En los últimos meses han aparecido, en no pocas ocasiones, multitud de artículos en prensa, sobre la figura del Delegado de Protección de Datos (DPO) que exige el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).

Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del Reglamento General de Protección de Datos (RGPD), y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, que aparece recogido en los artículos 37, 38 y 39 del Reglamento General de Protección de Datos (RGPD), estableciendo los requisitos para la designación, posición y funciones del Delegado de Protección de Datos (DPO).

 

Requisitos para ser DPO:

 

Respecto de los requisitos para poder ser, Delegado de Protección de Datos, se establece que éste deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos, actuando de forma independiente, mediante una serie de atribuciones, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado Reglamento General de Protección de Datos (RGPD) por parte del responsable o encargado del tratamiento.

Si bien el Reglamento General de Protección de Datos (RGPD) no exige que deba ser un jurista o abogado, sí que cuente con ese conocimiento en Derecho anteriormente citado; Además, el DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia, aunque según algunos expertos en la materia provenientes de las Autoridades de Control, no sería admisible que esta posición la ostentara una persona jurídica sin designar al menos a una persona física dentro de dicha organización.

¿Cuándo será necesario el DPO?

 

Con la próxima entrada en vigor del Reglamento General de Protección de Datos (RGPD) el próximo 25 de mayo, se establece la obligatoriedad de contar con esta figura pero sólo en determinados casos, (1) cuando el tratamiento lo lleve a cabo una autoridad u organismo público; (2) cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala; y (3) cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos. Por lo tanto, no todas las empresas deberán contar con el Delegado de Protección de Datos. Si bien es cierto que el reglamento es algo impreciso respecto de qué es considerado un tratamiento a gran escala, el Grupo del Artículo 29 (WP29) no descarta que pueda establecerse un método estándar que lo precise en términos objetivos y cuantitativos. En todo caso, y a la vista de lo problemático de este concepto, sí ha anunciado que publicará algunos umbrales que ayuden a definir en qué situaciones, a priori poco claras, es necesario nombrar un DPO.

Hasta la fecha, los elementos que deben tenerse en cuenta para precisar si el tratamiento es “a gran escala” son: (1) la cantidad de personas afectadas (en número o en proporción), (2) el volumen de datos que se tratan, (3) la duración de la actividad de tratamiento de datos y (4) el alcance geográfico de la actividad del tratamiento.

¿Qué empresas o entidades deberán contar con un DPO?

 

En el actual anteproyecto de Ley de Protección de Datos que está siendo debatido, se recoge en su artículo 35.1, las entidades que deberán contar con un DPO, entre ellas, las siguientes: (i) Los colegios profesionales y sus consejos generales; (ii) los centros docentes que ofrezcan enseñanzas reguladas; (iii) las entidades que exploten redes y presten servicios de comunicaciones electrónicas; (iv) los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos; (v) las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito; (vi) los establecimientos financieros de crédito; (vii) las entidades aseguradoras y reaseguradoras (viii) las empresas de servicios de inversión; (ix) los distribuidores y comercializadores de energía eléctrica; (x) las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros; (xi) las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos; (xii) los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes; (xiii) las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas; (xiv) los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos; y (xv) quienes desempeñen las actividades de Seguridad Privada.

Por lo tanto, son muchas las empresas que necesitarán de esta figura del Delegado de Protección de Datos (DPO) como garante del cumplimiento de la normativa de protección de datos en las organizaciones.


Sobre el autor:

dpo

José Manuel Rodriguez

Data Privacy, IT & IP, Commercial Lawyer

Linkedin