Con la entrada en vigor del nuevo Reglamento (UE) 2016/619 General de Protección de Datos (RGPD), ha tenido lugar la irrupción de una nueva figura que va a suponer la mayor garantía de cumplimiento de la nueva normativa: el Delegado de Protección de Datos (en lo sucesivo, por sus siglas en inglés, el “DPO”).

Sin embargo, existe un temor latente por parte de las compañías en torno a las consecuencias que esta nueva situación pueda acarrear, en base a que el DPO es percibido por éstas como un potencial acusador de los posibles incumplimientos a las autoridades de control en materia de protección de datos.

Pero, ¿existe realmente una base sobre la que se sostenga esta idea?

En el presente artículo se abordará el marco jurídico sobre el que actuará el DPO, para así entender las distintas implicaciones que realmente supondrá su actuación como mediador de las organizaciones con aquellos encargados del ineludible cumplimiento de la normativa.

Características y funciones del DPO

El DPO se constituye como un profesional con conocimientos especializados que participa de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales de las organizaciones.

El DPO no puede ser designado sin criterio alguno, se debe atender a sus aptitudes, cualificaciones profesionales y a su conocimiento especializado de la legislación y la materia en concreto. Sin embargo, una titulación previa no tiene por qué ser necesaria para ofrecer la función de DPO: la acreditación de una titulación en Derecho no garantiza tener las aptitudes requeridas para el puesto en cuestión.

Se permite que el DPO pueda formar parte de la plantilla de la organización siempre que goce de total independencia en sus funciones, o bien que sea un tercero (persona física o jurídica) quien desempeñe sus funciones dentro del marco de un contrato de servicios.

Las funciones principales de un DPO son:

• Asesoramiento permanente: informar y asesorar a la organización, sus encargados y responsables del tratamiento y a sus empleados que se ocupen del tratamiento de datos sobre las obligaciones que les incumben en virtud del RGPD y las posibles novedades normativas.

• Garantía de cumplimiento: supervisar el cumplimiento de lo dispuesto en el RGPD y de las políticas de la organización en materia de protección de datos personales, incluida la revisión de documentos, la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y la coordinación de las auditorias correspondientes.

• Evaluaciones de impacto (EIPD): ofrecer el asesoramiento que se le solicite acerca de las evaluaciones de impacto relativa a la protección de datos que debe realizar la organización en concreto.

• Violaciones de seguridad: supervisar el procedimiento de gestión de incidencias y la comunicación a la AEPD con menos de 72 horas las posibles violaciones de datos personales o brechas de seguridad

• Contacto con los interesados: actuar como punto de contacto de los interesados ante cualquier modalidad de ejercicio de sus derechos.

• Contacto con la Agencia Española de Protección de Datos: cooperar con la autoridad de control y actuar como intermediario de la misma para cuestiones relativas al tratamiento, incluidas la realización de consultas y la respuesta a solicitudes.

El DPO debe ejercer estas funciones respetando el deber de secreto y confidencialidad y prestando atención a los riesgos asociados a las operaciones de tratamiento.

La obligatoriedad de contar con un DPO en la organización

A la espera de una reforma en la Ley nacional que profundice en este aspecto, la normativa europea recoge una serie de supuestos en los que se establece la designación obligatoria de un DPO por parte de la empresa:

• Cuando el tratamiento lo lleve a cabo una autoridad u organismo público.
• Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática del interesado a gran escala.
• Cuando estemos ante tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas penales.

Resulta necesario puntualizar ciertos términos para la comprender de forma efectiva cuando resulta necesaria la designación de un DPO. El Grupo de Trabajo del Art. 29 ha tratado de dar respuesta a algunas cuestiones:

¿Qué se considera por actividad principal? – Las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento.

¿Qué se considera por “gran escala”? – el Reglamento no ha establecido una cifra exacta para determinar el significado de “gran escala”, por lo que se deben tener en cuenta: el número de interesados afectados; el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento; la duración, o permanencia de la actividad de tratamiento de datos; y el alcance geográfico de la actividad de tratamiento.

¿Qué entendemos por categorías especiales de datos personales? – aquellos datos que revelen de una persona física el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la vida sexual.

Adicionalmente, debemos tener en cuenta que cualquier organización que no esté obligada a disponer de un DPO en virtud del Reglamento, podrá voluntariamente designar uno que garantice la correcta aplicación de la normativa de protección de datos.

Pero, ¿por qué debe una empresa designar un DPO aun no siendo estrictamente obligatorio?

Nos encontramos ante un panorama donde los datos personales, con la llegada de distintas tecnologías disruptivas como el Big Data, están cobrando cada vez más relevancia en el seno de multitud de empresas que los utilizan como la base sobre la que desarrollar su estrategia, situándose su correcta interpretación como un factor competitivo diferencial. Sin duda, las empresas necesitarán cada vez más de una labor supervisora por parte de una persona experta en la materia que evite cualquier conducta que ponga en peligro la seguridad de los datos que hayan sido tratados y la correcta aplicación de la normativa.

En definitiva, para el cumplimiento de un contexto jurídico donde la proactividad se ha situado como la actitud a implementar de manera obligatoria, sin duda el DPO emerge como un elemento esencial para las entidades, especialmente para aquellas que realicen de manera habitual diferentes tratamientos de datos de carácter personal.

Laura Caballero Álvaro

Legal Counsel en Akela

@Akela_Asesores