Desde Letslaw queremos explicar quién es el Delegado de Protección de Datos (DPO), figura que está regulada en el nuevo Reglamento General de Protección de Datos (RGPD), normativa que será aplicable a partir del 25 de mayo de 2018.

Para ello, nos basamos en el contenido del nuevo Reglamento y en la guía elaborada por el Grupo de Trabajo del Artículo 29 y que ha sido publicada con intención de marcar  unas directrices prácticas para ayudar a las empresas (responsables y encargados del tratamiento), para adaptarse al nuevo marco normativo europeo en protección de datos.

¿En qué casos es necesario nombrar a un DPO?

Según el RGPD, será obligatorio que las empresas que traten datos personales nombren un DPO siempre que se de alguna de las siguientes circunstancias:

  • Cuando el tratamiento lo lleva a cabo una autoridad u organismo público
  • En caso de que se tratasen a gran escala categorías especiales de datos. Entre estos datos se encuentran: datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
  • La actividad principal de la empresa consista en el tratamiento de datos que, por su naturaleza, alcance y/o fines, el seguimiento regular y sistemático de los interesados a gran escala (por ejemplo, empresas de Marketing Digital, big data, etc.).
  • En caso de que se tratasen datos relativos a condenas e infracciones penales a gran escala.

¿Qué es un tratamiento requiere una observación habitual y sistemática a gran escala?

Entre los supuestos citados en los que es obligatoria la figura del DPO, se incluyen conceptos ciertamente ambiguos como “observación habitual y sistemática” o “tratamientos a gran escala”, que el Grupo de Trabajo del Artículo 29 ha intentado aclarar en la guía que ha elaborado.

En concreto, respecto de la expresión “seguimiento regular y sistemático de los interesados”, el Grupo de Trabajo propone, varios ejemplos de actividades que pueden conllevar un seguimiento del comportamiento de los interesados, como son: la elaboración y clasificación de perfiles para realizar evaluaciones de riesgos, los programas de fidelización, la publicidad comportamental, seguimiento de ubicación a través de aplicaciones móviles, seguimiento de datos relacionados con el bienestar, como el estado físico y salud recabados mediante dispositivos portátiles (por ejemplo los que se llevan adheridos al cuerpo), el uso de circuitos cerrados de televisión o de dispositivos conectados a Internet (como electrodomésticos o coches inteligentes).

En relación con la expresión “a gran escala”, según el Grupo de Trabajo es un concepto que puede definirse teniendo en cuenta una serie de criterios, como son: el número de sujetos afectados, el volumen de datos tratados y/o el rango de diferentes elementos de datos que se están procesando, la duración o permanencia de la actividad de procesamiento de datos y, la extensión geográfica.

Así, constituirían tratamientos a gran escala:

  • Tratamientos datos de pacientes realizados por un hospital en su actividad ordinaria.
  • Tratamientos de datos de clientes por una compañía de seguros o un banco
  • Tratamientos de datos de tráfico, localización por prestadores de servicios de acceso a Internet o telefonía;
  • Tratamiento de datos para llevar a cabo actividades de publicidad comportamental o behavioural advertising mediante motores de búsqueda, entre otros.

¿Con qué cualidades debe contar el DPO?Las cualidades o competencias profesionales que se exigen al Delegado de Protección de Datos se recogen en el art. 37.5 del Reglamento e incluyen las siguientes:

  • Conocimientos especializados en derecho, especialmente en el nuevo Reglamento, y experiencia en materia de protección de datos, tanto nacional como a nivel comunitario.
  • Capacidad para el desarrollo de las funciones que exige el Reglamento en su art. 39 y que detallamos en el siguiente apartado.
  • Independencia y transparencia en el ejercicio de sus funciones.
  • Comprensión de las operaciones de tratamientos y de las tecnologías de la información y la seguridad de los datos.

¿Cuáles son las funciones del DPO?

Además de la recomendación en cuanto a la designación, también se hace referencia en esta guía sobre la posición del DPO dentro de la empresa y sus tareas.

El RGPD detalla diversas funciones que debe realizar el Delegado de Protección de Datos, que pueden ser ampliadas por el Responsable del tratamiento, y que son:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación;
  • Cooperar con la autoridad de control (en España, la Agencia Española de Protección de Datos);
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, y realizar consultas, en su caso, sobre cualquier otro asunto.

¿Se debe seleccionar a un DPO interno o externo a la empresa?

El Delegado de Protección de Datos podrá formar parte de la plantilla del responsable o del encargado de tratamiento (DPO interno), en este sentido, la guía del Grupo de Trabajo señala una serie de cargos que podrían considerarse incompatibles con la función de DPO, o desempeñar sus funciones mediante un contrato de servicios (DPO externo).

Aunque, por el momento, no es necesaria ninguna certificación o titulación específica para ejercer las funciones de DPO, quien ocupe este cargo deberá acreditar conocimientos específicos en la normativa nacional y europea de protección de datos.

En Letslaw, además de ser especialistas en protección de datos y contar con las competencias profesionales y experiencia exigibles por el nuevo Reglamento, contamos con una certificación oficial de DPO, con el objetivo de dar garantía y seguridad a nuestros clientes de nuestra capacidad para el correcto desarrollo de las funciones de esta nueva figura.

Si quieres saber más información o tienes cualquier duda puedes contactarnos a admin@letslaw.es o en el 914 323 772.