El guardián de los datos de la empresa

La figura del Delegado de Protección de Datos (DPO) no es exactamente una figura nueva pero sí una figura clave en el nuevo Reglamento Europeo de Protección de Datos, que exige la necesidad de este responsable dentro de las empresas que reúnan ciertas condiciones.

No es exactamente una figura nueva porque a algunos organismos o empresas ya existía el Fecha Protection Officer o Chief Privacy Officer. Incluso los conocidos como Responsables de Seguridad, que tampoco eran exactamente el mismo pero que sí ostentaban funciones similares, a pesar de que no se encontraban tan tasadas como con el nuevo Reglamento.

Quién puede ser Delegado de Protección de Datos?

El Delegado de Protección de Datos es un profesional que tiene que ser designado teniendo en cuenta sus calidades profesionales, con conocimientos especializados en derecho y práctica en materia de protección de datos.

Puede ser un profesional interno o externo y tiene que llevar a cabo una serie de funciones , según el artículo 39 del Reglamento, como las siguientes:

1. Informar y asesorar el responsable o el encargado del tratamiento y los empleados que se ocupen del tratamiento, de las obligaciones que los incumben en virtud de este Reglamento y otras disposiciones de protección de datos de la Unión o de los estados miembros.
2. Supervisar el cumplimiento del que dispone el Reglamento, otras disposiciones de protección de datos de la Unión o de los estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
3. Ofrecer el asesoramiento que se le pida sobre la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
4. Cooperar con la autoridad de control.
5. Actuar como punto de contacto de la autoridad de control por cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, si se tercia, sobre cualquiera otro asunto.

De hecho, también se le asignan las siguientes obligaciones:

1. Valorar el impacto para la privacitat y protección de datos personales de los nuevos proyectos que quiera llevar a cabo la empresa, nuevos tratamientos o nuevas normas que afecten a la organización.
2. Centralizar la atención de los ejercicios de los derechos de los interesados y la atención de las reclamaciones formuladas por los interesados; o bien la supervisión de las incidencias que se puedan producir.
3. Centralizar las relaciones institucionales internas con los departamentos afectados por el cumplimiento normativo, es decir, con los responsables internos de los diferentes tratamientos (antes ficheros), con el departamento de informática; con Recursos Humanos, entre otros.
4. Coordinar los planes de auditoría.
5. Impulsar la adopción de medidas correctoras y de mejora para asegurar el cumplimiento.
6. Impulsar y promover buenas prácticas en protección de datos, así como promover e impulsar la formación, educación y concienciación en materia de protección de datos.

Además, tiene que llevar a cabo estas funciones prestando la correcta atención a los riesgos asociados a las operaciones de tratamiento; teniendo en cuenta su naturaleza, alcance, contexto y las finalidades del propio tratamiento, teniendo que responder ante el más alto nivel jerárquico del responsable del tratamiento o entidad que lo contrate, entre otros obligaciones.

Tiene que ser designado teniendo en cuenta sus calidades profesionales, con conocimientos especializados en derecho

Cuando hace falta un Delegado de Protección de Datos?

Por un lado, es obligatorio según el nuevo Reglamento disponer de un Delegado de Protección de Datos en los siguientes casos o cuando se dé alguna de las siguientes situaciones:

1. El tratamiento se lleve a cabo por una autoridad u organismo público, exceptuando los tribunales que actúen como consecuencia del ejercicio de su función judicial.
2. Cuando las actividades principales del responsable o encargado consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o hasta, requieran una observación habitual y sistemática de interesados a gran escala. El problema que se irá definiendo progresivamente es el que se entenderá por "observación sistèmica y progresiva". Veremos como se pronuncian las diferentes autoridades de protección de datos, el grupo de trabajo del artículo 29 o las diferentes legislaciones nacionales, en su caso, al respeto.
3. Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales de acuerdo con el artículo 9 del Reglamento y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10. En este punto, la clave será definir también, que se entiende por tratamiento a gran escala. No obstante, sobre este punto sí que encontramos un poco de luz al Considerando 91 del mismo Reglamento, donde se establece que un tratamiento a gran escala podría ser "cuando se afecte en un gran número de interesados y que aquello comporte alto riesgo para sus derechos y libertades"; "cuando se elaboren evaluaciones sistemáticas y exhaustivas de aspectos personales, por elaboración de perfiles o por el tratamiento de datos sensibles, biométricas o sobre condenas o infracciones penales u otras medidas de seguridad relacionadas"; "cuando haya control de zonas de acceso público a gran escala mediante el uso de dispositivos optoelectrónicos". También al borrador del Reglamento, se había dicho que cuando se trataran datos de más de 5.000 personas físicas en un plazo de un año ininterrumpidamente, se podía considerar de aplicación la figura del DPO.

Por otro lado, hay casos donde la incursión de un DPO es recomendable pero no obligatoria:

1. Cuando haya complejidad legal en el tratamiento de los datos.
2. Para una mayor concienciación de los interesados sobre sus derechos y vías de protección de sus datos.
3. Para velar por la privacitat de los clientes o usuarios y también para prevenir el incurrir en sanciones.

Existe también una duda sobre sí será necesario o no tener un delegado de protección de datos a las empresas de menos de 250 trabajadores, puesto que el sentido del Reglamento es tener en cuenta también las pequeñas y medianas empresas (Considerando 13 del Reglamento) a efectos de no darlos más obligaciones de las que podrían asumir. Se entiende que también dependerá de la complejidad de la empresa y de la categoría y volumen de datos tratados pero tendremos que esperar a ver como evoluciona este concepto.

Las sanciones por incumplimiento pueden ser de hasta 10 millones de euros o de un 2% del volumen anual del ejercicio financiero

Recordamos que el nuevo Reglamento de protección de datos será de obligado cumplimiento a partir del 25 de mayo de 2018. Por lo tanto, es recomendable que las empresas vayan revisando sus protocolos y medidas a la mayor brevedad posible, dado que el nuevo Reglamento no sólo incorpora esta figura sino toda una serie de medidas y pautas nuevas destinadas a velar por la seguridad y la privacitat de los usuarios.

Importando destacar, en este sentido, que las sanciones por la infracción de la normativa de protección de datos también han variado y que hay que tenerlas muy presentes puesto que pueden ser de hasta 10 millones de euros o de un 2% del volumen anual del ejercicio financiero de las entidades, en función de la infracción; o hasta 20 millones de euros o un 4% del volumen, también, en caso de infracción, por ejemplo, de principios básicos del Reglamento.