Cumplir con los requisitos de la nueva de Protección de datos, la Ley Orgánica 3/2018 y del Reglamento General de Protección de Datos (RGPD) europeo es motivo de preocupación para muchas empresas, que temen no estar a la altura y caer en algún tipo de incumplimiento, que les acarree una fuerte multa o sanción.
En este sentido, la figura del DPO, Delegado de Protección de Datos, surge como una forma de ayudar a las empresas a cumplir con la ley, ya que se trata de un buen conocedor de la materia, con las competencias suficientes para informar, asesorar y supervisar la política y acciones concretas de una empresa en materia de protección de datos personales.
¿En qué consiste la figura del DPO y cuáles son sus funciones?
El Delegado de Protección de Datos (DPO) es una figura determinada por el Reglamento Europeo de Protección de Datos y se caracteriza por ser una persona con conocimientos especializados en legislación y práctica en protección de datos. Puede tratarse de un profesional interno o externo a la empresa.
Si bien no es necesario contar con una titulación específica para ejercer de DPO, la Agencia Española de Protección de Datos (AEPD) ha desarrollado un modelo de certificación para este tipo de Delegados, con el fin de reconocer las competencias profesionales necesarias para poder ejercer adecuadamente sus funciones.
Funciones del DPO
Con un enfoque muy claro en garantizar que la empresa para la que trabaja cumpla con la normativa vigente sobre protección de datos, las funciones del Delegado de Protección de Datos son diversas y están reguladas en el artículo 39 del RGPD. Básicamente, se trata de las siguientes:
- Supervisar el cumplimiento de lo dispuesto en la legislación española y europea en materia de protección de datos personales y garantías digitales.
- Informar y asesorar especialmente al responsable o encargado del tratamiento de los datos personales de la empresa y, en general, a todos aquellos que se ocupen del tratamiento de datos.
- Ofrecer la ayuda y el asesoramiento necesarios sobre la evaluación del impacto relativo a la protección de datos y supervisar su aplicación.
- Cooperar con las autoridades encargadas del control de la ley de protección de datos y actuar como referente y punto de contacto entre estas y la empresa u organización.
¿Qué empresas están obligadas a tener un DPO?
Si bien todas las empresas que traten datos personales, ya sea a nivel off u online, deben cumplir con las leyes, normativas y reglamentos, no todas están obligadas a contar con un Delegado de Protección de Datos.
Sí que es obligatoria la designación de un DPO, según el Reglamento General de Protección de Datos, en los siguientes casos:
- Si el tratamiento de los datos lo lleva a cabo una autoridad u organismo público, a excepción de los tribunales que actúen en ejercicio de su función judicial.
- Si las actividades principales del responsable o del encargado del tratamiento de los datos de la empresa requieren una observación habitual y sistemática de interesados a gran escala.
- Aquellas en que las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de datos personales de especial sensibilidad, como pueden ser los relacionados con la salud o los datos relativos a condenas e infracciones penales.
De acuerdo con las características anteriores, la Ley Orgánica de Protección de Datos Personales (LO 3/2018) puntualiza que deberán contar con Delegado de Protección de Datos, entre otras, las siguientes empresas y organizaciones:
- Distribuidores y comercializadores de energía eléctrica o gas natural
- Aseguradoras y reaseguradoras
- Establecimientos financieros de crédito
- Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles
- Centros sanitarios públicos o privados
- Centros docentes que ofrezcan enseñanzas regladas y Universidades
- Colegios profesionales y sus consejos generales
- Entidades dedicadas al juego online
¿Cómo se contrata a un DPO?
El proceso de contratación de un Delegado de Protección de Datos por parte de cualquier empresa que lo precise es el siguiente:
-
- En primer lugar, la empresa o entidad debe decidir si el Delegado de Protección de Datos será interno (es decir, con una vinculación directa con la empresa) o externo.
- Realizar un proceso de selección.
- Finalmente, en un plazo de 10 días debe comunicar su decisión a la AEPD y a los empleados de la empresa.
Consideraciones importantes sobre los DPO
El objetivo fundamental de un DPO es garantizar que la empresa cumple escrupulosamente con la normativa vigente en materia de protección de datos, de acuerdo con lo marcado en la Ley de Protección de Datos española y en el Reglamento Europeo.
Para poder lograr eficazmente dicho objetivo es muy importante que tanto el DPO como la empresa para la que trabaja tengan muy claros los principios siguientes:
- El DPO debe tener un alto grado de autonomía en sus funciones e independencia a la hora de tomar decisiones. Esto significa que debe sentirse libre para mostrar sus discrepancias, si las hay, sobre el modo en que la empresa está gestionando los datos personales.
- La empresa y, en particular, el responsable del tratamiento de los datos debe facilitar al DPO todos los recursos necesarios para que desarrolle su actividad de forma eficaz.
- Para garantizar el éxito en sus objetivos, según señala el RGPD, el delegado debe ser partícipe de todas las acciones y cuestiones relativas a la protección de datos desde las etapas más tempranas. También debe formar parte de todos los grupos de trabajo sobre esta cuestión, a ser posible desde su creación.
- El DPO debe ser considerado un interlocutor válido dentro de la organización.
Una última cuestión muy importante es que los Delegados de Protección de Datos no son personalmente los responsables de un incumplimiento de la Ley o del Reglamento de Protección de Datos. Esta es una cuestión que atañe al encargado del tratamiento, que es en última instancia quien tiene que garantizar que el tratamiento de los datos se realiza de forma correcta.
En GDX disponemos de un servicio de consultoría de protección de datos
En GDX Group sabemos que cumplir con la actual normativa de protección de datos no es una cuestión sencilla. Por este motivo, disponemos de consultores expertos en protección de datos, que ofrecen un servicio personalizado, a la medida de cada empresa. Este servicio incluye tanto la adecuación a la normativa y la formación de los trabajadores, como el seguimiento y la auditoría continua. Además, disponemos de Delegados de Protección de Datos especializados, para aquellas empresas que lo necesiten y quieran externalizar este servicio.
Por otra parte, como expertos en seguridad documental, en GDX Group también ofrecemos asesoramiento y las mejores soluciones tecnológicas en protección de datos, proporcionando así una solución global en materia de seguridad de la información. Nuestro sistema proporciona soluciones ágiles y eficaces incluso en los aspectos más complicados de la actual normativa, como la puesta en marcha de sistemas de autentificación o la garantía de la privacidad desde el diseño inicial de los ficheros. Ayudamos a las empresas a implantar un modelo óptimo y eficiente de gestión documental que garantice la seguridad y la protección de los datos, consiguiendo un control total en el acceso y disponibilidad de los mismos.