El delegado de protección de datos (DPO, por sus siglas en inglés) es una nueva figura que introdujo en Reglamento 679/2016 (UE) General de Protección de Datos (RGPD) que remarca el principio de responsabilidad proactiva que rige en toda esta nueva normativa.
El DPO es la persona encargada de informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de los datos.
Su carácter obligatorio o voluntario, su integración en la organización del responsable o encargado o bien su personalidad física o jurídica son algunas de las dudas más comunes que la mayoría de nuestros clientes nos plantean.
¿Cuándo es obligatorio designar un delegado de protección de datos?
La respuesta nos la proporciona el artículo 37.1 del RGPD. Este precepto nos informa que esta figura tendrá carácter obligatorio siempre que:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en el ejercicio de su función judicial;
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
A este respecto, el Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales(LOPD-GDD) establece una serie de entidades que sí o sí deberán disponer de esta figura (artículo 34).
Es importante tener en cuenta que, si bien no todas las entidades están obligadas a disponer de esta figura, se puede designar un DPO de manera voluntaria.
¿El DPO tiene que ser parte de mi entidad? ¿Debe ser persona física o jurídica?
No tiene por qué. El RGPD especifica que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desarrollar sus funciones. Por lo tanto, si una entidad cuenta con una persona con estas especificaciones podría asignarle la función de DPO. Sin embargo, como no es fácil encontrar un experto en la materia dentro de una entidad, la normativa europea permite que el delegado de protección de datos forme parte de la plantilla del responsable o del encargado o bien desempeñe sus funciones en el marco de un contrato de servicios, es decir, cabe la externalización.
Además, proyecto de LOPD-GDD establece que el delegado de protección de datos puede ser tanto persona física o persona jurídica (artículo 35).
¿Qué tipo de certificación debe tener el DPO?
No es obligatorio ningún tipo de certificación. Sin embargo, con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado, la AEPD ha optado por promover un Esquema de Certificación de DPO. Este Esquema es un sistema de certificación que permite certificar que los DPO reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por la Entidad Nacional de Acreditación (ENAC).
En cualquier caso, la AEPD recoge en su web algunas entidades de certificación acreditadas o en proceso de acreditación para expedir certificados de DPO.
Si quieres contratar un DPO para tu entidad o simplemente tienes duda sobre la materia, no dudes en contactarnos.