¿Qué es un Delegado de Protección de Datos DPD/DPO? ¿Lo necesita mi empresa?

Muchas personas se preguntan qué es un Delegado de Protección de Datos (DPD), también conocidos como Data Protection Officer (DPO) y es que es un puesto que muchas organizaciones deberán cubrir cuando sea obligatorio el Reglamento Europeo de Protección de Datos en mayo de 2018.

Incumplir las obligaciones de protección de datos no suele ser una opción debido a las multas y sanciones, que con el nuevo Reglamento Europeo de Protección de Datos se elevan considerablemente hasta máximos de 10.000.000 de euros o el 2 % de volumen de negocio global o incluso de 20.000.000 de euros o el 4 % de volumen global de negocio (según el tipo de sanción y siempre la cantidad que resulte mayor).

¿Sabes si tu empresa deberá contar con Data Protection Officer o Delegado de Protección de Datos y cuáles son los cometidos de este nuevo (o no tan nuevo) puesto en algunas organizaciones?

¿Qué es un Delegado de Protección de Datos DPD/Data Protection Officer DPO? ¿Lo necesita mi empresa?

¿Qué es el Delegado de Protección de Datos DPD – Data Protection Officer (DPO)?

El puesto de Delegado de Protección de Datos DPD (DPO – Data Protection Officer) o también llamado DSP ya existía en el marco europeo anterior, si bien no era obligatorio en algunos países (como, por ejemplo, en España).

EuropaA partir de la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo el 24 de mayo de 2016 que deroga la LOPD y que busca homogeneizar la normativa europea en temas de protección de datos, este puesto pasará a ser obligatorio en algunas organizaciones.

Por el momento, el Reglamento Europeo de Protección de Datos (RGPDEU) en Europa todavía no es obligatorio ya que en su artículo 99 se indica que sólo será de obligado cumplimiento a partir del 25 de mayo de 2018. Hasta esa fecha las entidades afectadas deben realizar las adaptaciones necesarias.

El rol de este Delegado de Protección de Datos es, fundamentalmente, velar por el cumplimiento de la protección de datos, como su nombre indica, en la organización, con todo lo que ello conlleva.

En este vídeo (en inglés pero se entiende muy bien) explican los cambios debidos al Reglamento Europeo de Protección de datos:

 

Principales funciones de un Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO)

1. Informar y asesorar en materias de protección de datos

El Delegado de Protección de Datos tiene a obligación de informar y asesorar a la organización responsable del tratamiento de los datos personales, a las posibles personas (físicas, jurídicas u órganos administrativos) a las que se les encargue el tratamiento de los datos personales e incluso a los empleados de la propia organización.

2. Supervisar el cumplimiento de lo dispuesto en el Reglamento Europeo de Protección de Datos

El Delegado de Protección de Datos también debe supervisar el cumplimiento de los cometidos en materia de protección de datos, como por ejemplo el documento de seguridad que debe adecuarse a las características de la organización, debe poder realizarse una rendición de cuentas (accountability, etc.)

3. Tareas relacionadas con la evaluación del impacto

Evaluación de impacto en la protección de datos personales

Evaluación de impacto en la protección de datos personales

Imágenes Shutterstock: 1, 3 y 4.

El Delegado de Protección de Datos debe asesorar sobre la evaluación de impacto en materia de protección de datos personales al que se enfrenta la organización y supervisar su aplicación.

Esto es debido a que con el nuevo Reglamento Europeo de Protección de Datos, entre otros muchos cambios, ya no hay que inscribir los famosos ficheros de datos en la Agencia Española de Protección de Datos ni los datos personales están tasados como hasta hace poco en de seguridad alta, media o baja.

Ahora cada organización debe llevar internamente este control y realizar una evaluación del impacto EIPD de esos datos personales, poniendo las medidas necesarias para aceptar, mitigar, transferir o eliminar los riesgos que puedan detectarse.

4. Cooperar con la Autoridad de Control

El Delegado de Protección de Datos debe cooperar también con la Autoridad de Control siempre que sea necesario.

Por ejemplo, en caso de que haya una violación de seguridad -esto es nuevo-, el Reglamento Europeo de Protección de Datos obliga a que ese incidente, si supone un alto riesgo para los derechos y libertades de las personas afectadas titulares de los datos personales, sea notificado a la Autoridad de Control y también a los propios interesados para que tomemos medidas (por ejemplo, en caso de acceso no autorizado a bases de datos, exposición pública de datos sensibles, etc.).

Personalmente me pregunto cómo reaccionaremos como afectados cuando la empresa X nos informe que han tenido una violación de seguridad y nos comuniquen que nuestros datos personales han sido expuestos.

Aquí conviene comentar un punto importante: con la entrada en vigor del Reglamento Europeo de Protección de Datos, éste se aplica a todas las entidades que traten datos personales de ciudadanos europeos aunque no sean organizaciones que no estén en la Unión Europea, a diferencia de lo que pasaba con la normativa anterior.

5. Punto de contacto en temas de protección de datos

El Delegado de Protección de Datos debe ser la persona que actúa como punto de contacto y especialista en la organización para todos aquellos temas relacionados con la protección de datos.

