Hasta
ahora existían dos figuras fundamentales que se encargaban de decidir sobre la
finalidad, contenido y uso de los datos personales en las organizaciones, ya
fueran en la administración pública o en las empresas privadas: el Responsable
del fichero o tratamiento y el Encargado del tratamiento. Sin embargo, ambas
figuras no son plenamente independientes en sus funciones y carecen de muchas
competencias fundamentales. Es por ello que en aras de asegurar una mayor
protección de los datos personales en todos los países de la Unión Europea y
como base para legislaciones de terceros países, el Parlamento Europeo y el
Consejo han creado una figura universal: Delegado de Protección de Datos (Data
Protection Officer (DPO)). Está contemplada en la Sección 4ª del Capítulo IV
del Reglamento 2016/679/UE, de 27 de abril, Protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre circulación
de estos datos y por el que se deroga la Directiva 95/46/CE.
Los artículos 37 a 39 del RGPD establecen su designación, posición dentro de la
organización y las funciones que ha de desempeñar. A diferencia de la
Directiva, ya derogada por el Reglamento, la nueva norma es de obligado
cumplimiento para todos los países de la Unión Europea, sin necesidad de
promulgar leyes nacionales. Esto permite un gran avance en la armonización de
la protección de datos en toda la UE ya que se unifica en todos los países y
soluciona los problemas de jurisdicción y compatibilidad legislativa.
Capacitación del DPO
En principio la legislación europea y española no establece un perfil concreto.
Aunque el DPO requiere un conocimiento profundo de la legislación en materia de
protección de datos y su capacidad para desempeñar sus funciones, no se exige
actualmente ser abogado en ejercicio, solamente aquellas titulaciones cuyas
asignaturas transversales tengan contenido jurídico en Protección de Datos. No
obstante, como bien dice la Agencia Española de Protección de Datos (AEPD), ya
existen certificaciones y titulaciones “que respaldan conocimientos,
experiencia o práctica en el ámbito de la protección de datos” y desde la
Agencia se está planteando la posibilidad de “promover la aplicación de la
acreditación de entidades de certificación de profesionales con arreglo a estándares
ya establecidos.”
Definición y designación del Delegado de protección de datos
Curiosamente el RGPD crea la figura del Delegado pero no hace una
definición del mismo en su artículo 4. Habrá que acudir a los restantes
artículos para comprender mejor qué es esta nueva figura.
De la lectura de los artículos 37 a 39 del RGPD, podría decirse que el
Delegado de protección de datos es un profesional altamente cualificado, con
conocimientos y experiencia en Protección de Datos, elegido por el responsable
y el encargado del tratamiento para informar, asesorar, supervisar y cooperar
con la autoridad de control en materia de protección de datos. Una vez
designado, debe comunicarse a la Agencia Española de Protección de Datos y a
todos aquellos cuyos datos sean tratados para poder trasladarle todas las
cuestiones relativas a la protección de datos.
Aunque inicialmente el puesto del DPO era temporal, ahora puede pasar a
indefinido, bien formando parte de la plantilla del responsable o del encargado
del tratamiento o como agente externo.
Funciones del DPO
El artículo 39 del RGPD establece las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los
empleados que se ocupen del tratamiento de las obligaciones que les incumben en
virtud del presente Reglamento y de otras disposiciones de protección de datos
de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de
otras disposiciones de protección de datos de la Unión o de los Estados
miembros y de las políticas del responsable o del encargado del tratamiento en
materia de protección de datos personales, incluida la asignación de
responsabilidades, la concienciación y formación del personal que participa en
las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de
impacto relativa a la protección de datos y supervisar su aplicación de
conformidad con el artículo 35;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones
relativas al tratamiento, incluida la consulta previa a que se refiere el
artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
Aspectos importantes en la labor del DPO
Diseño de los mecanismos de seguridad
La labor del Delegado de protección de datos es compleja ya que debe ayudar a
la organización desde mucho antes de la creación del fichero. La legislación
vigente exige la creación de unos mecanismos de seguridad desde el mismo diseño
y por defecto, por lo que antes de recopilar datos personales el DPO ha de
supervisar que el fichero cumpla con todos los requisitos y se tomen las
medidas necesarias para proteger los datos y los derechos de los afectados. Por
este motivo, el DPO debe ser un experto en protección de datos, que sepa
coordinar equipos multidisciplinales y servir de puente entre los distintos
departamentos de la empresa u organización. Este último punto es esencial para
una óptima interacción del DPO con los responsables de cada departamento en el
diseño del fichero y tratamiento de los datos personales según sus propias
políticas.
Evaluación de Impacto
Y al igual que se encarga de supervisar que el fichero cuenta con todas las
garantías exigidas por la ley, también tiene la obligación de analizar los
riesgos a través de la Evaluación de Impacto, identificándolos y proponiendo
todas aquellas medidas a adoptar para afrontar y gestionar los posibles
peligros.
No solo es importante crear mecanismos de protección de datos personales,
también es necesario que el DPO potencie todas aquellas políticas de
prevención que pueden evitar costosas pérdidas económicas, una mala reputación
de la empresa y, lo más importante, la vulneración de los derechos
fundamentales de los afectados.
Formación de los empleados
La prevención también pasa por una estricta formación que permita a los
empleados de una empresa u organización realizar un uso correcto de la información.
El Delegado de Protección de Datos, como profesional y experto en la materia,
debe formar a los empleados y evitar que una mala práctica lleve a la pérdida,
supresión, manipulación o revelación de datos personales.
Responsabilidad del DPO
Aunque está designado por el responsable y el encargado del tratamiento (art.
37.1 del RGPD), solamente “rendirá cuentas directamente al más
alto nivel jerárquico del responsable o encargado”, consiguiendo de este modo
mayor independencia y objetividad. Incluso “no podrá ser destituido ni
sancionado por el responsable o el encargado por desempeñar sus funciones”
(art. 38.3 del RGPD). Hay que tener en cuenta que sus
competencias son mayores que las del responsable de seguridad, por lo que
esta figura debe tener una mayor protección.
Esa mayor responsabilidad obliga al DPO a ser más diligente en su labor, actuar
con cierta ética profesional ya que su labor supera con creces lo establecido
en la legislación europea y española. En cualquier caso, es necesario tener
cobertura en un Seguro de responsabilidad civil.