Delegado de Protección de Datos (DPO)

El Data Protection Officer (DPO) o Delegado de Protección de Datos (su traducción al castellano) es la nueva figura contemplada en la propuesta del Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos (Reglamento General de Protección de Datos).

Dicho Reglamento Europeo de Protección de Datos, que será de aplicación directa para todos los estados miembros de la Unión Europea, aun no ha sido aprobado, pero todo parece indicar que cuando lo haga (prevista su aprobación para el 2016) lo hará contando con la figura del Delegado de Protección de Datos que vendrá a ser semejante a la del Responsable de Seguridad, que tenemos actualmente.

¿Dónde se regula la figura del Delegado de Protección de Datos (DPO)?

La figura del DPO viene recogida en los artículos 35 a 37 de la propuesta de Reglamento General de Protección de Datos.

¿Cuándo será obligatorio contar con un Delegado de Protección de Datos (DPO)?

Será obligatorio designar un Delegado de Protección de Datos (DPO) en los siguientes casos:

  • Cuando se trate de una Administración Pública. Así, todas las administraciones públicas estarán obligadas a disponer de un DPO. No obstante, se prevé permitir que una organización de administraciones públicas puedan disponer de un único DPO:
  • Cuando se recojan y traten datos personales de más de 5000 personas físicas durante el periodo de un año ininterrumpidamente.
  • Cuando la actividad del responsable del tratamiento (titular de la empresa) consista en hacer seguimiento periódico y sistemático de los interesados. Por ejemplo, en caso de monitorización de la conducta de las personas.
  • Cuando se traten datos: Especialmente sensibles (como pueden ser los datos relativos a la salud), datos de localización o datos de menores o trabajadores a gran escala. Así, los hospitales o clínicas deberán disponer de un DPO. Respecto al tema de los menores, está por ver qué se entiende por tratar datos de menores a gran escala, pero entiendo que los centros escolares deberán disponer de un DPO.

No obstante lo anterior, la propuesta del Reglamento establece la posibilidad de que los grupos de empresas puedan disponer de un único DPO, siempre y cuando, éste pueda ser fácilmente accesible desde cualquiera de las empresas del grupo.

¿Qué requisitos o conocimientos específicos deberá cumplir el Delegado de Protección de Datos (DPO)?

La última redacción de la propuesta del Reglamento Europeo de Protección de Datos establece que el Delegado de Protección de Datos DPO deberá tener conocimientos específicos en la materia (protección de datos).

No obstante, a fecha,no se especifica cómo deben acreditarse dichos conocimientos o qué mecanismos o requisitos específicos deben cumplirse para ser nombrado DPO.

Todo apunta, a que se tratará de abogados especializados en protección de datos (mediante máster, postgrado o curso de especialización), con unas horas mínimas de práctica al respecto, y cuya acreditación probablemente venga emitida por entidades públicas de gestión o asociaciones sobre privacidad. Pero todo esto, está por ver.

¿Quién deberá designar al Delegado de Protección de Datos (DPO)?

La designación del Delegado de Protección de Datos (DPO) será llevada a cabo por: El responsable del tratamiento (titular de la empresa) o el encargado del tratamiento (el prestador de servicios del responsable).

La identidad del DPO deberá ser comunicada a la autoridad de control (en nuestro caso, la Agencia Española de Protección de Datos) y al público en general ya que, los interesados deben tener la posibilidad de ponerse en contacto directo con el DPO, en caso de que quieran consultar cualquier asunto relativo al tratamiento de sus datos personales o ejercer cualquier derecho que les ampare.

De esta forma, el DPO será el enlace entre el responsable del fichero o encargado del tratamiento y la autoridad de control.

Asimismo, se deberá poner al alcance del DPO toda la información, material y formación necesaria para que éste pueda cumplir con su cometido de la forma más diligente e independiente posible.

Obviamente, el DPO estará vinculado por el deber de secreto respecto a los datos que conozca en ejercicio de sus funciones.

¿Cuánto durará el mandato del Delegado de Protección de Datos (DPO)?

El DPO, que podrá ser contratado laboralmente (a tiempo parcial o completo) o mediante un contrato de prestación de servicios, ocupará su cargo durante:

  • 4 años si se trata de un trabajador.
  • 2 años si se trata de un externo.

Una vez concluido el término del mandato, éste podrá renovarse (la propuesta de Reglamento no indica un número máximo de renovaciones, por lo que, se considera que el DPO puede ser renovado tantas veces como se desee).

Cabe decir, que un trabajador o externo, puede realizar más funciones que las propias del DPO, o incluso ser DPO para diferentes empresas o administraciones públicas.

¿Cuáles serán las funciones del Delegado de Protección de Datos (DPO)?

Las funciones del Delegado de Protección de Datos (DPO) serán:

  1. Informar, asesorar y sensibilizar al responsable o al encargado del tratamiento de las obligaciones a las que están obligados, en particular en relación a las medidas técnicas y organizativas de seguridad, y documentarlo.
  2. Supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal y las auditorías correspondientes.
  3. Supervisar la implementación y aplicación de la normativa, en particular por lo que hace referencia a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como, a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos.
  4. Velar por la conservación de la documentación.
  5. Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con la normativa.
  6. Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consultas previas, si fueran necesarias de conformidad con el reglamento.
  7. Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con la autoridad de control a solicitud de ésta o a iniciativa propia.
  8. Actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia.
  9. Comprobar la conformidad del tratamiento cuando sea necesario realizar una consulta previa a la autoridad de control.