El Delegado de Protección de Datos o DPO (por las siglas en inglés de Data Protection Officer) es una de esas profesiones nuevas que surgen vinculadas a la obligatoria, si quieren subsistir, transformación digital de las empresas.
Aparte de una necesidad para estas organizaciones, su existencia supone una oportunidad laboral para distintos perfiles profesionales. La protección de los datos se ha convertido en un requisito indispensable que deben cumplir las empresas que manejan los de sus trabajadores y clientes.
Por consiguiente, hace falta un rol en estas organizaciones que se encargue de gestionar la privacidad en las fluctuaciones internas y externas de estas entidades. ¿Por qué su cometido es tan relevante? A continuación lo vas a descubrir.
La nueva LOPD recoge la figura del DPO
En primer lugar, has de saber que el DPO es una creación propia del Reglamento Europeo de Protección de Datos (RGPD). En concreto, esta figura laboral aparece en su artículo 37.
El RGPD tiene aplicación directa. No como las directivas comunitarias, que requieren de una ley de los Estados miembros que lleve a cabo su trasposición. Por consiguiente, sirve para armonizar en los Estados miembros las disposiciones normativas.
En España, por ejemplo, se ha producido la adaptación de la legislación en materia de protección de datos digitales, igual que el RGPD sustituye a una normativa de 1995. El RGPD fue aprobado por el Parlamento Europeo en 2016. Sin embargo, no entró en vigor, aunque se podían ir realizando las adaptaciones oportunas previamente, hasta mayo de 2018.
Esta última fecha supuso que, pocos meses después, en diciembre de 2018 se aprobara en España la que vendría a sustituir a la primera Ley Orgánica de Protección de Datos (LOPD) del país. Se trataba de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, también conocida como LOPDGDD o nueva LOPD.
Una vez conocido el recorrido normativo que lleva hasta la implantación del DPO, es el momento de profundizar en el contenido de este puesto de trabajo.
¿Qué empresas han de contar con un DPO?
En este sentido, hay que reconocer que han sido numerosas las dudas expuestas por firmas, como sobre todo las pequeñas y medianas empresas, que no tienen claro si han de contratar un DPO.
Es lógico, precisamente, que sean las empresas con un menor volumen de negocio las que tengas más dudas sobre la obligatoriedad de esta figura. Más allá de su relevancia, no es ningún secreto que hay empresas para las que realizar esta inversión supone un gasto presupuestario significativo.
El artículo 37 del RGPD confirma que han de contar con este empleado las empresas que cuenten con más de doscientos cincuenta empleados. Se comprende que una plantilla de este tamaño requiere unas precauciones especiales en materia de protección de datos. Asimismo, los tratamientos efectuados por organismos públicos también tendrán que recurrir a él.
Asimismo, deberá haber un DPO cuando las actividades de los responsables impliquen seguimientos continuados por parte de los interesados. Por último, también será necesario cuando se lleven a cabo tratamientos a gran escala de datos con niveles de riesgo altos y personales relativos a delitos y condenas.
Tal vez algunos de los últimos conceptos pueden resultar un tanto imprecisos, pero existe un grupo, conocido como G29, que está trabajando en su aclaración, de modo que las empresas puedan saber a qué atenerse en cada caso. La Agencia Española de Protección de Datos (AEPD), por su parte, se encarga de publicitar estas directrices. Esta pedagogía contribuye al buen entendimiento de la normativa y a la implantación segura del DPO.
¿Cuáles son las funciones de los DPO?
Este profesional va a necesitar contar con información de primera mano respecto a los datos personales que maneja la empresa. En este sentido, supervisa si los responsables y encargados de los tratamientos de los datos personales están cumpliendo con sus obligaciones al respecto. Si no lo están haciendo, les asesorará para que esta finalidad sea cumplida.
De la misma manera que se encarga de velar por la seguridad interna de los datos, también se ocupa de que no existan dudas hacia afuera. Será, por tanto, el interlocutor válido con la AEPD. Cooperará con esta autoridad controladora, puesto que sus intereses son los mismos: velar por la protección de los datos personales.
La empresa tendrá que facilitar todos los recursos posibles al DPO para que sus trabajos sean efectivos. Toma nota de las funciones básicas de este técnico.
- Asistencia (también a los empleados comunes) sobre el tratamiento de los datos personales.
- Control de las labores realizadas para proteger estos datos.
- Formación y concienciación de la plantilla.
- Evaluación de los riesgos para la privacidad.
- Intermediación con otras entidades respecto a los asuntos relacionados con la protección de datos.
¿Por qué los abogados son unos perfiles idóneos para trabajar de DPO?
Lo primero que has de retener es que el DPO puede ya estar formando parte de la plantilla empresarial o ser subcontratado expresamente. De hecho, delegar este trabajo en una consultoría de protección de datos puede ahorrar tiempo y dinero a las empresas.
¿Por qué esta externalización puede suponer un ahorro considerable? Entre otras cosas, porque el dinero que se le pague a uno de estos profesionales puede ser amortizado cuando se eviten determinadas multas por no haber protegido debidamente los datos personales en el seno de la organización.
Y te preguntarás qué perfiles profesionales pueden desempeñar este puesto de trabajo. Básicamente, es importante saber de Derecho, Marketing y Seguridad Informática. No se demanda ninguna formación específica, pero resulta evidente que ser abogado, por los conceptos que se manejan y se controlan, ayuda a ejercer las funciones antes comentadas.
No obstante, desde la Entidad Nacional de Acreditación (ENAC) no descartan expedir en un futuro cercano certificaciones para los profesionales que se vayan a encargar de estas labores, aunque no sean las únicas credenciales para hacer estos trabajos. Se trata de un empleo con salidas, dado que la Asociación Internacional de Profesionales de la Privacidad (IAPP) considera que, desde 2018, hacen falta setenta y cinco mil de estos técnicos en la Unión Europea.
En definitiva, el Delegado de Protección de Datos ya es una obligación del presente y en un futuro cercano adquirirá una mayor relevancia.