DELEGADO DE PROTECCIÓN DE DATOS
Una de las principales novedades que implica el Reglamento es la creación de la figura del Delegado de Protección de Datos (DPO, en inglés, – Data Protection Officer).
El DPO, es en gran medida, la persona encargada informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos.
Esta figura deberá velar o supervisar el cumplimiento normativo, así como de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de datos.
¿CUÁNDO ES OBLIGATORIO CONTAR CON UN DPO?
El artículo 37 del RGPD fija la obligatoriedad de su designación en estos casos:
- Cuando el tratamiento de los datos sea realizado por una autoridad o un organismo público.
- Si las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Si las actividades principales del responsable implican el tratamiento a gran escala de datos especiales o personales referidos a condenas o delitos.
Asimismo la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales 3/2018, de 5 de diciembre (LOPD GDD) , en su artículo 34, enumera una serie de entidades en las que será obligatoria la designación de un DPO:
- Colegios profesionales
- Centros docentes
- Servicios de comunicaciones electrónicas
- Servicios de la Sociedad de la Información
- Entidades de crédito
- Entidades aseguradoras
- Distribuidor de electricidad
- Etc.
CERTIFICACIÓN
La autoridad de control española, siguiendo el ejemplo de sus homólogas europeas, ha promovido un modelo de certificación para que los interesados en ejercer dicha posición puedan acreditarse.
La AEPD y la ENAC son las principales impulsoras de este esquema de certificación.
No obstante esta certificación no es obligatoria, si bien este sistema de certificación ofrece una seguridad y fiabilidad para las empresas en cuanto a que todos aquellos que superen este esquema de certificación contarán con los conocimientos y aptitudes necesarias para poder desempeñar su labor como DPO.
¿QUÉ POSICIÓN OCUPA EL DPO DENTRO DE LA EMPRESA?
El DPO puede ser interno o externo.
Uno de las principales características de DPO es su independencia.
Debe poder ejercer sus funciones sin ninguna limitación y, por supuesto, sin conflicto de intereses, que es lo que hay que vigilar cuando se nombra un DPO interno.
En cambio, en los casos que, de forma voluntaria, se designe a un DPO sin estar obligada la entidad, si bien se regirá por el mismo régimen de independencia y de trabajo, los requisitos técnicos no deberán ser cumplidos, siempre y cuando este DPO voluntario cuente con asesoramiento externo específico en la materia.
Si bien es cierto que solo es obligatorio en ciertos casos, recomendaríamos, como expertos en la materia, es que todas las entidades cuenten con esta figura.
INSCRIPCIÓN EN EL REGISTRO DE AEPD
Si tienes a alguien dentro de tu entidad con los conocimientos necesarios para poder ejercer de DPO solo tienes que inscribirlo en el registro de DPO de la AEPD. Hay que hacer este registro dentro de los 10 días siguientes a su nombramiento.
¿CÓMO PODEMOS AYUDAR NOSOTROS?
Pero, si su empresa necesita contratar un DPO externo, nuestra empresa cuenta con Delegados de Protección de Datos certificados por IVAC Instituto de Certificación, SL (primera certificadora acreditada de manera definitiva por ENAC) que podrán ejercer como tales, ajustándose a las necesidades de su entidad.