De todo esto se deduce que debe ser una persona con amplios conocimientos de Derecho, sobre todo en materia de protección de datos, pero también técnicos; de nada sirve conocer las leyes si no es capaz de identificar las tecnologías existentes, las que pueden llegar a implantarse como fruto de nuevas iniciativas y los riesgos de cada una de ellas.

El Reglamento Europeo de Protección de Datos permite que este DPO sea personal interno o externo, si bien lógicamente lo más adecuado es que sea interno para poder conocer de primera mano la organización.

En este vídeo (en inglés pero se entiende muy bien) se explica muy brevemente qué es un Data Protection Officer DPO o Delegado de Protección de Datos:

¿En qué organizaciones es obligatoria la designación de un Delegado de Protección de Datos?

Es necesario que cuenten con este Delegado de Protección de Datos (DPD) – Data protection officer DPO en estos casos:

1. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

2. Cuando las actividades principales del responsable o del encargado del tratamiento de los datos personales sean operaciones que, por su naturaleza, alcance y/o efectos requieran un seguimiento regular y sistemático a gran escala de los datos de los titulares.

En este caso hay que entender qué quiere decir por “actividad principal”. Según el Grupo de Trabajo 29 de la AEPD, hay que entender que un hospital por ejemplo presta servicios sanitarios y no tratamientos de datos personales, pero realmente sin ellos no pude realizar su actividad, por lo que sí se incluye en esta categoría y debería tener un Delegado de Protección de Datos.

¿En qué organizaciones es obligatoria la designación de un Delegado de Protección de Datos?

¿En qué organizaciones es obligatoria la designación de un Delegado de Protección de Datos?

Por ejemplo, una empresa de seguridad proporciona servicios de seguridad, pero para poder realizarlo necesita manejar datos personales y, por tanto, también está afectada.

En cambio, pagar las nóminas (el otro ejemplo que pone el Grupo de Trabajo 29) aunque es necesario para la empresa, es una actividad auxiliar.

Hay otros casos que no están claros, por ejemplo, yo me pregunto las empresas que se dedican a hacer publicidad en Internet y fijan una cookie. ¿Deberían tener un DPD? En el fondo la actividad principal no puede dejar de desarrollarse sin esta herramienta en buena medida y se hace un seguimiento regular y sistemático “a gran escala”.

El concepto de “a gran escala” no está claro (es subjetivo) en el Reglamento Europeo de Protección de Datos a día de hoy. Solo se puede deducir según el “considerando 91” del Reglamento que está orientado a que el tratamiento de los datos se realice por parte de la organización y no por una única persona y que debe ocurrir en repetidas ocasiones.

3. Cuando las actividades principales del responsable o del encargado del tratamiento de los datos consistan en tratamientos a gran escala de categorías especiales de datos (por ejemplo, salud, ideología, raza, etc.) y datos relativos a condenas penales y delitos.

¿Son las empresas conscientes de lo que es un Delegado de Protección de Datos y su posible obligatoriedad?

No. Según un estudio realizado entre 750 responsables y directores tecnológicos de Francia, Alemania (uno de los países más avanzados en temas de protección de datos) y el Reino Unido, algunos hechos relevantes son:

Teniendo en cuenta la incompatibilidad que hay entre puestos, la necesidad de contar con un DPO que sepa bien lo que tiene que hacer (en las organizaciones que deban tenerlo) y que prácticamente no hay profesionales competentes en este sentido por la novedad del tema, se presenta un futuro algo incierto de cara al cumplimiento de la normativa.

Teniendo en cuenta además los importes de las sanciones y, sobre todo, el tiempo y esfuerzo que lleva adecuarse al nuevo marco, hay mucho trabajo por hacer.

Ventajas de contar con un Delegado de Protección de Datos DPD

Si es obligatorio no cabe duda que tener un Delegado de Protección de datos es algo a tener en cuenta.

A pesar de no ser obligatorio en algunas organizaciones tener un Delegado de Protección de datos independiente del Responsable de Seguridad (ya que las funciones del Delegado de Protección de Datos son en exclusiva sobre estos cometidos) es interesante ya que la normativa cada vez es más estricta (y las sanciones más altas), los riesgos por vulneraciones de seguridad cada vez son mayores y, como ciudadanos, somos más y más conscientes de la importancia de la protección de nuestros datos personales, por lo que las entidades a los que se los confiamos deben protegerlos, y un Delegado de Protección de Datos es una figura clave en estas tareas.

Compartir en redes sociales

Pinterest

Una respuesta a ¿Qué es un Delegado de Protección de Datos DPD/DPO? ¿Lo necesita mi empresa?

  • Muy interesantes como siempre Christian. Me asalta la duda: ¿en una biblioteca deberíamos tener un Delegado de Protección de Datos? Se realiza bastante movimiento de datos personales y es parte de la actividad como parte del préstamo. No contamos con muchos recursos pero como bien dices las multas pueden ser enormes.
    Estupendo artículo como siempre. Vale la pena seguirte porque nos mantienes informados.
    Un abrazo.

Deja un comentario

Seguir a ChristianDvE en Twitter
 TwitterFacebookYouTubePinterestInstagramFeed
Periscope
Recibe por correo electrónico los nuevos contenidos para no perderte ninguno

Dirección de mail:

Sígueme (si quieres) también en Feedly
Archivos
Creative Commons
Los contenidos de este blog se encuentran bajo una Licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported.