actúen en ejercicio de su función judicial
  • Las actividades principales del responsable o del encargado consistan en operaciones que requieran una observación habitual y sistemática de interesados a gran escala, o
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos, es decir:
    • Origen étnico o racial
    • Opiniones políticas, convicciones religiosas o filosóficas
    • La afiliación sindical
    • El tratamiento de datos genéticos o datos biométricos dirigidos a identificar a una persona física
    • Datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física
    • Condenas e infracciones penales o medidas de seguridad conexas

Para los grupos empresariales, se permite de forma expresa nombrar a un único Delegado de Protección de Datos para todas sus entidades integrantes, siempre que resulte viable el ejercicio de su función en todas ellas.

Lo mismo sucede cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se permite nombrar a uno solo para varios organismos dependientes, teniendo siempre en cuenta su estructura organizativa y tamaño.

Como ya mencionamos anteriormente, el delegado de protección de datos podrá ser un empleado asalariado del responsable o del encargado del tratamiento, o bien, desempeñar sus funciones a través de un contrato mercantil de servicios.

Es importante tener en cuenta que el RGPD, impone la obligación de que los datos de contacto del delegado de protección de datos sean comunicados a la autoridad de control (Agencia Española de Protección de datos o sus homónimas autonómicas), de tal forma, que éste será identificado por la Agencia y actuará como interlocutor entre la AEPD y el responsable o encargado del tratamiento.

Por su parte, y dado que el RGPD había sido quizás demasiado genérico, la LOPD-GDD ha concretado caso por caso, quienes deberán nombrar un DPD de forma obligatoria:

  1. Los colegios profesionales y sus consejos generales. Son asociaciones de carácter profesional o gremial integrada por quienes ejercen una profesión liberal y que suelen estar amparados por el Estado.
  2. Los centros docentes y las Universidades públicas y privadas.
  3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas. Aquí se incluyen las compañías telefónicas y los proveedores de acceso a Internet, siempre y cuando traten perfiles a gran escala.
  4. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio
  5. Las entidades de ordenación, supervisión y solvencia de entidades de crédito. Estamos hablando de entidades de crédito como los bancos, las cajas de ahorros, las cooperativas de crédito y el Instituto de Crédito Oficial.
  6. Los establecimientos financieros de crédito.
  7. Las entidades aseguradoras y reaseguradoras
  8. Las empresas de servicios de inversión. Son las que ofrecen servicios de inversión bursátiles y de fondos de ahorro.
  9. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural
  10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
  11. Las entidades que desarrollen actividades de publicidad y prospección comercial. Se incluyen aquellas empresas que se dediquen al marketing elaborando perfiles del consumidor.
  12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes; excepto los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas física
  14. Los operadores que desarrollen la actividad de juego a través de canales telemáticos o interactivos. En este caso incluimos a las entidades que ofrecen apuestas deportivas online, así como también juegos de casino.
  15. Las empresas de seguridad privada. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada. Se incluyen en este caso empresas que proporcionan seguridad privada así como también los despachos de Detectives Privados.
  16. Las federaciones deportivas cuando traten datos de menores de edad
  17. Distribuidores y comercializadores de electricidad. En este caso no solo comprendemos a las compañías eléctricas, sino también a las entidades que venden al público esa electricidad.

Perfil del Delegado de Protección de Datos

Como es lógico, no podemos designar a cualquier persona sin tener en cuenta su formación y su experiencia profesional.

En este sentido tanto el RGPD  en el artículo 37, en sus puntos 5 y 6, como la Ley Española de Protección de Datos, establecen los requisitos que una persona debe cumplir para poder ser nombrado DPO de una empresa.

Por lo tanto para esa designación  se deberán tener en cuenta sus cualidades profesionales y, concretamente, de sus conocimientos en materia de Derecho y protección de datos.

Ser jurista sería recomendable, no obstante no es obligatorio.

El artículo 37.5 del RGPD dispone que el delegado de protección de datos será designado atendiendo a:

  1. Sus conocimientos especializados del Derecho
  2. La experiencia práctica en materia de protección de datos
  3. Su capacidad para desempeñar las funciones mínimas a las que hacíamos referencia en el primer apartado de este artículo.

A su vez la LOPD-GDD española, añade que esos requisitos podrán demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación, que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho.

A continuación vamos a deternos de forma específica en cada de esos requerimientos.

Certificación

La autoridad de control española, siguiendo el ejemplo de sus homólogas europeas, ha promovido un modelo de certificación de Delegado de Protección de Datos para que los interesados en ejercer dicha posición puedan acreditarse.

La AEPD y la ENAC son las principales impulsoras de este esquema de certificación.

No obstante hay que destacar que esta certificación no será obligatoria, si bien este sistema de certificación ofrece una seguridad y fiabilidad para las empresas en cuanto a que todos aquellos que superen este esquema de certificación contarán con los conocimientos y aptitudes necesarias para poder desempeñar su labor como DPO.

Conocimientos Jurídicos

A raíz de la referencia expresa a una titulación universitaria que hace la LOPD-GDD, puede entenderse que el DPO en primer lugar deberá ser licenciado/graduado en Derecho.

No obstante, por la propia materia objeto de trabajo, también resulta muy importante que el DPO tenga un perfil de carácter técnico, habida cuenta que con las nuevas tecnologías, cualquier implantación de políticas de protección de datos, va a requerir de medio telemáticos que permitan desarrollarla, y por ello, está persona deberá colaborar de forma estrecha con quién preste el servicio técnico de página web, programas de gestión etc dentro de esa entidad.

Experiencia práctica en protección de datos

Resulta evidente que al margen de un titulación académica, es necesario llevar esos conocimientos que se han adquirido a la vida real.

Es por esto, que la normativa aplicable nos requiere unos conocimientos de índole práctica que nos habiliten para ser nombrados como DPO, que a fin de cuentas será el asesor principal en materia de protección de datos de esa entidad.

Capacidad para ejecutar sus funciones mínimas

Esa capacidad en todo caso se refiere no sólo a su formación y aptitudes profesionales, sino también a su posición dentro de la estructura organizativa de la entidad.

Entre esas cualidades deberían estar presentes al menos:

  • Ética Profesional
  • Conocimiento sobre el sector empresarial y organización corporativa interna
  • Buena capacidad comunicativa, habilidad negociadora y trabajo en equipo
  • Manejo de diferentes idiomas
  • Proactividad
  • Independencia para trabajar sin supervisión continua.