Un DPO es exactamente un experto en protección de datos con un marcado carácter jurídico, que se encarga de supervisar el tratamiento de datos personales y asesorar a empresas y organismos públicos en materia de protección de datos, a fin de evitar los riesgos relativos al tratamiento de la información, así como a evitarles cualquier tipo de responsabilidad jurídica, especialmente sanciones, a dichas empresas y organismos públicos. (Una de las grandes novedades de este reglamento, es que se contempla por vez primera sanciones a la propia Administración Pública).
El Delegado de Protección de datos o “Data Protection Officer” (DPO), no es una figura nueva en Europa, ya que países como Alemania tienen implantando este perfil desde hace años. Sin embargo, desde la aprobación del Reglamento General de Protección de Datos Europeo (RGPD) nº 2016/679; se introduce en España y en el resto de la Unión Europea de manera obligatoria.
Además, esta figura del DPO a diferencia de otras figuras; como el Compliance Officer (figura que supervisa los protocolos implantados en empresas, para evitar responsabilidades penales a personas jurídicas); es obligatoria también en empresas con menos de 250 empleados. Especialmente es necesaria esta figura del DPO en los siguientes casos (artículo 39 del RGPD):
a) Todos los Organismos y Autoridades de la Administración Pública, exceptuándose únicamente los Juzgados y Tribunales.
b) Empresas cuya actividad principal sea el tratamiento de datos, ya sea como Responsables o Encargados del tratamiento. (Por ejemplo, Empresas TIC con servicios de “Cloud Computing”).
c) Empresas y AAPP, que traten datos personales de nivel alto (salud, datos biométricos, genéticos, religiosos, políticos, entre otros) en los supuestos permitidos en la legislación.
Por otro lado, este Delegado de Protección de Datos, podrá ser interno (como parte de la plantilla) o externo (por ejemplo, a través de un contrato de servicios) a la Empresa u Organismo Público, lo más lógico es que sea designado de forma externa para garantizar su independencia y sea un abogado que garantice el deber de secreto profesional de sus actuaciones.
Por último, destacar que, a partir del 25 de mayo de 2018, se derivarán sanciones por no tener implantada esta figura, al margen de las sanciones en materia de protección de datos, que se deriven del incumpliento de otras disposiciones del Reglamente Europeo, para lo cual es clave contar con el asesoramiento de esta figura del DPO.
José Nogueira
Abogado, Sistemius
