SúperDPO
06/10/2016
Los profesionales de la protección de datos estamos de enhorabuena: hemos visto nacer a nuestro nuevo mesías, el Reglamento Europeo 2016/679 sobre Protección de Datos (RGPD para los amigos).
Lejos de abarcar en este post sobre las novedades que trae esta nueva regulación (que no son pocas…), nos centraremos en acercarles una figura de la que pronto todos oiremos en el mundo empresarial, y que se desarrolla en la mencionada normativa: el Data Protection Officer.
Qué es, quién es, qué hace, para qué…
El Data Protection Officer, DPO o Delegado de Protección de Datos, se define en el RGPD como la figura interna de la empresa (con carácter de figura independiente y sin subordinación jerárquica, salvo a la alta dirección, ante la que debe dar cuenta directamente de su labor) o externa, en el marco de un contrato de servicios; la cual tendrá que supervisar, informar y asesorar a la empresa y a los empleados que traten datos personales, de las obligaciones que este nuevo reglamento impone, así como otras disposiciones y leyes complementarias.
Eso sí, deberá ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. ¿Qué quiere decir esto? Pues que no cualquiera puede ser DPO…
El DPO pasa a ser un profesional regulado, con un estatus dentro de la organización, una figura independiente que ejerza sus funciones y que sea oído en la organización (spoiler: las sanciones por incumplimiento del RGPD aumentan de forma significativa, pudiendo llegar a ser hasta de 20.000.000€ o del 4% de la facturación anual de la empresa, la cantidad que sea mayor).
El artículo 29, enumera las funciones que tendrá esta nueva figura (reproducción literal):
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
- Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
Te suena de algo, ¿verdad? El DPO viene a ser lo que hoy en día se conoce como un Asesor en Protección de Datos. La diferencia estriba en que ahora esa figura está reglada, ya no vale cualquier asesor. Si su empresa quiere tener un DPO tiene que tener unas características específicas.
Vale, pero, ¿todas las empresas tienen que contar con un DPO? No, es obligado tener un DPO cuando:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
No obstante, sí que se aconseja que las empresas de gran tamaño, aquellas que traten datos de forma continua, que cuenten con varios establecimientos, grupos de empresas, etc. cuenten con un DPO que centralice las funciones relacionadas con la protección de datos, haciéndola más efectiva, de forma que permita lograr un mayor control sobre los datos en la organización. Que actúe de manera proactiva y preventiva, lo que permitirá prever situaciones que comprometan la seguridad de los datos, así como mantener un sistema de alerta eficiente y, por consiguiente, reaccionar con prontitud y eficacia ante cualquier tipo de reclamación, incidencia o situación potencialmente adversa, evitando malas prácticas que puedan empañar la imagen de la empresa.
Hay que tener claro que el abordar la gestión de los datos personales desde una perspectiva jurídico-técnica especializada no solo aportará seguridad ante la posible aparición de denuncias y procesos sancionadores, sino que permitirá obtener a las empresas herramientas y procedimientos internos que mejorarán la eficiencia en la gestión de los datos (inventarios actualizados y precisos del sistema informático, protocolos de actuación específicos para acciones concretas, concreción de tareas y responsabilidad en la gestión de los datos, eliminación de documentación superflua y desactualizada, registro y análisis de incidencias, etc.).
De cara al cliente, la figura del DPO ofrece también una imagen de profesionalidad, seguridad y confianza mayores, tanto por la calidad y claridad de la información que se le proporcionará al recoger sus datos, como por la seguridad de contar con mecanismos eficientes de reclamación al respecto.
Al contar con esta figura, se descargará de trabajo al personal interno que ha sido designado para la coordinación de las acciones de adecuación a la LOPD y LSSICE que actualmente se llevan a cabo (o que se deberían estar llevando…), limitándose su participación a lo estrictamente relacionado con su labor, con lo que se reducirán cargas administrativas que entorpezcan el desarrollo del trabajo habitual de los diferentes departamentos.
A modo de eslogan podemos concluir que:
No se la juegue, si su organización tiene una estructura compleja, cuente con un DPO en su empresa.
Otro día seguiremos desmigajando otros aspectos que se regulan en este nuevo reglamento…
Idaira Hernández Peraza
Directora de Consultores Peraza & Asociados, S.L.
Fuente de fotografía: Google Imágenes etiquetada para reutilización