En els últims mesos han aparegut, en no poques ocasions, multitud d'articles en premsa, sobre la figura del delegat de Protecció de Dades (PDO) Que exigeix ​​el Reglament (UE) 2016 / 679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals ia la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95 / 46 / CE (RGPD).

Aquesta figura, coneguda popularment com PDO (En anglès, Data Protection Officer), constitueix un dels elements claus del Reglament General de Protecció de Dades (RGPD), i un garant del compliment de la normativa de la protecció de dades en les organitzacions, que apareix recollit en els articles 37, 38 i 39 del Reglament General de Protecció de Dades (RGPD), establint els requisits per a la designació, posició i funcions del Delegat de Protecció de Dades (PDO).

Requisits per ser DPO:

Respecte dels requisits per poder ser, Delegat de Protecció de Dades, s'estableix que aquest haurà de comptar amb coneixements especialitzats del Dret, i òbviament en protecció de dades, actuant de forma independent, mitjançant una sèrie d'atribucions, entre les quals destaquen informar i assessorar, així com supervisar el compliment del citat Reglament General de Protecció de Dades (RGPD) per part del responsable o encarregat del tractament.

Si bé el Reglament General de Protecció de Dades (RGPD) no exigeix ​​que hagi de ser un jurista o advocat, sí que compti amb aquest coneixement en Dret anteriorment citat; A més, el PDO podrà ser intern o extern, persona física o persona jurídica especialitzada en aquesta matèria, tot i que segons alguns experts en la matèria provinents de les autoritats de control, no seria admissible que aquesta posició l'ostentés una persona jurídica sense designar almenys a una persona física dins d'aquesta organització.

Quan serà necessari el DPO?

Amb la propera entrada en vigor del Reglament General de Protecció de Dades (RGPD) el proper 25 de maig, s'estableix l'obligatorietat de comptar amb aquesta figura però només en determinats casos, (1) quan el tractament el porti a terme una autoritat o organisme públic; (2) quan les activitats principals del responsable o encarregat del tractament consisteixin en operacions de tractament que requereixin un seguiment regular i sistemàtic dels interessats a gran escala; i (3) quan les activitats principals del responsable o l'encarregat consisteixin en el tractament a gran escala de categories especials de dades o dades personals relacionats amb condemnes i delictes. Per tant, no totes les empreses han de tenir el Delegat de Protecció de Dades. Si bé és cert que el reglament és una cosa imprecís respecte de què és considerat un tractament a gran escala, el Grup de l'Article 29 (WP29) no descarta que pugui establir-se un mètode estàndard que ho necessiti en termes objectius i quantitatius. En tot cas, ia la vista del que problemàtic d'aquest concepte, sí que ha anunciat que publicarà alguns llindars que ajudin a definir en quines situacions, a priori poc clares, cal nomenar un PDO.

Fins a la data, els elements que s'han de tenir en compte per precisar si el tractament és «a gran escala»Són: (1) la quantitat de persones afectades (en nombre o en proporció), (2) el volum de dades que es tracten, (3) la durada de l'activitat de tractament de dades i (4) l'abast geogràfic de l'activitat del tractament.

Quines empreses o entitats han de tenir un DPO?

En l'actual avantprojecte de Llei de Protecció de Dades que està sent debatut, es recull en el seu article 35.1, les entitats que han de tenir un PDO, Entre elles, les següents: (i) Els col·legis professionals i els seus consells generals; (Ii) els centres docents que ofereixin ensenyaments regulats; (Iii) les entitats que explotin xarxes i prestin serveis de comunicacions electròniques; (Iv) els prestadors de serveis de la societat de la informació que demanin informació dels usuaris dels seus serveis, sigui o no exigible el registre previ per a l'obtenció dels mateixos; (V) les entitats incloses a l'article 1 de la Llei 10 / 2014, de 26 de juny, d'ordenació, supervisió i solvència d'entitats de crèdit; (Vi) els establiments financers de crèdit; (Vii) les entitats asseguradores i reasseguradores (viii) les empreses de serveis d'inversió; (Ix) els distribuïdors i comercialitzadors d'energia elèctrica; (X) les entitats responsables de fitxers comuns per a l'avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent als responsables dels fitxers; (Xi) les entitats que desenvolupin activitats de publicitat i prospecció comercial, incloent les d'investigació comercial i de mercats, quan duguin a terme tractaments basats en les preferències dels afectats o realitzin activitats que impliquin l'elaboració de perfils dels mateixos; (Xii) els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients; (Xiii) les entitats que tinguin com un dels seus objectes l'emissió d'informes comercials sobre persones i empreses; (Xiv) els operadors que desenvolupin l'activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius; i (xv) qui ocupin les activitats de seguretat privada.

Per tant, són moltes les empreses que necessitaran d'aquesta figura del Delegat de Protecció de Dades (PDO) Com a garant del compliment de la normativa de protecció de dades en les organitzacions.


Sobre l'autor:

dpo

José Manuel Rodriguez

Data Privacy, IT & IP, Commercial Lawyer

Linkedin