Con la aprobación del Reglamento General de Protección de Datos (en adelante, RGPD) por el Consejo y el Parlamento Europeo el pasado 14 de abril, surge una nueva figura, desconocida hasta ahora en nuestra legislación en materia de Protección de Datos. Se denomina “Data Protection Officer” o, lo que es lo mismo, Delegado de Protección de Datos.
Es uno de los cambios más importantes y novedosos que establecen los artículo 37-39 del nuevo Reglamento Europeo de Protección de Datos. Así, el Delegado de Protección de Datos, se prevé como fundamental para garantizar el cumplimiento por parte de empresas y entidades de la normativa sobre Protección de Datos y se considerará como intermediario entre el responsable del fichero, el encargado del tratamiento y las autoridades encargadas de controlar el cumplimiento de la ley.
Podemos definir al Delegado de Protección de Datos como la persona con capacidad y experiencia que se designa por un dirigente con competencia o por una empresa para revisar, examinar y evaluar con coherencia los resultados del tratamiento de datos de carácter personal en una entidad o empresa con el propósito de informar o dictaminar acerca de estos, realizando las observaciones y recomendaciones necesarias para mejorar su eficacia y eficiencia en su desempeño.
Características del Delegado de Protección de Datos:
Es obligatorio en ciertos casos:
Existe así la obligación de contratar un Delegado de Protección de Datos (DPO) en organizaciones e instituciones públicas y en entidades con más de 250 trabajadores. En el caso de entidades con menos de 250 empleados, será obligatorio el DPO cuando necesiten un seguimiento sistemático y periódico de los datos personales tratados para la monitorización o investigación de mercados, análisis de riesgos o datos crediticios o de solvencia patrimonial, así como cuando traten los citados datos catalogados de especialmente protegidos.
Las entidades podrán determinar y ampliar las funciones de los Delegados de Protección de Datos, que deberá tener al menos los siguientes cometidos:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de los datos personales de las obligaciones que les incumben en virtud del Reglamento y otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el Reglamento, en otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le pida acerca de la evaluación de impacto relativa a la protección de datos y supervisar su realización;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para las cuestiones relacionadas con el tratamiento de datos personales incluida la consulta previa, y consultar en su caso, sobre cualquier otro asunto.
Mandato del Delegado de Protección de Datos:
El DPO, que podrá ser contratado laboralmente (a tiempo parcial o completo) o mediante un contrato de prestación de servicios, ocupará su cargo durante:
- 4 años si se trata de un trabajador.
- 2 años si se trata de un externo.
Una vez concluido el término del mandato, éste podrá renovarse (la propuesta de Reglamento no indica un número máximo de renovaciones, por lo que, se considera que el DPO puede ser renovado tantas veces como se desee).
Cabe decir, que un trabajador o externo, puede realizar más funciones que las propias del DPO, o incluso ser DPO para diferentes empresas o administraciones públicas.
Independencia del Delegado de Protección de Datos (DPD):
El DPO podrá pertenecer a la plantilla del responsable o del encargado del tratamiento o desempeñar las funciones de delegado en el marco de un contrato de servicios. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.
El RGPD aclara que el responsable o el encargado velarán por que el DPO sea plenamente independiente y no reciba ninguna instrucción en lo que respecta al ejercicio de estos cometidos. No será destituido ni sancionado por el responsable o el encargado del tratamiento por desempeñar sus cometidos. El delegado de protección de datos informará directamente al más alto nivel de dirección del responsable o del encargado del tratamiento.
Los requisitos para ser Delegado de Protección de Datos son:
a) Amplia experiencia y conocimiento de la materia y de la interpretación y adecuación práctica para aplicar la normativa sobre protección de datos, incluyendo medidas de seguridad en todos los procesos técnicos y administrativos y de desarrollo de la empresa.
b) Conocimiento concreto de la materia aplicado a los diferentes sectores.
c) Experiencia y Capacidad para asistir a la razón social ante inspecciones, requerimientos de las autoridades competentes y cualquier tipo de consulta de los terceros afectados por el tratamiento de datos de la razón social.
d) Habilidades de Negociación, Formación y empatía para trabajar con representantes de trabajadores, y por supuesto con los propios trabajadores de la empresa.
En conclusión, el nuevo Reglamento Europeo de Protección de Datos otorga amplias funciones para que el Delegado de Protección de Datos cumpla todas las funciones y requisitos mencionados y garantice la adaptación de la nueva normativa a la empresa. A pesar, de que ésta figura, tiene una posición muy clara en el nuevo Reglamento seguirá desarrollándose hasta su entrada en vigor el 25 de mayo de 2018.