LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS (DPO)

Conocida popularmente como DPO (en inglés, Data Protection Officer), el delegado de protección de datos (1) constituye uno de los elementos claves del Reglamento europeo de protección de datos (RGPD), y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

Al Delegado de Protección de Datos, o DPO, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD (2) entre las que destacan las de informar y asesorar, así como supervisar el cumplimiento del RGPD por parte del responsable o encargado.

El DPO deberá contar con conocimientos especializados del Derecho, y en protección de datos, y actuará de forma independiente, aunque conviene precisar dos cuestiones al respecto:

  • El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado;
  • El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

La Agencia Española de Protección de Datos (AEPD) está impulsando junto con Entidad Nacional de Acreditación (ENA) los trabajos para desarrollar un modelo de certificación como Delegado de Protección de Datos, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo.

En este sentido, el modelo en el que se está trabajando funcionará a través de dos esquemas de certificación:

  • un esquema que acredite aquellas entidades para que, a su vez, puedan actuar como certificadoras de Delegados de Protección de Datos. Corresponderá a ENAC acreditar a las mencionadas entidades, siempre y cuando acrediten cumplir el citado esquema.
  • Y otro esquema para certificar a Delegados de Protección de Datos, es decir, los requisitos necesarios para que se pueda obtener esta certificación.

Los dos esquemas serán aprobados por la Agencia Española de Protección de Datos durante el primer semestre de 2017, siendo la AEPD propietaria de los citados esquemas.

Esta certificación como DPO es totalmente voluntaria y, por tanto, para su ejercicio no es necesario poseer la misma, aunque obtenerla supone una garantía tanto de la competencia profesional certificada, como del ejercicio de la mencionada competencia.

(Fuente: Blog AEPD)

(1)

1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
2. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

(2)

1. El delegado de protección de datos tendrá como mínimo las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
2. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *