El Delegado de Protección de Datos, o más conocido como DPO (Data Protection Officer), es una nueva figura introducida en el Reglamento Europeo General de Protección de Datos (RGPD) que será directamente aplicable en toda la Unión Europea y, por consiguiente, España, a partir del 25 de mayo de este 2018.
El Delegado de Protección de Datos (DPO), es una figura que puede ser tanto interna o externa en las empresas y Administraciones Públicas y que se encarga, entre otras cuestiones, de:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento. Es decir, todo lo relativo a la formación en protección de datos, así como el atendimiento a las consultas planteadas.
- Supervisar el cumplimiento de la normativa de protección de datos en las empresas y Administraciones Públicas en las que preste sus servicios.
- Supervisar la asignación de responsabilidades y realizar las auditorías correspondientes.
- Asesorar sobre las Evaluaciones de Impacto en la privacidad (“PIAs” – “Privacy Impact Assessment”), así como asesorar en lo referente a la privacidad desde el diseño (“Privacy by Design”) y en la privacidad por defecto (“Privacy by Default”), en los productos y servicios.
- Cooperar con la Agencia Española de Protección de Datos (AEPD) y servir como intermediario o punto de contacto entre la empresa o Administración para la cual preste sus servicios, y la propia Agencia (AEPD).
Por su parte, el Delegado de Protección de Datos es obligatorio en todos los siguientes casos:
- Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los juzgados y tribunales. (Es decir, obligatorio para el sector público)
- Cuando la actividad económica principal del responsable o del encargado consista en el tratamiento de datos a gran escala que, por su naturaleza, alcance y/o fines necesiten una vigilancia habitual y sistemática. (En este supuesto podríamos incorporar los tratamientos de “IoT- Internet de las Cosas”, “Big Data”, o aquellos tratamientos de que consistan en la creación de perfiles comportamentales de los usuarios o “profilling”, por ejemplo).
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales. (En este supuesto podríamos incorporar los tratamientos de carácter sensible relativos al sector salud, por ejemplo).
En estos casos, se debe notificar la existencia del Delegado de Protección de Datos (DPO) a la Agencia de Protección de datos (AEPD), y también se deben publicar sus datos de contacto, para su conocimiento por terceros.
Además, el Delegado de Protección de Datos (DPO) debe poseer una serie de competencias o cualidades cualidades profesionales y, en particular, conocimientos especializados del Derecho y la práctica en materia de protección de datos, como así lo indica el artículo 37.5 del Reglamento Europeo de Protección de Datos.
Desde Sistemius nos ponemos a vuestra disposición para facilitaros cualquier información o cuestión adicional al respecto, así como para asesoraros en esta materia.
José Nogueira
Abogado