Con el nuevo Reglamento Europeo de Protección de Datos y la nueva LOPD muchas compañías están obligadas a contar con un Delgado de Protección de Datos. Te contamos la importancia de esta figura y sus funciones.
El Reglamento Europeo de Protección de Datos (GDPR, por sus siglas en inglés) tiene entre sus principales directrices la designación de un Delegado de Protección de Datos o DPO (Data Protection Officer). Esta figura, que debe ser independiente y cursar un mandato por periodos mínimos de dos años, también está incluida en la nueva LOPDGDD.
Por ello, muchas empresas deben contar con un DPO. Sin embargo, existe cierta libertad en cuanto a su estatus dentro de la compañía. Así, podrá designarse a un empleado de la propia plantilla, o contratar a un nuevo perfil para este cometido, ya sea también dentro de la empresa, como trabajador autónomo o como consultor externo.
Según GDPR, la obligatoriedad de contar con un DPO aplica a las Administraciones Públicas, pero también a las empresas privadas que tratan datos sensibles a gran escala. Sin embargo, la LOPDGDD española, que es la versión actualizada de la antigua Ley de Protección de Datos, especifica además otros supuestos:
- Colegios profesionales y sus consejos generales.
- Centros docentes públicos y privados.
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas al tratar datos a gran escala.
- Prestadores de servicios de la sociedad de la información que elaboran perfiles de los usuarios de su servicio a gran escala.
- Entidades de ordenación, supervisión y solvencia de entidades de crédito.
- Establecimientos financieros de crédito.
- Entidades aseguradoras y reaseguradoras
- Empresas de servicios de inversión
- Distribuidores y comercializadores de energía eléctrica y gas natural.
- Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o para la gestión y prevención del fraude.
- Entidades que desarrollen actividades de publicidad y prospección comercial.
- Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
- Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos
- Empresas que desempeñan actividades de Seguridad Privada.
Funciones de un Delegado de Protección de Datos
La nueva normativa europea establece una especial importancia al DPO. Tanto es así que se entiende que figura estará blindada ante los despidos y las sanciones, pues GDPR aconseja contratar al DPO bajo la máxima estabilidad posible y ofreciendo las garantías necesarias para que su despido se considere improcedente. Por otra parte, debido al carácter independiente del puesto, el DPO no podría recibir instrucciones de ningún tipo. Así, con estas protecciones, el Delegado de Protección de Datos se convierte en una auténtica figura de control interno.
Además, las normativas estableces que el DPO debe contar con los recursos necesarios para desempeñar su labor sin ningún tipo de barrera. Es decir, que deberá disponer de tiempo suficiente, apoyo económico, de infraestructuras y de personal. Además, deberá tener acceso a otros departamentos y contar con formación continua que le permita reciclarse continuamente como ‘experto’ en Protección de Datos.
Todos estos privilegios y garantías están pensadas de esta forma para que el DPO pueda cumplir con su función, que es la de gestionar y supervisar el cumplimiento de GDPR. Para ello, deberá informar y asesorar a los empleados sobre sus obligaciones y responsabilidades cuando traten con datos personales, documentando su actividad y las respuestas recibidas a sus peticiones.
Además, el DPO deberá supervisar que se cumplan todas las disposiciones y políticas de GDPR en la empresa, incluyendo la formación de personal y la realización de auditorías periódicas. De hecho, el DPO será quien estudie el impacto del reglamento de seguridad y supervise las evaluaciones de impacto que se realicen.
Los Delegados de Protección de Datos también tendrán que gestionar la documentación, notificación y comunicación en caso de que se produzca alguna fuga de información, en el periodo establecido por GDPR, que es de 72 horas.
Entre sus funciones, el DPO también será la figura asesora en materias de cumplimiento y seguridad dentro de la compañía. A su vez, también deberá estar en contacto con la autoridad de control y actuar como enlace entre la misma y la propia empresa.
Según GDPR, un DPO debe formar parte de todos los debates, análisis o discusiones que tengan como materia el tratamiento de datos personales. Además, en el desempeño de sus funciones deberá reportar cualquier cuestión que pueda generar dudas a la más alta dirección.
Por otra parte, la normativa europea no impide que el Delegado de Protección de datos asuma otras funciones dentro de la empresa, pero siempre y cuando éstas tengan relación con el tratamiento de datos personales y cuando éstas no creen un conflicto de intereses entre sus funciones como DPO y los intereses de otros departamentos. Como decíamos, el DPO debe ser entendido como una figura independiente.
