GDPR: ¿qué funciones debe desempeñar un delegado de protección de datos y cuándo será obligatorio incorporarlo en las empresas?

Posted by media on 13/12/16 9:00

GDPR_funciones_delegado_de_protección_de_datos.png

En uno de los posts que publicamos la semana pasada hablamos de la obligatoriedad de incorporar la figura del delegado de protección de datos (DPO) en algunas empresas, según se establece en el Artículo 37 del nuevo Reglamento europeo de protección de datos, y comentamos además una serie de imprecisiones que se observan en dicho artículo, relativas a los términos en los que se define cuándo es necesario su nombramiento.

Con este post queremos completar la información del post anterior hablando de cuáles son las funciones relacionadas con el tratamiento de datos que debe realizar un DPO, establecidas también en el nuevo Reglamento, y qué requisitos debe cumplir una persona que quiera ejercer como tal.

Este post también está disponible en inglés.


¿Qué funciones tiene un delegado de protección de datos?

De acuerdo con lo que establece el Artículo 39 del nuevo Reglamento europeo de protección de datos (GDPR), el delegado de protección de datos tendrá como mínimo las siguientes funciones:

    1. informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

    2. supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

    3. ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

    4. cooperar con la autoridad de control;

    5. actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.


¿Qué requisitos y pautas debe cumplir el DPO, por un lado; y la propia empresa, por otro?

Por un lado, de acuerdo con lo que establece el propio Reglamento, el delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

En consecuencia, será necesario que la empresa realice un análisis de riesgos pertinente, a los efectos de poder valorar los impactos que dichos riesgos podrían suponer para la empresa.

Así, en el Artículo 38 se establecen las siguientes condiciones para el DPO:

  • que el delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado;
  • que los interesados podrán ponerse en contacto con el DPO por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento;
  • que el DPO estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión Europea o de los Estados miembros;
  • que también podrá desempeñar otras funciones y cometidos. 


Por otro lado, la propia empresa
responsable y/o encargada del tratamiento también debe facilitar el cumplimiento de funciones por parte del delegado. Así, el Artículo 38 establece las siguientes condiciones a cumplir por el responsable y el encargado del tratamiento:

  • Deberán garantizar que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  • Deberán facilitarle los recursos necesarios para el desempeño de sus funciones, disponer de acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
  • Deberán garantizar que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones, no pudiendo ser destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. Esto significa que el delegado debe tener autonomía e independencia en el desarrollo de sus funciones.
  • El responsable o encargado del tratamiento garantizará que las otras funciones y cometidos que pueda desempeñar el DPO no den lugar a conflicto de intereses.


¿Quién puede ser un delegado de protección de datos?


De  conformidad con lo que indica el Artículo 37 del nuevo Reglamento europeo de protección de datos, en los puntos 5 y 6, el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones que le son propias, establecidas anteriormente en este post.  

Se establece además que el delegado podrá formar parte de la plantilla del responsable o del encargado del tratamiento, o bien desempeñar sus funciones en el marco de un contrato de servicios. Por lo tanto, puede ser tanto un trabajador de la empresa que reúna las cualidades indicadas en el artículo 37, como un externo que, por supuesto, también las reúna.  

Indicar que según la propia Agencia Española de Protección de Datos, “el Reglamento no establece específicamente cuáles han de ser esas cualificaciones profesionales ni tampoco el modo en que podrán demostrarse ante las organizaciones que deban incorporar esta figura”.



¿Es necesario algún tipo de certificación para poder actuar como DPO?

La propia Agencia Española de Protección de Datos manifiesta que no es oportuno establecer un sistema de certificación de delegados de protección de datos que opere como requisito para el acceso a la profesión, puesto que en la actualidad existen certificaciones y titulaciones suficientes que respaldan conocimientos, experiencia o práctica en el ámbito de la protección de datos. 

Estas certificaciones y titulaciones tendrán un papel relevante en el desarrollo de las profesiones relacionadas con la protección de datos, en la medida en que pueden servir como un elemento más (aunque no sea necesariamente el único) para que la organización que tiene que designar un DPO  pueda tener constancia de la formación o cualificaciones de los posibles candidatos.  

También se indica que se está valorando la posibilidad de promover la acreditación de entidades de certificación de profesionales con arreglo a estándares ya establecidos; que ello se llevaría a cabo por la Entidad Nacional de Acreditación (ENAC), pero que no sería el único método ni fórmula para acreditar la experiencia y conocimientos necesarios, y por lo tanto, no sería la única vía para acceder a un puesto de delegado de protección de datos.

 

¿Es necesario disponer ya mismo de un DPO en mi empresa?

El nuevo Reglamento europeo de protección de datos tendrá aplicación a partir del 25 de mayo de 2018, dos años después de su publicación en el Diario Oficial de la Unión Europea (artículo 99.2). Por tanto, hasta entonces no será exigible que se disponga de la figura del delegado de protección de datos dentro de la empresa.

Sin embargo, sí es recomendable, al menos, disponer de una figura similar que vaya asumiendo las tareas que establece el Reglamento. O bien que vaya orientando para implementarlo cuando sí sea obligatorio.

Por otro lado es interesante comentar que en diferentes sistemas y países ya han existido figuras similares, como el Chief Privacy Officer en sistemas británicos; o el Responsable de Seguridad en el sistema español, aunque éste difiere bastante de lo que establece el Reglamento en cuanto a funciones propias del DPO.

Otra duda que se plantea y se debate actualmente en el sector de la abogacía y la protección de datos se centra en si el DPO podrá ser la misma persona o empresa consultora que efectúa las tareas de adaptación o adecuación de la empresa y las auditorías, o deberá ser una persona o empresa independiente.

Y, adicionalmente, se ha generado la duda sobre si podrá existir una empresa nombrada como delegado de protección de datos o tendrá que ser una persona física, puesto que el Reglamento establece que el cargo será ocupado por una persona.

Para la resolución de ambas dudas habrá que ver cómo evoluciona esta problemática en el sector y si las diferentes autoridades de protección de datos se pronuncian en algún sentido.

Por último, remarcar que por la propia naturaleza de los tratamientos que se efectúen dentro de la empresa, si se reúnen las características establecidas en el artículo 37.a, b o c, sí recomendamos ir revisando las medidas y necesidades al respecto, delimitando, mientras no sea aplicable, las necesidades de esta figura, así como otras particularidades y requerimientos legales de protección de datos que se exige que se implemente por las empresas a los efectos de cumplir con el nuevo Reglamento.

Este post también está disponible en inglés.



Este es un post invitado de Vanesa Alarcón Caparrós.

Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados.

@vanesa_alarcon
@AvaticAbogados


Este es un post invitado de Vanesa Alarcón Caparrós.

Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados.

@vanesa_alarcon
@AvaticAbogados


New Call-to-action


POSTS RELACIONADOS


Tags: GDPR

Subscríbete al blog

Últimos posts