SúperDPO

06/10/2016

Los profesionales de la protección de datos estamos de enhorabuena: hemos visto nacer a nuestro nuevo mesías, el Reglamento Europeo 2016/679 sobre Protección de Datos (RGPD para los amigos).

Lejos de abarcar en este post sobre las novedades que trae esta nueva regulación (que no son pocas…), nos centraremos en acercarles una figura de la que pronto todos oiremos en el mundo empresarial, y que se desarrolla en la mencionada normativa: el Data Protection Officer.

Qué es, quién es, qué hace, para qué…

El Data Protection Officer, DPO o Delegado de Protección de Datos, se define en el RGPD como la figura interna de la empresa (con carácter de figura independiente y sin subordinación jerárquica, salvo a la alta dirección, ante la que debe dar cuenta directamente de su labor) o externa, en el marco de un contrato de servicios; la cual tendrá que supervisar, informar y asesorar a la empresa y a los empleados que traten datos personales, de las obligaciones que este nuevo reglamento impone, así como otras disposiciones y leyes complementarias.

Eso sí, deberá ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. ¿Qué quiere decir esto? Pues que no cualquiera puede ser DPO…

El DPO pasa a ser un profesional regulado, con un estatus dentro de la organización, una figura independiente que ejerza sus funciones y que sea oído en la organización (spoiler: las sanciones por incumplimiento del RGPD aumentan de forma significativa, pudiendo llegar a ser hasta de 20.000.000€ o del 4% de la facturación anual de la empresa, la cantidad que sea mayor).

El artículo 29, enumera las funciones que tendrá esta nueva figura (reproducción literal):

Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.

Cooperar con la autoridad de control.

Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Te suena de algo, ¿verdad? El DPO viene a ser lo que hoy en día se conoce como un Asesor en Protección de Datos. La diferencia estriba en que ahora esa figura está reglada, ya no vale cualquier asesor. Si su empresa quiere tener un DPO tiene que tener unas características específicas.

Vale, pero, ¿todas las empresas tienen que contar con un DPO? No, es obligado tener un DPO cuando:

El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

No obstante, sí que se aconseja que las empresas de gran tamaño, aquellas que traten datos de forma continua, que cuenten con varios establecimientos, grupos de empresas, etc. cuenten con un DPO que centralice las funciones relacionadas con la protección de datos, haciéndola más efectiva, de forma que permita lograr un mayor control sobre los datos en la organización. Que actúe de manera proactiva y preventiva, lo que permitirá prever situaciones que comprometan la seguridad de los datos, así como mantener un sistema de alerta eficiente y, por consiguiente, reaccionar con prontitud y eficacia ante cualquier tipo de reclamación, incidencia o situación potencialmente adversa, evitando malas prácticas que puedan empañar la imagen de la empresa.

Hay que tener claro que el abordar la gestión de los datos personales desde una perspectiva jurídico-técnica especializada no solo aportará seguridad ante la posible aparición de denuncias y procesos sancionadores, sino que permitirá obtener a las empresas herramientas y procedimientos internos que mejorarán la eficiencia en la gestión de los datos (inventarios actualizados y precisos del sistema informático, protocolos de actuación específicos para acciones concretas, concreción de tareas y responsabilidad en la gestión de los datos, eliminación de documentación superflua y desactualizada, registro y análisis de incidencias, etc.).

De cara al cliente, la figura del DPO ofrece también una imagen de profesionalidad, seguridad y confianza mayores, tanto por la calidad y claridad de la información que se le proporcionará al recoger sus datos, como por la seguridad de contar con mecanismos eficientes de reclamación al respecto.

Al contar con esta figura, se descargará de trabajo al personal interno que ha sido designado para la coordinación de las acciones de adecuación a la LOPD y LSSICE que actualmente se llevan a cabo (o que se deberían estar llevando…), limitándose su participación a lo estrictamente relacionado con su labor, con lo que se reducirán cargas administrativas que entorpezcan el desarrollo del trabajo habitual de los diferentes departamentos.

A modo de eslogan podemos concluir que:

No se la juegue, si su organización tiene una estructura compleja, cuente con un DPO en su empresa.

Otro día seguiremos desmigajando otros aspectos que se regulan en este nuevo reglamento…

Idaira Hernández Peraza

Directora de Consultores Peraza & Asociados, S.L.

Fuente de fotografía: Google Imágenes etiquetada para reutilización

Cookies técnicas Las cookies técnicas o necesarias son esenciales para que nuestra web pueda funcionar correctamente e incluye funcionalidades básicas como identificar la sesión o dar acceso a los usuarios registrados a zonas de acceso restringido. Por estos mótivos las cookies técnicas no se pueden desactivar.
Cookies de estadísticas Utilizamos cookies de tipo estadístico para ver como interactúas con la página web, reuniendo información anónima durante el tiempo que navegas por ella. La finalidad de recabar esta información es la de introducir mejoras en la web en función del análisis de los datos agregados.
Cookies de preferencia Al utilizar cookies de preferencias, la página web puede recordar información durante tu tiempo de navegación asociada a la forma en que la página se comporta o el aspecto que tiene, como tu idioma preferido o la región en la que te encuentras.
Cookies de marketing Las cookies de marketing o publicitarias se utilizan para analizar tu comportamiento mientras visitas la página web y para que, de forma puntual, otros proveedores puedan ofrecerte publicidad personalizada y relevante atendiendo a tu perfil de navegación.