Con la aplicación del GDPR el próximo 25 de mayo, se introduce en empresas y organizaciones una nueva figura: el Delegado de Protección de Datos. El DPO es un consultor experto en protección de datos que se encarga de asesorar al responsable o encargado del tratamiento sobre sus obligaciones en materia de privacidad y de supervisar su cumplimiento. También se encarga de cooperar con las Autoridades de Control europeas y actúa como intermediario entre los interesados y los responsables o encargados del tratamiento en el ejercicio de los derechos que les asisten.
¿Qué es un DPO?
Un Delegado de Protección de Datos es una persona, física o jurídica, encargada de garantizar el cumplimiento de la ley de protección de datos en la empresa. Como veremos más adelante, puede ser tanto interno como externo a la empresa, y debe tener conocimientos especializados de Derecho y experiencia en la práctica de la protección de datos, aunque no se le exige estar certificado.
¿Cuáles son las funciones del DPO?
Entre las principales funciones del Delegado de Protección de Datos encontramos:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de cuáles son sus obligaciones, para garantizar el cumplimiento del Reglamento General de Protección de Datos y de otras regulaciones en la materia establecidas por la Unión o los Estados miembros.
- Supervisar el cumplimiento de lo dispuesto en la legislación en materia de Protección de Datos y de las políticas del responsable o del encargado del tratamiento, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
- Ofrecer el asesoramiento solicitado sobre la Evaluación de impacto y supervisar su aplicación.
- Cooperar con la autoridad de control (AEPD).
- Actuar como punto de contacto entre la empresa y la Agencia Española de Protección de Datos.
¿Cuándo es obligatorio designar un DPO?
El GDPR establece tres casos en los que será obligatoria la designación de un DPO:
- Cuando el tratamiento lo lleve a cabo una autoridad u organismo público
- Si las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
- Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales
Además, la nueva Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de derechos digitales detalla más estos supuestos, llegando a especificar hasta 15 casos, entre los que encontramos: Colegios Profesionales y sus consejos generales, centros docentes y Universidades públicas y privadas, entidades que exploten redes y presten servicios de comunicaciones electrónicas cuando traten habitual y sistemáticamente datos personales a gran escala, prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de usuarios del servicio, entidades aseguradoras y reaseguradoras, empresas de servicios de inversión, entidades que desarrollen actividades de publicidad y prospección comercial, centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes o empresas de seguridad privada y servicios de detectives privados. En cualquier caso, aunque no sea preceptivo designar un Delegado de Protección de Datos, siempre hay que nombrar un responsable de protección de datos.
Responsabilidades del DPO
El RGPD establece que quien está obligado a garantizar que el tratamiento se realiza de forma correcta es el encargado del tratamiento, no el Delegado de Protección de Datos. Así pues, el DPO no es el responsable del cumplimiento de las normas sobre protección de datos, sino que esa responsabilidad recae sobre el encargado del tratamiento. En este sentido, se debe garantizar la independecia del DPO, que debe poder expresar sus discrepancias con sus superiores.
¿DPO externo o DPO interno?
En cuanto al cumplimento de la legislación, no hay diferencia entre nombrar un Delegado de Protección de Datos interno o subcontratar este puesto con una empresa externa. Sin embargo, sí hay algunas cuestiones que deben tenerse en cuenta a la hora de elegir a quién se asigna esta función.
Repasemos las diferencias expuestas en la infografía:
• Costes de formación: en el caso de un DPO externo, ya dispone de la formación y conocimientos necesarios, mientras que si la labor la realiza un empleado, será necesario invertir en su formación.
• Conocimiento multisectorial e interdisciplinar: esta es una cualidad muy valorable en el DPO. En el caso de un Delegado de Protección de Datos externo, queda garantizado, ya que tiene clientes de diferentes sectores y tamaños. Sin embargo, un DPO interno, aunque tenga este conocimiento en un principio, es muy difícil que lo siga manteniendo si trabaja para una única organización.
• Sustitución del DPO: en caso de enfermedad o ausencia, si el DPO es externo, la empresa proveedora se encargará de asignar otra persona, mientras que si es interno el proceso de sustitución puede ser más complicado.
• Despido del DPO: si se trata de un DPO externo, solo se le puede despedir durante la vigencia del contrato por negligencia en el ejercicio de sus funciones. En cambio, para rescindir el contrato a un DPO interno hay que cesarlo en su cargo en primer lugar y esperar un año antes de terminar la relación laboral.
• Responsabilidad: el DPO externo es responsable directo de su labor de asesoramiento, aunque la responsabilidad última del cumplimiento de la normativa sea siempre de la empresa, mientras que si el DPO es interno, toda la responsabilidad recae sobre la empresa.
• Ejecución de las tareas: si el cargo de DPO es ejercido por un empleado, estará familiarizado con los procesos del negocio y con las personas responsables de los mismos y habrá establecido lazos tanto con los empleados como con la empresa. Cuando el DPO es externo, asume una posición más objetiva y recibe una visión general de la protección de datos en la organización, pero mantiene la independencia y es más difícilmente influenciable.
• Coste de la transparencia y la seguridad: en el caso del DPO externo, viene fijado en el presupuesto inicial, mientras que con un DPO interno es más difícil de cuantificar, puesto que queda diluido entre los costes generales de la empresa.
• Elaboración de documentos: para un DPO externo, la creación de políticas de privacidad, contratos y declaraciones forma parte de su día a día y no conlleva una gran inversión de tiempo, mientras que un DPO interno probablemente tendrá que elaborar estos documentos partiendo desde cero cada vez que se necesiten.
Si su organización necesita contratar un Delegado de Protección de Datos, póngase en contacto con nosotros y nuestros consultores especializados en Protección de Datos le asesorarán para asegurar el cumplimiento de la normativa.