El Reglamento General de Protección de Datos (RGPD), que será aplicable el 25 de mayo de 2018, establece una serie de “medidas de responsabilidad activa” por parte de aquellos que tratan datos para salvaguardar el derecho fundamental de los ciudadanos.
Entre estas medidas se incluye la figura de un Delegado de Protección de Datos (DPO – Sus siglas en inglés – “Data Protection Officer”) figura inexistente hasta la fecha y que según el artículo 37.1 RGPD, es obligatoria en el caso de autoridades y organismos públicos, entidades que realicen una observación habitual y sistemática de las personas a gran escala, y entidades que tengan entre sus actividades principales el tratamiento, también a gran escala, de datos sensibles.
“37.1 – El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
- a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
- b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
- c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.”
El DPO constituye uno de los elementos clave de la adaptación al RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones.
Al DPO, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado, incluyendo la supervisión y asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos. De igual manera deberá cooperar con la autoridad de control así como actuar de punto de contacto con dicha autoridad para cuestiones relativas al tratamiento de datos.
Según el artículo 37.5 RGPD, el DPO deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos:
“37.5 El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.”
Por tanto, el DPO deberá ser una persona con conocimientos jurídicos (por ejemplo, un abogado) y especializado en el área de protección de datos.
El Delegado de Protección de datos podrá ser personal laboral de la empresa en cuestión o bien ser contratado de forma externa en régimen de arrendamiento de servicios según el artículo 37.6 RGPD.
“37.6 El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.”
Por tanto hay plena libertad para las empresas a la hora de contratar la figura del DPO bien mediante contrato laboral bien externalizando sus servicios.
En cualquier caso, el DPO trabajará de forma independiente y deberá contar con la cooperación del responsable y encargado del tratamiento que pondrán a su disposición todos los recursos, materiales y humanos, para que el DPO pueda cumplir con sus funciones según el artículo 38 RGPD.
“38.2 El Responsable y encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados”
“38.3 El Responsable y encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones. No será destituido ni sancionado por el responsable o el encargado por realizar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.”
En caso de que el DPO sea personal laboral de la empresa gozará, además de la independencia comentada anteriormente, de los derechos y garantías que el artículo 68 el Estatuto de los Trabajadores prevé para los miembros del comité de empresa y delegados de personal.
Si está considerando implementar la figura del DPO, mediante la externalización de su servicio, LOPDINFOTIC le brinda esa posibilidad a través de sus abogados expertos en protección de datos, sin que de esa manera se eleven sus costes de personal, pudiendo cumplir con la normativa de una manera técnica e independiente. Contamos con una gran experiencia como DPO para ayuntamientos, Mancomunidades de Municipios y otras entidades locales.