El Delegado de protección de datos

En el nuevo reglamento de protección de datos aparece la obligación de contratar un Delegado de Protección de Datos (DPO) y por tanto, se abre un campo profesional muy interesante para todos los especialistas en protección de datos.

¿Qué es el Delegado de Protección de Datos?

El Delegado de Protección de Datos tiene las siguientes funciones:

• Informar y asesorar a los responsables y encargados del tratamiento de datos personales y a sus empleados de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
• Supervisar el cumplimiento de dicha legislación y de la política de protección de datos de una Administración Pública, empresa o entidad privada: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
• Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas y supervisar luego su aplicación.
• Actuar como punto de contacto de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales; especialmente, la consulta previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.

Este DPO deberá ser nombrado en base a sus “cualidades profesionales y, en particular, su conocimiento” en la materia de la protección de datos, que le capacite para cumplir las tareas que le atribuye el Reglamento. Esas competencias o capacidades acreditadas se obtendrán a través de estudios reglados y oficiales. Queda pendiente que cada Estado miembro legisle sobre los estudios que facultan para ejercer como DPO.

Con la incorporación del delegado de protección de datos, se pretende dar una mayor fuerza a la figura del Responsable de Seguridad, que es la persona que actualmente se debe asignar en las organizaciones para velar por el correcto cumplimiento de la LOPD.

Están obligados a nombrar un Delegado de Protección de Datos:

• Las Administraciones Públicas, excepto Tribunales.
• Empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de sus titulares.
• Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas y de datos relativos a condenas e infracciones penales.

En cambio, no están obligados a tener delegado de Protección de Datos, pero es conveniente, aquellas empresas (normalmente PYMEs) y otras entidades cuya actividad principal NO consista en el tratamiento masivo de datos personales que estén especialmente protegidos o que requieran una observación a gran escala de sus titulares.