Desde Letslaw queremos explicar quién es el Delegado Protección de Datos (DPO), figura que está regulada en el nuevo Reglamento General de Protección de Datos (RGPD), normativa que será aplicable a partir del 25 de mayo de 2018.

Para ello, nos basamos en el contenido del nuevo Reglamento y en la guía elaborada por el Grupo de Trabajo del Artículo 29 y que ha sido publicada con intención de marcar  unas directrices prácticas para ayudar a las empresas (responsables y encargados del tratamiento), para adaptarse al nuevo marco normativo europeo en protección de datos.

¿En qué casos es necesario nombrar a un DPO?

Según el RGPD, será obligatorio que las empresas que traten datos personales nombren un DPO siempre que se de alguna de las siguientes circunstancias:

  • Cuando el tratamiento lo lleva a cabo una autoridad u organismo público
  • En caso de que se tratasen a gran escala categorías especiales de datos. Entre estos datos se encuentran: datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
  • La actividad principal de la empresa consista en el tratamiento de datos que, por su naturaleza, alcance y/o fines, el seguimiento regular y sistemático de los interesados a gran escala (por ejemplo, empresas de Marketing Digital, big data, etc.).
  • En caso de que se tratasen datos relativos a condenas e infracciones penales a gran escala.

¿Qué es un tratamiento requiere una observación habitual y sistemática a gran escala?

Entre los supuestos citados en los que es obligatoria la figura del DPO, se incluyen conceptos ciertamente ambiguos como “observación habitual y sistemática” o “tratamientos a gran escala”, que el Grupo de Trabajo del Artículo 29 ha intentado aclarar en la guía que ha elaborado.

En concreto, respecto de la expresión “seguimiento regular y sistemático de los interesados”, el Grupo de Trabajo propone, varios ejemplos de actividades que pueden conllevar un seguimiento del comportamiento de los interesados, como son: la elaboración y clasificación de perfiles para realizar evaluaciones de riesgos, los programas de fidelización, la publicidad comportamental, seguimiento de ubicación a través de aplicaciones móviles, seguimiento de datos relacionados con el bienestar, como el estado físico y salud recabados mediante dispositivos portátiles (por ejemplo los que se llevan adheridos al cuerpo), el uso de circuitos cerrados de televisión o de dispositivos conectados a Internet (como electrodomésticos o coches inteligentes).

En relación con la expresión “a gran escala”, según el Grupo de Trabajo es un concepto que puede definirse teniendo en cuenta una serie de criterios, como son: el número de sujetos afectados, el volumen de datos tratados y/o el rango de diferentes elementos de datos que se están procesando, la duración o permanencia de la actividad de procesamiento de datos y, la extensión geográfica.

Así, constituirían tratamientos a gran escala:

  • Tratamientos datos de pacientes realizados por un hospital en su actividad ordinaria.
  • Tratamientos de datos de clientes por una compañía de seguros o un banco
  • Tratamientos de datos de tráfico, localización por prestadores de servicios de acceso a Internet o telefonía;
  • Tratamiento de datos para llevar a cabo actividades de publicidad comportamental o behavioural advertising mediante motores de búsqueda, entre otros.

¿Con qué cualidades debe contar el DPO?

Las cualidades o competencias profesionales que se exigen al Delegado de Protección de Datos se recogen en el art. 37.5 del Reglamento e incluyen las siguientes:

  • Conocimientos especializados en derecho, especialmente en el nuevo Reglamento, y experiencia en materia de protección de datos, tanto nacional como a nivel comunitario.
  • Capacidad para el desarrollo de las funciones que exige el Reglamento en su art. 39 y que detallamos en el siguiente apartado.
  • Independencia y transparencia en el ejercicio de sus funciones.
  • Comprensión de las operaciones de tratamientos y de las tecnologías de la información y la seguridad de los datos.

¿Cuáles son las funciones del DPO?

Además de la recomendación en cuanto a la designación, también se hace referencia en esta guía sobre la posición del DPO dentro de la empresa y sus tareas.

El RGPD detalla diversas funciones que debe realizar el Delegado de Protección de Datos, que pueden ser ampliadas por el Responsable del tratamiento, y que son:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación;
  • Cooperar con la autoridad de control (en España, la Agencia Española de Protección de Datos);
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, y realizar consultas, en su caso, sobre cualquier otro asunto.

¿Se debe seleccionar a un DPO interno o externo a la empresa?

El Delegado de Protección de Datos podrá formar parte de la plantilla del responsable o del encargado de tratamiento (DPO interno), en este sentido, la guía del Grupo de Trabajo señala una serie de cargos que podrían considerarse incompatibles con la función de DPO, o desempeñar sus funciones mediante un contrato de servicios (DPO externo).

Aunque, por el momento, no es necesaria ninguna certificación o titulación específica para ejercer las funciones de DPO, quien ocupe este cargo deberá acreditar conocimientos específicos en la normativa nacional y europea de protección de datos.

En Letslaw, además de ser especialistas en protección de datos y contar con las competencias profesionales y experiencia exigibles por el nuevo Reglamento, contamos con una certificación oficial de DPO, con el objetivo de dar garantía y seguridad a nuestros clientes de nuestra capacidad para el correcto desarrollo de las funciones de esta nueva figura.

Si quieres saber más información o tienes cualquier duda puedes contactarnos a admin@letslaw.es o en el 914 323 772.