Blog

¿Necesita mi empresa un Delegado de Protección de Datos o DPO? (I)

Derecho de Internet

¿Necesita mi empresa un Delegado de Protección de Datos o DPO? (I)

El Reglamento UE 2016/679 General de Protección de Datos del que venimos hablando en últimos posts ha centrado el foco de atención en materia de privacidad en este año. Muchas de las novedades ya pueden ser incorporadas, otras serán objeto de interpretación por parte de la Agencia Española de Protección de Datos que está emitiendo guías orientativas y documentos que ayudarán a las empresas en su adaptación.

El Delegado de Protección de Datos es una figura regulada en los artículos 37 a 39 del Reglamento y que será obligatoria en los siguientes casos:

  1. Si el tratamiento lo lleva a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  2. Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  3. Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10 del Reglamento.

Estos tres casos, si bien parecen claros, plantean algunas dudas interpretativas, como por ejemplo ¿qué se considera “gran escala”?

Nada se dice sobre el tamaño de la organización al respecto.

El pasado 15 de febrero se publicó la Posición de la Confederation of European Data Protection Organisations (CEDPO) sobre el Delegado de Protección de Datos en el Reglamento General de Protección de Datos (RGPD), posición bastante clarificadora a efectos de determinar qué tipo de organizaciones necesitan de esta figura.

De hecho los criterios de designación son los siguientes:

  • Como “actividades principales” habrán de entenderse de acuerdo con la descripción de la organización y los ingresos de la cuenta de pérdidas y ganancias.
  • “Gran escala” se entenderá según el enfoque basado en el riesgo y no tanto de volumen de datos o número de empleados en las organizaciones.

Esto significa, por ejemplo que una gran empresa dedicada a la fabricación de componentes que realiza tratamiento de datos de sus empleados y de clientes (habitualmente compañías) tendrá un riesgo mucho menor que una clínica médica de especialidades en la que se realiza un tratamiento constante de datos considerados en el grupo de categorías especiales.

Además el DPO requiere una cualificación que incluya conocimientos jurídicos, técnicos, de gestión de programas y de gestión de riesgos así como habilidades de comunicación.

Podrá ser interno, externo o mixto. Esta última figura quizás puede ser la más adecuada contando para ello con un profesional en el que el DPO interno pueda apoyarse en su día a día.

En el caso de pequeñas organizaciones (el ejemplo de la clínica que veíamos antes), puede ser aconsejable que el DPO sea externo y se establezca una relación de “encargo de tratamiento” con plenas garantías entre el responsable y el DPO:

Además el DPO tendrá que reportar al máximo órgano jerárquico (Consejo de Administración o similar) lo cual recuerda mucho a la figura del “compliance officer” que asume unas funciones similares en la parte de prevención de riesgos penales y cumplimiento normativo. Es muy factible que en algunas organizaciones el Compliance Officer y el DPO recaigan en la misma persona o en el mismo órgano. El DPO podría considerarse, salvando las distancias normativas, una especie de Compliance Officer cualificado.

Cuando se trate un responsable interno pueden surgir conflictos de intereses ya que salvo en organizaciones de muy gran tamaño lo habitual es que el DPO recaiga en una persona o personas con otras funciones que a su vez pueden tener responsabilidad en el tratamiento de datos.

En cuanto a la responsabilidad del DPO, digamos que no tiene una responsabilidad específica según el RGDP ya que frente a posibles sanciones el responsable siempre será el Responsable del tratamiento. Ahora bien, en el caso de dejación de sus funciones, negligencia etc, el responsable del tratamiento podría adoptar las acciones laborales, civiles o penales que correspondan en su caso.

En el próximo post abordaremos la cuestión de las funciones del DPO y la necesidad o no de identificarse de acuerdo con lo dispuesto en el artículo 13 del RGDP.

En todo caso, nos ponemos a disposición de los lectores para cualquier aclaración al respecto.

Newsletter Herrero Digital

Paz Martín

Paz es especialista en Derecho Digital, propiedad industrial e intelectual y protección de datos y aplica la "creatividad jurídica" en su asesoramiento.

También puede ser de su interés


Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

No hay comentarios

[data-image-id='gourmet_bg']
[data-image-id='gourmet_bg']
[data-image-id='gourmet_bg']
[data-image-id='gourmet_bg']
[data-image-id='gourmet_bg']
[data-image-id='gourmet_bg']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']