DPO-externo-vs-DPO-interno

DPO externo vs. DPO interno

¿Nombrar como a un empleado como DPO o contratarlo con una empresa externa?

Con la aplicación del GDPR el próximo 25 de mayo, se introduce en empresas y organizaciones una nueva figura: el Delegado de Protección de Datos. El DPO es un consultor experto en protección de datos que se encarga de asesorar al responsable o encargado del tratamiento sobre sus obligaciones en materia de privacidad y de supervisar su cumplimiento. También se encarga de cooperar con las Autoridades de Control europeas y actúa como intermediario entre los interesados y los responsables o encargados del tratamiento en el ejercicio de los derechos que les asisten.

El GDPR establece tres casos en los que será obligatoria la designación de un DPO:
• Cuando el tratamiento lo lleve a cabo una autoridad u organismo público

• Si las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala

• Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales

Además, el proyecto de Ley Orgánica de Protección de Datos de Carácter Personal detalla más estos supuestos, llegando a especificar hasta 15 casos, entre los que encontramos: Colegios Profesionales y sus consejos generales, centros docentes y Universidades públicas y privadas, entidades que exploten redes y presten servicios de comunicaciones electrónicas cuando traten habitual y sistemáticamente datos personales a gran escala, prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de usuarios del servicio, entidades aseguradoras y reaseguradoras, empresas de servicios de inversión, entidades que desarrollen actividades de publicidad y prospección comercial, centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes o empresas de seguridad privada y servicios de detectives privados. En cualquier caso, aunque no sea preceptivo designar un Delegado de Protección de Datos, siempre hay que nombrar un responsable de protección de datos.

En cuanto al cumplimento de la legislación, no hay diferencia entre nombrar un Delegado de Protección de Datos interno o subcontratar este puesto con una empresa externa. Sin embargo, sí hay algunas cuestiones que deben tenerse en cuenta a la hora de elegir a quién se asigna esta función.

Repasemos las diferencias expuestas en la infografía:

• Costes de formación: en el caso de un DPO externo, ya dispone de la formación y conocimientos necesarios,  mientras que si la labor la realiza un empleado, será necesario invertir en su formación.

• Conocimiento multisectorial e interdisciplinar: esta es una cualidad muy valorable en el DPO. En el caso de un Delegado de Protección de Datos externo, queda garantizado, ya que tiene clientes de diferentes sectores y tamaños. Sin embargo, un DPO interno, aunque tenga este conocimiento en un principio, es muy difícil que lo siga manteniendo si trabaja para una única organización.

• Sustitución del DPO: en caso de enfermedad o ausencia, si el DPO es externo, la empresa proveedora se encargará de asignar otra persona, mientras que si es interno el proceso de sustitución puede ser más complicado.

• Despido del DPO: si se trata de un DPO externo, solo se le puede despedir durante la vigencia del contrato por negligencia en el ejercicio de sus funciones. En cambio, para rescindir el contrato a un DPO interno hay que cesarlo en su cargo en primer lugar y esperar un año antes de terminar la relación laboral.

• Responsabilidad: el DPO externo es responsable directo de su labor de asesoramiento, aunque la responsabilidad última del cumplimiento de la normativa sea siempre de la empresa, mientras que si el DPO es interno, toda la responsabilidad recae sobre la empresa.

• Ejecución de las tareas: si el cargo de DPO es ejercido por un empleado, estará familiarizado con los procesos del negocio y con las personas responsables de los mismos y habrá establecido lazos tanto con los empleados como con la empresa. Cuando el DPO es externo, asume una posición más objetiva y recibe una visión general de la protección de datos en la organización, pero mantiene la independencia y es más difícilmente influenciable.

• Coste de la transparencia y la seguridad: en el caso del DPO externo, viene fijado en el presupuesto inicial, mientras que con un DPO interno es más difícil de cuantificar, puesto que queda diluido entre los costes generales de la empresa.

• Elaboración de documentos: para un DPO externo, la creación de políticas de privacidad, contratos y declaraciones forma parte de su día a día y no conlleva una gran inversión de tiempo, mientras que un DPO interno probablemente tendrá que elaborar estos documentos partiendo desde cero cada vez que se necesiten.

Si su organización necesita contratar un Delegado de Protección de Datos, póngase en contacto con nosotros y nuestros consultores especializados en Protección de Datos le asesorarán para asegurar el cumplimiento de la normativa.

Sin comentarios

Publicar un comentario