A partir del 25 de mayo es de plena aplicación el Reglamento General de Protección de Datos.

En él, y como novedad respecto a la legislación anterior, se crea la figura del DPO, (Data Protection Officer) o Delegado de Protección de Datos.

En el siguiente post hablamos sobre en qué consiste la figura del DPO, sus diferencias con el Compliance Officer y en qué casos hay una obligación de contratación para las empresas.

La figura del DPO

Esta figura tiene una clara semejanza con la del Compliance Officer, que es el órgano encargado de velar por el cumplimiento normativo en las empresas, y que ha surgido en nuestro marco normativo como consecuencia de la reforma del Código Penal del año 2010, cuando se introdujo la responsabilidad penal de las personas jurídicas.

A pesar de que en España puede resultar novedosa la creación por ley de una figura que se encargue de velar por el cumplimiento de la legislación, lo cierto es que en otros países es habitual que sean las propias organizaciones las que, a través de sus Compliance Officers, se encarguen de asegurar que se cumple la legislación.

 ¿Cuáles son las diferencias entre el DPO y el Compliance Officer?

El Compliance Officer se encarga de forma general, del cumplimiento normativo, de forma que deberá contar con expertos en distintas materias que aseguren que el asesoramiento que presta en todas las áreas de la empresa es correcto.

El artículo 31 Bis del Código Penal dispone, en su condición 2º que “La supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado tiene que ser confiada a un órgano de la persona jurídica, con poderes autónomos de iniciativa y control”.  Este órgano es el Compliance Officer.

El DPO es un especialista en protección de datos. El Reglamento General de Protección de Datos ha establecido que esta posición debe ocuparse por personas o entidades que tengan amplios conocimientos en materia de protección de datos, y así lo expresa el tenor literal del artículo 37.5 del RGPD “El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39

De la misma manera, el RGPD ha querido dotar al Delegado de Protección de Datos de total independencia a la hora de desarrollar sus funciones dentro de una organización, en la misma línea del Compliance Officer.

En este sentido, el RGPD dispone que “Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente”

Respecto a la obligación de designar un DPO, el RGPD en su artículo  37 establece que se debe designar de forma obligatoria un delegado de protección de datos en los siguientes casos:

  1. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en el ejercicio de su función judicial.
  2. Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  3. Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10

En lo relativo a la obligatoriedad de nombrar Compliance Officers, el Código Penal, establece que “ la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión. Es por tanto una obligación genérica para las empresas.