El DPO -según sus siglas en inglés- ó DPD -en español- es la figura central del sistema de protección de datos de las empresas obligadas a partir del 25 de mayo y estrella indiscutible de la reforma que trae el Reglamento Europeo (RGPD). Y no es para menos.
Es tan importante la figura del DPO que el legislador, en un proyecto de ley que no se ha molestado ni en hacer el tradicional copia/pega con que se trasponen la mayoría de las normas comunitarias haciendo meras menciones a artículos del Reglamento, sí desarrolla de forma más detallada y extensa esta figura.
En primer lugar, vaya por delante antes de nada que NO toda la empresa o profesional tendrá la obligación de disponer de un Delegado de Protección de Datos.
Obligados a tener un DPO
El Reglamento Europeo de Protección de datos RGPD es claro y conciso. Están obligados a tener un Delegado de Protección de Datos (DPO):
a) Autoridades u organismos públicos;
b) Cuando se traten de forma habitual y sistemática datos de interesados a gran escala, o
c) Se traten datos especialmente protegidos o relativos a condenas e infracciones penales.
Pero es la Ley la que desarrolla un listado más detallado de los obligados:
a) Los colegios profesionales.
b) Los centros docentes que ofrezcan enseñanzas reguladas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información (*) cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras.
h) Las empresas de servicios de inversión,.
i) Distribuidores y comercializadores de energía eléctrica.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude (blanqueo).
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores de juego
o) Empresas de Seguridad Privada.
Como debe ser el DPO (certificación)
El DPO es garante del cumplimiento de la normativa de la protección de datos en las organizaciones e interlocutor con las Autoridades de Control (AGPD). Y como tal, su nombramiento debe ser comunicado a la AGPD.
Para cumplir sus funciones, el RGPD sólo exige conocimientos especializados en derecho y que sus cualidades profesionales y experiencia le permitan cumplir con las funciones que detallamos más adelante.
«5.El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.»
Ante este planteamiento tan poco concreto la AGPD, en su potestad de aportar la mayor seguridad a los titulares de los datos, está procediendo a fijar el detalle de los requisitos que deberá cumplir el Delegado de Protección de Datos y las formas de acceder a la cualificación como tal.
Así ha manifestado la AGPD que en principio, según lo dispuesto en el RGPD, no parece que sea exigible una titulación en Derecho para acceder al puesto, aunque la exigencia de «conocimientos especializados del derecho» parecen aconsejarlo así.
También fija la AGPD el foco buscando las ‘cualidades profesionales’, en la posible experiencia anterior del DPD en Protección de Datos, en su conocimiento del ‘entorno‘ o incluso y en su caso en el conocimiento de idiomas.
Como forma de cumplir o concretar todos esos ‘requisitos’ la propia AGPD, junto con una entidad privada, está fomentando un sistema ‘oficial’ de certificación de Delegados de Protección de Datos que a día de hoy no tiene agentes certificadores que ofrezcan cursos, es posible que sea el germen en un futuro (probablemente lejano) sistema de certificación que venga del desarrollo reglamentario del proyecto de Ley LOPD que ya señala que «el cumplimiento de los requisitos (…) podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación«. Pero eso llegará a muy largo plazo.
Al menos hasta que se apruebe la ley -que comentan en la propia AGPD que no será en este año- no habrá ni cursos oficiales y certificaciones oficiales para los Delegados de Protección de Datos.Y sin embargo, el día 25 de mayo sí habrá obligación de tener un DPO. Si tiene la obligación de tener un DPO, busque experiencia y conocimiento, porque no existen a día de hoy ni cursos ‘homologados‘ ni certificaciones oficiales que habiliten a los Delegados, aunque haya quien los venda como tal.
Funciones del DPO
El DPO deberá:
- informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de sus obligaciones en relación con los Datos;
- supervisar el cumplimiento de la Ley. Entendido el asesoramiento de la forma más amplia y extendida a todos los campos y departamentos que alcance el tratamiento de Datos Personales.
- Asesorar al responsable del tratamiento sobre la evaluación de impacto en el tratamiento que se haga de los Datos.
- Ser el contacto y cooperar con la autoridad de control. AGPD o autoridades autonómicas, señala el proyecto de ley (nota: ¡viva la multiplicación de la burocracia!).
- Recibir reclamaciones de interesados sobre los datos personales tratados.
Posición del DPO en la empresa
EL RGPD y la ley colocan al Delegado de Protección de Datos en una posición de poder en ciertos aspectos casi ‘blindada‘, por lo que es posible que muchas empresas obligadas opten por externalizar el servicio aún cuando cuentan en sus plantillas con personal suficientemente preparado y con un conocimiento definitivamente superior de los mecanismos internos.
Así la Ley y el RGPD fijan la siguiente posición para el DPO
- Participará de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
- Se le respaldará en el desempeño de sus funciones, se le facilitarán los recursos necesarios para el desempeño de dichas funciones y el acceso a TODOS los datos personales y a TODAS las operaciones de tratamiento. Si bien sí tiene un deber de confidencialidad.
- No podrá recibir ninguna instrucción u orden en lo que respecta al desempeño de sus funciones ni podrá ser destituido ni sancionado por desempeñar sus funciones salvo que incurra en dolo o negligencia grave. Además sólo rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento.
- Se le permite desempeñar otras funciones y cometidos bajo el control del responsable o encargado del tratamiento, que garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.
Entrada en vigor
Me contaba alguien hace unos días que corre el rumor de que la Unión Europea tendrá el detalle de retrasar la entrada en vigor del Reglamento (RGPD) y que tendremos tiempo para adaptarnos más tranquilamente a su exigencias. Pues igual que le dije a esa persona, el RGPD es una norma con rango de Ley de aplicación directa publicada en un documento oficial y no existe ningún mecanismo legal que permita retrasar la entrada en vigor antes del 25 de mayo.
Aunque es previsible que la AGPD sí se comporte de una forma algo más flexible, al menos desde el punto de vista de sancionador, la realidad legal es que las empresas obligadas a tener un Delegado de protección de datos DPO, el 25 de mayo deberán tener un nombre que notificar a la AGPD.
.
.
.
(*)«Servicios de la sociedad de la información» o «servicios» es todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.
El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.
Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes:
- º La contratación de bienes o servicios por vía electrónica.
- º La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.
- º La gestión de compras en la red por grupos de personas.
- º El envío de comunicaciones comerciales.
- º El suministro de información por vía telemática.