El Reglamento General de Protección de Datos (RGPD) configura una serie de “medidas de responsabilidad activa” aplicables a los responsables, y en ocasiones, también a los encargados de tratamiento. Entre estas medidas, se distinguen las siguientes: análisis de riesgos, registro de actividades de tratamiento, protección de datos desde el diseño y por defecto, medidas de seguridad, notificación de “violaciones de seguridad de los datos”, evaluación de impacto sobre la protección de datos, y finalmente, la del delegado de protección de datos.
Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones y empresas, sin que suponga un sustituto de las funciones que desarrollan las Autoridades de Control.
FUNCIONES
Las funciones del DPO son la de supervisar asesorar e informar al responsable del tratamiento con respecto a las obligaciones que le impone el RGDP. En concreto, el artículo 39 del RGDP encomienda al delegado una serie de obligaciones como son:
- Supervisar el cumplimiento de la normativa.
- Cooperar con la autoridad de control y actuar como punto de contacto.
- Realizar auditorías de cumplimiento en materia de protección de datos.
- Revisar las actividades de tratamiento, especialmente aquellas que entrañan un alto riesgo por su naturaleza.
- Realizar evaluaciones de impacto cuando proceda.
¿CUÁNDO ES OBLIGATORIO CONTAR CON EL DPO?
No obstante, la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos personales y garantía de los derechos digitales, que es la Ley encargada de implementar lo establecido por el RGDP en España, establece unos casos tasados en los es obligatorio contar con la figura del DPO:
- Colegios profesionales.
- Centros docentes y universidades.
- Entidades aseguradoras.
- Federaciones deportivas.
- Centros sanitarios.
- Centros de servicios de la sociedad de la información que elaboren a gran escala perfiles de usuarios.
- Entidades que lleven a cabo actividades de publicidad y prospección comercial.
Más allá de estos supuestos, la designación del DPO para responsables y encargados será totalmente voluntaria.
LA DESIGNACIÓN DEL DPO
La designación del delegado debe realizarse atendiendo unos criterios profesionales:
- Deberá acreditar conocimientos especializados en derecho y en materia de protección de datos.
- La comunicación del delegado deberá ser pública, es decir, se deberá de comunicar su designación a la Agencia Española de Protección de Datos y se deberán publicar sus datos de contacto.
El delegado podrá formar parte de la plantilla del responsable o el encargado o bien desempeñar sus funciones en el marco de un contrato de servicios. En ambos casos el delegado deberá de estar en todas aquellas actividades donde se traten datos personales y disponer por parte del responsable de todos aquellos recursos que necesita para desempeñar sus funciones.
En Alonso & Évole te ayudaremos a llevar a cabo un análisis a la situación de tu negocio para dar respuesta a las distintas necesidades en materia de protección de datos para cumplir con la normativa.
