La figura del “Delegado de protección de datos” o DPO ha sido muy comentada desde que entró en vigor el Reglamento Europeo de Protección de datos personales 679/2016, también conocido como RGPD. En este breve artículo analizaremos qué es un delegado de protección de datos, cuál es su función en el seno de una compañía u organización, qué responsabilidades tiene y en qué casos contar con este cargo es obligatorio.
- ¿Qué es un delegado de protección de datos o DPO?
- ¿Qué funciones tiene dentro de una organización o empresa?
- ¿Es obligatorio para todas las empresas contar con un DPO?
- ¿Quién puede asumir el rol de DPO?
- ¿Qué responsabilidad tiene un DPO?
¿Qué es un delegado de protección de datos o DPO?
Un delegado de protección de datos o DPO (data protection officer) es la persona que ha designado el responsable o encargado de tratamiento de datos para supervisar el cumplimiento correcto del RGPD (Reglamento (EU) 2016/679) – y demás normativa de protección de datos, como es la LOPDGDD en España – en una empresa u organización.
¿Qué funciones tiene dentro de una organización o empresa?
Las principales funciones de un DPO son informar y asesorar de las obligaciones que incumben al responsable o al encargado de tratamiento; supervisar el cumplimiento de lo dispuesto en el Reglamento así como en el resto de normativa aplicable; ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación; cooperar con la autoridad de control y actuar como punto de contacto entre la autoridad de control y la empresa.
¿Es obligatorio para todas las empresas contar con un DPO?
No, salvo que se encuentre en alguno de los casos que contempla el Reglamento (EU) 2016/679, esto es, en el caso de todas las autoridades y organismos públicos y de otras organizaciones cuya actividad fundamental consista en la observación sistemática de personas a gran escala, o que traten categorías especiales de datos personales a gran escala.
Asimismo, la LOPDGDD en su artículo 34 recoge los supuestos en los que procede la designación obligatoria de un Delegado de Protección de Datos, entre lo que podemos destacar, las entidades aseguradoras, establecimientos financieros de crédito, distribuidores y comercializadoras de energía eléctrica o gas natural, entre otros.
¿Quién puede asumir el rol de DPO?
El responsable y/o encargado de tratamiento tiene que designar al DPO atendiendo a sus cualidades profesionales, especialmente a sus conocimientos en Derecho y la práctica en la materia de protección de datos y a su capacidad para desempeñar las funciones.
Aunque no resulta obligatorio aún ni es estrictamente necesario, existen empresas e instituciones que cuentan con programas de certificación para acreditar la formación como delegado de protección de datos.
¿Qué responsabilidad tiene un DPO?
El delegado de protección de datos debe contar con el respaldo en el desempeño de sus funciones tanto del responsable como del tratamiento de los datos en el seno de la empresa u organización. Éstos deben garantizar que el DPO participe de forma adecuada en todas las cuestiones relativas a la protección de datos.
Un aspecto importante es que si realizas las funciones de DPO en una organización o empresa no podrán destituirte ni sancionarte por desempeñar sus funciones.
Es obligación del responsable y/o encargado de tratamiento el cumplimiento de los aspectos que marca el RGPD, debiendo el DPO aconsejar y servir de apoyo en la ejecución de las medidas que tome la empresa u organización para asegurar el cumplimiento efectivo del RPGD. No obstante, el DPO rendirá cuentas directamente al más alto nivel jerárquico, esto es, ante el responsable y/o encargado del tratamiento.
