La figura del DPO aparece como novedad en el Reglamento (UE) 2016/679, de protección de datos personales, regulada en sus artículos 37 a 39.
Esta figura que podrá ser un trabajador de la empresa o externalizarse, mediante un contrato de outsourcing sobre la base de un contrato de prestación de servicios profesionales, actuará con independencia y autonomía, no pudiendo ser sancionado o removido de su puesto de trabajo –en el caso de un trabajador- por las decisiones que adopté en el desarrollo de sus funciones.
A esto se ha añadido la publicación, por la Agencia de Protección de Datos, de los requisitos para acceder a la certificación oficial como DPO. Para ello se deberá acreditar de modo previo experiencia contrastada en la materia, de entre tres y cinco años, que puede ser complementada con formación; una vez acreditado esto habrá que superar un examen en una Entidad Certificadora. En cualquier caso es muy importante señalar que esta Certificación no será Obligatoria para poder ser nombrado y ejercer como DPO.
Considerando lo anterior podría decirse que el hecho de que no se restrinja quién pueda ser DPO no significa, sin embargo, que pueda ser cualquiera. Queda claro que el Reglamento quiere que el DPO tenga un perfil jurídico, estableciéndose expresamente en el apartado 5, del artículo del artículo 37, que será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.
Cuándo se debe nombrar obligatoriamente un DPO:
1. El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
2. Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala; o
3. Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
El Proyecto de Ley que Reforma la actual LOPD señala algunos sectores en los que será obligatoria la figura del DPO:
Colegios profesionales
Centro docentes que ofrezcan enseñanzas regladas
Entidades que exploten redes y presten servicios de comunicaciones electrónicas
Prestadores de servicios de la sociedad de la información que recaben información de los usuarios
Entidades de crédito
Establecimientos financieros
Entidades aseguradoras y reaseguradoras
Entidades de solvencia patrimonial
Empresas de servicios de inversión
Distribuidoras y comercializadoras de energía eléctrica
Entidades que desarrollen publicidad y prospección comercial, incluyendo investigación comercial y de mercados
Centros sanitarios
Entidades que realicen informes comerciales de personas y empresas
Operadores de juegos online
Seguridad Privada
El Artículo 39 del Reglamento nos indica que el delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico de la empresa y sus funciones serán:
1. Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y documentar esta actividad y las respuestas recibidas.
En una muestra más de la independencia y responsabilidad que caracteriza el ejercicio de sus funciones, el DPO deberá generar y guardar toda la documentación relativa a su asesoramiento. Este material sería de trascendental importancia en caso de conflicto al intentar clarificar las responsabilidades sobre una actuación negligente en materia de privacidad.
2. Supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes
Formación interna y auditorías, dos elementos claves en políticas de privacidad.
3. Supervisar la implementación y aplicación del Reglamento Europeo de Protección de Datos, en particular, por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud del mencionado Reglamento europeo.
Es decir, supervisión desde el minuto inicial de cualquier tratamiento de datos, incluso en el diseño de aplicaciones. Especial atención a los derechos de los ciudadanos.
4. Velar por la conservación de la documentación contemplada en el artículo 28.
La documentación referida deberá contener, como mínimo, el nombre y los datos de contacto del responsable del tratamiento, el nombre y los datos de contacto del delegado de protección de datos, los fines del tratamiento, una descripción de las categorías de interesados y de las categorías de datos personales que les conciernen, los destinatarios o las categorías de destinatarios de los datos personales, las transferencias de datos a un tercer país o a una organización internacional, una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos, más la descripción de las medidas de seguridad.
5. Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
A dicha figura se le debe atribuir, por tanto, la responsabilidad de la comunicación tanto a las autoridades como a los directamente afectados a consecuencia de la brecha de seguridad producida.
6. Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consulta previas, si fueran necesarias.
En este sentido, son de su cometido los estudios previos a realizar cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines.
7. Supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia.
8. Actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia
Es, por tanto un intermediario en todas las comunicaciones entre responsable del fichero y las autoridades de control, manteniendo potestad de actuar a iniciativa propia, especialmente en lo que respecta a las consultas previas derivadas del art. 36, que son las que ha de realizar el DPO a la Autoridad de control si cree que un tratamiento y sus medidas de seguridad pueden causar algún daño a los derechos y las libertades de los titulares de los datos. En el proyecto de Ley Orgánica el DPO actuará como interlocutor del responsable ante la Agencia de Protección de Datos, será la voz autorizada de la empresa, y por ende la cadena de transmisión de las instrucciones de la Agencia en materia de protección de datos.
A todas estas obligaciones genéricas el actual esquema del DPO publicado por la Agencia Española de Protección de Datos añade las siguientes funciones:
Recabar información para determinar los tratamientos de datos personales
Analizar y comprobar que estos tratamientos están ajustados a Derecho
Informar, asesorar y emitir recomendaciones a la empresa
Supervisar (que no efectuar) el registro de actividades de tratamiento
Asesorar sobre la aplicación de los principios de Privacy by desing o by default
Asesorar sobre si debe o no realizarse un PIA (Evaluación de Impacto), la metodología, quién debe realizarlo, qué medidas de seguridad deben aplicarse y si se ha realizado correctamente el análisis de riesgos dentro del PIA y si el resultado de la evaluación de impacto es acorde con el Reglamento Europeo.
Centrar su actividad en los tratamientos que representen mayor peligro para los derechos y libertades.
Este próximo 23 de marzo, de 9.30 a 12.30 h, GRUPO GIE organiza un desayuno formativo para nuestros clientes donde os informaremos de las novedades en materia de protección de datos y responsabilidad penal de los administradores. Si estás interesado en acudir, contacta en secretaria@gie.es