El Delegado de Protección de Datos (DPO por sus siglas en inglés) es una figura que viene creada por el Reglamento General de Protección de Datos (RGPD). Por esta razón, aún hay muchas dudas acerca de este profesional y en este texto, vamos a hablar sobre qué es este profesionalidad y quiénes un Delegado de Protección de Datos necesitan.
¿Qué es el Delegado de Protección de Datos (DPO)?
El DPO es el encargado de garantizar que la nueva normativa de protección de datos se cumpla en la empresa que lo tiene contratado. Lo principal que has de tener claro es que esta persona debe haberse formado para obtener conocimientos especializados de legislación y práctica en materia de protección de datos. Aunque no es necesario que cuente con una titulación específica, tiene que acreditar la tenencia y manejo de estos conocimientos.
Otro dato interesante es que este puede ser una persona externa a la empresa o que trabaje en ella. No obstante, si se opta por designar a un trabajador, este deberá dejar sus otras tareas y centrarse en la gestión de la recogida, almacenamiento y tratamiento de los datos.
Para entender mejor el papel de este profesional en una empresa debemos tener en cuenta sus funciones que son las siguientes:
– Informar y asesorar a los que se ocupen del tratamiento de los datos.
– Supervisión de los protocolos para adaptarlos a la nueva normativa europea y asegurarse que esta se cumple.
– Asesorar acerca de la evaluación del impacto relativa a la protección de datos y supervisión de su aplicación.
– Cooperación con las autoridades pertinentes y nexo de comunicación entre ellos y la entidad para la que trabaje.
Por último, debes tener claro que estas funciones están reguladas en el artículo 39 del RGPD al igual que la obligatoriedad o no de contratar a este profesional.
¿Cuándo es obligatorio contratar a este profesional según el RGPD?
A pesar de que se trata de una figura clave a la hora de mantener bajo control todo lo relacionado con la protección de datos, hay empresas que no están obligadas a tener esta figura. Así pues, vamos a exponer en qué casos sí es obligatorio contar con un DPO.
Artículo 37
Lo primero que has de tener en cuenta son los propios artículos del reglamento. En el número 37 se expone que contratar a este responsable de los datos es obligatorio en tres casos diferentes.
– Cuando se trata de un organismo o entidad pública.
– Cuando las actividades principales del tratamiento sean operaciones que necesiten un seguimiento continuo y sistemático de los interesados.
– Cuando la principal actividad se base en el tratamiento de los datos a gran escala de categorías especiales de datos o de aquellas informaciones relacionadas con condenas y delitos.
Pues bien, en estos supuestos hay que tener muy en cuenta tres factores en los que profundizaremos a continuación.
Actividades principales
Cuando en el artículo 37 del reglamento se habla de actividades principales, se hace referencia a que la recogida, almacenamiento y tratamiento de los datos ha de ser la función principal de la empresa en cuestión. Es decir, que si estos se recogen pero de ello no depende la función de la empresa, no existiría, en principio, necesidad de contratar un DPO. Aunque siempre es positivo contar con asesoramiento profesional.
De esta manera, una empresa que administrara perfiles de personas tendría la obligación de contratar un DPO. Ejemplos de ello son Facebook, 21Buttons, Twitter, Instagram…
Otra cuestión que se pone de manifiesto es el hecho de aquellas empresas en las que la recogida de datos fuese algo primordial. Esto es, sin necesidad de que sea la actividad principal, el desarrollo de la misma necesitase de la recogida de los mismos. Por ejemplo, los hospitales cumplirían con esta condición ya que, aunque su actividad principal es la de tratar a los pacientes, sin manejar sus datos les sería imposible.
A gran escala
Este es otro de los factores que hay que tener en cuenta. Ciertamente, «a gran escala» es un principio algo confuso. Por ello, ante la confusión se está esperando a que se enumeren momentos en los que se establezcan parámetros más caros.
Hasta ahora, hay que basarse en cuatro puntos clave:
– Número de personas afectadas.
– Volumen de datos o índole de los mismos.
– Duración o permanencia de la actividad de tratamiento.
– Alcance geográfico del tratamiento.
Seguimiento regular y sistemático
Este es el último factor a tener en cuenta. Pero en esta condición encontramos tres factores diferentes.
Seguimiento hace referencia a la monitorización de los datos. Ya sea por la creación de perfiles o para la inclusión de publicidad.
Cuando se hace referencia a «regular», lo que se establece es que este tratamiento se haga de forma continuada o que se produzca en Intervalos concretos de forma recurrente o repetitiva. Es decir, que haya una periodicidad en el tratamiento y recogida de datos.
Por último, la palabra «sistemático» hace referencia a que exista el establecimiento de un sistema preestablecido con una organización o método concreto. Pero además, esta organización debe estar realizada como parte de un plan general de recogida de datos o como una estrategia de la propia empresa.
De esta manera, todas las compañías que cumplan todas o alguna de estas características han de tener claro que tienen que contratar un Delegado de Protección de Datos obligatoriamente.
Más datos interesantes sobre el DPO
Antes de acabar este artículo, no podemos dejar de mencionarte dos cuestiones interesantes sobre este profesional. La primera de ellas es que no puede ser despedido y la segunda que no puede recibir instrucciones por parte de la empresa.
La figura del DPO está completamente blindada para que verdaderamente pueda convertirse en un enclave de control interno. Si la empresa pudiera despedirlo o mandar sobre él, su control se vería coartado por las represalias de la empresa.
Por este motivo, el reglamento deja muy claro la imposibilidad de darle instrucciones sobre su trabajo y, obviamente, de despedirlo. En cualquier caso, lo más importante es contar con ClickDatos.
Ahora que sabes quiénes un Delegado de Protección de Datos necesitan y en qué consiste su labor, te será mucho más sencillo entender quién ha de encargarse de tus datos dentro de las grandes empresas.