Nueva ley europea de protección de datos: El delegado de protección de datos

El Reglamento Europeo de Protección de Datos (RGPD) entrará en vigor el 25 de mayo de 2018, introduce la posición del Delegado de Protección de Datos (DPO, en inglés). El DPO se considera como la persona de contacto que ha de ser partícipe en todos los asuntos relacionados con la protección de datos de cualquier entidad. EL DPO puede ser, bien un empleado (el llamado DPO interno) o bien un tercero (el llamado DPO externo). El DPO es un órgano en la empresa que sirve de enlace entre las autoridades competentes, la empresa y las personas afectadas.

Designación

Tanto el responsable como el encargado del tratamiento pueden estar obligados a designar un DPO. Esta obligación es de aplicación para (i) organismos públicos (salvo los tribunales de justicia) (ii) responsables y encargados cuyas actividades consistan en la monitorización regular y sistemática de los titulares de los datos que sean objeto de tratamiento, a gran escala o el mismo tratamiento a gran escala de categorías especiales de datos (datos sensibles como el origen racial o étnico, la religión, la salud, etc.) o datos sobre condenas criminales y antecedentes penales. Las compañías de seguros, los proveedores de servicios médicos, pero también las empresas que desarrollan programas de fidelización o sistemas de videovigilancia tienen que designar un DPO. En caso de una ampliación de la gama de servicios ha de valorarse si esta entraña o no la obligación de designar a un delegado. De acuerdo con la cláusula de flexibilidad, los estados miembros pueden adoptar regulaciones especiales en materia de designación del DPO.

Un grupo de empresas puede nombrar a un único DPO, pero él o ella han estar disponibles desde cada establecimiento. Cuando se designa un DPO, se tiene que asegurar que sus otras tareas en la empresa no conduzcan a un conflicto de interés. Este conflicto de interés podría ocurrir, por ejemplo, en el caso de los expertos en marketing de la empresa.

Independencia

La designación de un DPO no exonerará a la empresa de la responsabilidad de cumplir lo establecido en la Directiva. El DPO no puede recibir ni instrucciones ni ser despedido o penalizado en relación a la realización de sus tareas. Sin embargo, esto no puede evitar que la empresa interponga acciones por daños de acuerdo con la legislación nacional. La empresa ha de proveer los recursos necesarios para la realización de las tareas del DPO y garantizarles el acceso a los procesos de tratamiento. El DPO ha de rendir cuentas a los órganos de gestión de la empresa.

Calidades y deberes

EL DPO ha de tener experiencia profesional y abundantes conocimientos en los campos del derecho y la la protección de datos. El DPO puede recibir apoyo de otros departamentos de la empresa, especialmente del departamento de IT o del departamento legal, u otros, si fuera necesario.

El DPO ha de participar en todos los asuntos de la empresa relacionados con la protección de datos personales. Además, ha de recoger y analizar información sobre el tratamiento de datos y realizar recomendaciones. En particular, el DPO suministra información sobre las obligaciones de acuerdo con la Directiva, la legislación nacional en materia de protección de datos y las políticas internas de privacidad, supervisa el grado de cumplimiento con las mismas y coopera con las autoridades competentes. En relación con la realización de sus tareas, el DPO está vinculado por la confidencialidad.

Requisitos de información

Los datos de contacto del DPO (no necesariamente su nombre) podrán ser publicados en primera instancia en la página web y en la intranet de la empresa. Además, los datos de contacto del DPO, incluyendo su nombre, han de comunicarse a la autoridad competente.

Los profesionales de nuestras diferentes oficinas están a su disposición para resolver cualquier duda en esta materia.