El delegado de protección de datos: el protagonista del RGPD.

FUENTE: DIARIO EXPANSIÓN 7 JUNIO 2018

Esta nueva figura será obligatoria para las empresas que traten datos personales y deberá tomar todas las medidas de seguridad necesarias para velar por la correcta aplicación del reglamento.

El Reglamento General de Protección de Datos (RGPD) ha sido el protagonista de todos los titulares en las últimas semanas. Sin embargo, dentro de esta regulación europea, el intérprete con mayor importancia es, sin duda, el delegado de protección de datos (DPO, por sus siglas en inglés).

Esta nueva figura del organigrama empresarial resulta esencial para muchas compañías, puesto que el texto legal insiste en su obligatoriedad para todas las autoridades y organismos públicos, así como para empresas que realicen una observación habitual y sistemática de las personas a gran escala o que tengan entre sus actividades principales el tratamiento de datos sensibles.

El DPO debe desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Además, según especifica el artículo 39 del RGPD, esta figura tiene entre sus funciones informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen de la gestión de las obligaciones que les incumben en virtud del reglamento; supervisar el cumplimiento de lo dispuesto en el RGPD, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento.

Enlace

Por otro lado, el reglamento europeo insiste en la importancia de que el DPO coopere siempre con la autoridad de control y actúe como punto de contacto del regulador para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Según especifica la Agencia Española de Protección de Datos (AEPD) en su Guía del Reglamento General de Protección de Datos para responsables de tratamiento, la posición del DPO en las organizaciones tiene que cumplir diferentes requisitos, como que cuente con una total autonomía en el ejercicio de sus funciones; que tenga una relación directa con el nivel superior de la dirección; así como la obligación de que el responsable o el encargado de tratamiento de datos faciliten al DPO todos los recursos necesarios para desarrollar su actividad.

El delegado de protección de datos debe ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Aunque no debe tener una titulación específica, los conocimientos jurídicos en materia de protección de datos y privacidad son, sin duda, necesarios. Además, deben contar con otras nociones ajenas a lo estrictamente jurídico, como, por ejemplo, en materia de tecnología aplicada al tratamiento de datos.

Certificación

Frente a los posibles profesionales poco fiables o que no cuenten con la formación adecuada, la AEPD ha optado por promover un sistema de certificación de profesionales de protección de datos como herramienta útil a la hora de evaluar que los candidatos a ocupar el puesto de DPO reúnan las cualificaciones profesionales y los conocimientos requeridos. Las certificaciones serán otorgadas por entidades debidamente acreditadas por la Entidad Nacional de Acreditación, siguiendo criterios elaborados por la AEPD en colaboración con los sectores afectados.

Según explica la autoridad española de protección de datos en su Esquema de certificación, todos los que estén interesados en lanzarse a esta nueva aventura laboral y tratar de acceder a la fase de evaluación, deberán cumplir alguno de los siguientes requisitos: justificar una experiencia profesional de, al menos, cinco años en proyectos o actividades relacionadas con las funciones del DPO; tener una experiencia demostrable de, al menos, tres años en proyectos o actividades y tareas relacionadas con las funciones del delegado de protección de datos, y una formación mínima reconocida de 60 horas en relación con las materias incluidas en el programa del Esquema; acreditar una experiencia profesional de, al menos, dos años en proyectos o actividades y tareas relacionadas con las funciones del DPO y una formación mínima reconocida de 100 horas en relación con las materias incluidas en el programa; o, por último, justificar una formación mínima reconocida de 180 horas en relación con las materias incluidas en el programa del texto elaborado por la AEPD

A pesar de todo lo indicado, es importante tener en cuenta que la certificación no será un requisito indispensable para el acceso a la profesión, sino que será sólo una opción a disposición de responsables y encargados de tratamiento para facilitar su selección de los profesionales llamados a ocupar el puesto de DPO. Pero estos profesionales pueden tomar en consideración otras cuestiones u otros medios para demostrar la competencia de los DPO.